ACME-Proxy der Universität Freiburg – Anleitung für Nutzer*innen
Source: https://wiki.uni-freiburg.de/rz/doku.php?id=acme Parent: https://wiki.uni-freiburg.de/rz/doku.php?id=index
Inhaltsverzeichnis
-
ACME-Proxy der Universität Freiburg – Anleitung für Nutzer*innen
- Portfreischaltung für ACME HTTP-01 Challenge
- Certbot
- Zertifikate verwenden
- Automatische Erneuerung
ACME-Proxy der Universität Freiburg – Anleitung für Nutzer*innen
Der ACME-Proxy der Universität Freiburg stellt eine zentrale und einheitliche ACME-Schnittstelle bereit. ACME-Clients wie Certbot, acme.sh, lego oder dehydrated kommunizieren dabei nicht direkt mit einer externen Certificate Authority (CA), sondern ausschließlich mit dem ACME-Proxy der Universität. Dadurch entfällt für Nutzer*innen die Einrichtung komplexer CA-Konfigurationen oder EAB-Credentials.
Ein weiterer Vorteil: Der ACME-Proxy-Endpunkt bleibt stabil und unverändert, selbst wenn die zugrunde liegende Certificate Authority wechselt. Dies bedeutet, dass keine Anpassungen an Ihren ACME-Clients erforderlich sind – der Wechsel der CA erfolgt vollständig transparent für die Nutzer*innen.
Diese Anleitung zeigt, wie Sie den Dienst verwenden und Zertifikate für Ihre Domains der Universität beziehen können.
ACME-Proxy der Universität in den Client eintragen
Der Proxy ist unter folgenden Adressen erreichbar:
Portfreischaltung für ACME HTTP-01 Challenge
Damit der interne ACME-Dienst Zertifikate automatisch ausstellen und verlängern kann, muss die HTTP-01 Challenge erfolgreich durchgeführt werden. Dabei versucht der ACME-Server, eine spezielle Prüfdatei unter /.well-known/acme-challenge/ von der zu zertifizierenden Domain abzurufen.
Die Anfragen für die Validierung erfolgen von der IP-Adresse 10.8.102.76. Damit die Challenge erfolgreich ist, muss von dieser Adresse aus Port 80 (HTTP) auf den Zielsystemen erreichbar sein. Ohne diese Freischaltung schlägt die Zertifikatsvalidierung fehl und neue Zertifikate können nicht ausgestellt oder bestehende verlängert werden.
Certbot
sudo certbot certonly \
--server https://acme.uni-freiburg.de/directory \
--standalone \
-d example.uni-freiburg.de
Zertifikate verwenden
Die Zertifikate befinden sich wie gewohnt unter:
/etc/letsencrypt/live/<domain>/
Beispiel für NGINX:
ssl_certificate /etc/letsencrypt/live/example.uni-freiburg.de/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.uni-freiburg.de/privkey.pem;
Nach der Einrichtung funktionieren Erneuerungen automatisch.
Automatische Erneuerung
Certbot installiert automatisch einen Systemd-Timer:
systemctl status certbot.timer
Die automatische Erneuerung benötigt keinerlei Interaktion, da:
- der ACME-Proxy dauerhaft erreichbar ist
- alle CA-Informationen intern im Proxy hinterlegt sind
- Certbot täglich prüft, ob Zertifikate erneuert werden müssen
Getestet werden kann die automatische Erneuerung mithilfe von:
sudo certbot renew --dry-run
Zuletzt angesehen: • • • • • • •