1&1 - SSL Starter auf eig. Rootserver einrichten

amiga1200

New Member
Hat man bei 1&1 eine Domain kann man oft Glück haben dort ein Kostenloses SSL zu ergattern, aber nur wenn die Webseite auch bei denen liegt.

Meine Rootserver liegt bei mir zuhause, daher must ich zahlen
Nun habe ich bin den Kundendienst von 1&1 telefoniert der Techniker ist die Meinung das ich nach dem Kauf des SSL eine Zertifikat Datei herunterladen musst um die auf meinen Root zu installieren.
Hier steht es auch noch mal:
https://hilfe-center.1und1.de/hosti...ifikat-auf-server-installieren-a10795625.html

Bisher habe ich es immer so gemacht, das man zum Anfang auf dem Root-Server ein CA erstellen musst, also openssl req -new ...
Diese Datei bekommt der Hoster, bisher immer hosteurope, die prüfen das und hauen da ihr ok rein, die Datei bekomme ich dann wieder zurück , um sie auf meinen Server einzurichten.


Kann das bei 1&1 auch funktionieren?
Oder doch liebe klassic wie bei hosteurope ein zertifikate Kaufen?


0,99€ will 1&1 dafür haben, recht billig
 
Last edited by a moderator:
lieber classic

Let’s Encrypt kenne ich schon, aber traue den braten nicht ganz.
wenn ich dann lese:
Leider lädt das Tool einiges an Paketen nach und erfordert root-Rechte. Zudem muss der eigene Webserver für die Zeit des Erstellens heruntergefahren werden


Das heiß das eine Software auf meinen Rootserver von Let’s Encrypt läuft?
Ruf man eine Internetseite auf sendet die Software das SSL zum Browser?

Ich würde doch noch mal classic ein SSL kaufen, zumal der Kunde es bezahlt.
 
Wenn du anderen Zertifikatsaustellern wie Let's Encrypt misstraust, empfehle ich dir doch ein Zertifikat bei 1&1 zu kaufen.
 
Leider lädt das Tool einiges an Paketen nach und erfordert root-Rechte. Zudem muss der eigene Webserver für die Zeit des Erstellens heruntergefahren werden

Der CertBot ist offiziell in Debian Stretch enthalten. Für Ubuntu 16.04
gibt's ein PPA-Repository. Siehe: https://certbot.eff.org/

Das heißt, dass eine Software auf meinen Rootserver von Let’s Encrypt läuft? Ruf man eine Internetseite auf sendet die Software das SSL zum Browser?

Der CertBot ist nur für die Registrierung/Erneuerung der Zertifikate zuständig. Er sendet eine Anfrage für ein Zertifikat an einen Letsencrypt-Server. Der Letsencrypt-Server fragt wiederrum eine URL Deiner Domain ab, welche der bei Dir installierte CertBot beantworten muss, damit er für Dich die Domaininhaberschaft beweist. Danach wird ein Zertifikat geliefert.

Das ganze kannst Du dann entweder über das ACME-Protokoll im laufenden Webserver ohne Neustart aktivieren, oder falls Du kein ACME willst, startest Du irgendwann Nachts per Cron einmal kurz den Webserver durch. Dann wird das neue Zertifikat auch aktiv. (Letztere Variante verwende ich).

Meine Erfahrung/Meinung

LetsEncrypt und CertBot funktioniert wunderbar und ohne Probleme bei mir(Ich habe sehr viele LetsEncrypt-Zertifikate im Einsatz) bisher. CertBot wird in der Standardinstallation regelmässig per Cron aufgerufen und verlängert bei Ablauf automatisch die Zertifikate.

Ich bin froh, diese unnötige manuelle Arbeit der regelmässigen Zertifikatsverlängerungen los zu sein.

Ich habe allerdings auch ein Monitoring im Einsatz, dass mich warnt, falls da mal etwas fehlschlägt und mich vor Ablaufenden SSL-Zertifikaten rechtzeitig warnt. Im übrigen bekommst Du von LetsEncrypt auch Warnmails zur Erinnerung, falls Zertifikate auslaufen.

Besonders angenehm ist, dass LetsEncrypt auch MultiDomain-Zertifikate unterstützt ([noparse]www.deinedomain.de[/noparse], imap.deinedomain.de, smtp.deinedomain.de, webmail.deinedomain.de, ftp.deinedomain.de, ftp.anderedomain.de, [noparse]www.anderedomain.de[/noparse], ... und das alles in einem Zertifikat).
 
Last edited by a moderator:
Das ganze kannst Du dann entweder über das ACME-Protokoll im laufenden Webserver ohne Neustart aktivieren

Das ist so nicht ganz korrekt. Das ACME-Protokoll dient zur Kommunikation zwischen Certbot und den LetsEncrypt Servern, also um das Zertifikat dort abzuholen.
@amiga1200: Der Certbot kann alles mögliche automatisieren oder auch wirklich nur die Zertifikats-Verwaltung und automatische Erneuerung übernehmen (und diverse Varianten dazwischen). Ich persönlich nutze das Webroot-Plugin, mit dem der Certbot eine Datei unter www.domain.de/.wel-known erstellt, deren Existenz und Inhalt von den LetsEncrypt-Servern abgerufen wird. Danach wird das Zertifikat abgerufen und liegt auf deinem Server. Certbot hat auch ein Apache-Plugin, dass im Anschluss sogar die Apache-Konfig anpassen kann, so dass automatisch die Webseite verschlüsselt abgerufen wird. Kann man nutzen, muß man aber nicht. Ich nutze es nicht, denn wenn einer an meiner Konfiguration herumfummelt, dann bin ich das ;) Certbot läuft mit Root-Rechten, aber das macht andere Software auch.
 
Das ist so nicht ganz korrekt. Das ACME-Protokoll dient zur Kommunikation zwischen Certbot und den LetsEncrypt Servern, also um das Zertifikat dort abzuholen.

Danke für die Korrektur. Das stimmt natürlich. Hatte ich falsch in meinem Hirn abgespeichert.
 
Back
Top