# ACME-Proxy der Universität Freiburg – Anleitung für Nutzer*innen

**Source**: https://wiki.uni-freiburg.de/rz/doku.php?id=acme
**Parent**: https://wiki.uni-freiburg.de/rz/doku.php?id=index

### Inhaltsverzeichnis

- [ACME-Proxy der Universität Freiburg – Anleitung für Nutzer\*innen](#acme-proxy_der_universitaet_freiburg_anleitung_fuer_nutzer_innen)

  - [ACME-Proxy der Universität in den Client eintragen](#acme-proxy_der_universitaet_in_den_client_eintragen)
  - [Portfreischaltung für ACME HTTP-01 Challenge](#portfreischaltung_fuer_acme_http-01_challenge)
  - [Certbot](#certbot)
  - [Zertifikate verwenden](#zertifikate_verwenden)
  - [Automatische Erneuerung](#automatische_erneuerung)

# ACME-Proxy der Universität Freiburg – Anleitung für Nutzer\*innen

Der ACME-Proxy der Universität Freiburg stellt eine zentrale und einheitliche ACME-Schnittstelle bereit. ACME-Clients wie Certbot, acme.sh, lego oder dehydrated kommunizieren dabei nicht direkt mit einer externen Certificate Authority (CA), sondern ausschließlich mit dem ACME-Proxy der Universität. Dadurch entfällt für Nutzer\*innen die Einrichtung komplexer CA-Konfigurationen oder EAB-Credentials.

Ein weiterer Vorteil: Der ACME-Proxy-Endpunkt bleibt stabil und unverändert, selbst wenn die zugrunde liegende Certificate Authority wechselt. Dies bedeutet, dass keine Anpassungen an Ihren ACME-Clients erforderlich sind – der Wechsel der CA erfolgt vollständig transparent für die Nutzer\*innen.

Diese Anleitung zeigt, wie Sie den Dienst verwenden und Zertifikate für Ihre Domains der Universität beziehen können.

## ACME-Proxy der Universität in den Client eintragen

Der Proxy ist unter folgenden Adressen erreichbar:

- [https://acme.uni-freiburg.de/directory](https://acme.uni-freiburg.de/directory "https://acme.uni-freiburg.de/directory")

## Portfreischaltung für ACME HTTP-01 Challenge

Damit der interne ACME-Dienst Zertifikate automatisch ausstellen und verlängern kann, muss die HTTP-01 Challenge erfolgreich durchgeführt werden. Dabei versucht der ACME-Server, eine spezielle Prüfdatei unter /.well-known/acme-challenge/ von der zu zertifizierenden Domain abzurufen.

Die Anfragen für die Validierung erfolgen von der IP-Adresse **10.8.102.76**. Damit die Challenge erfolgreich ist, muss von dieser Adresse aus **Port 80 (HTTP)** auf den Zielsystemen erreichbar sein. Ohne diese Freischaltung schlägt die Zertifikatsvalidierung fehl und neue Zertifikate können nicht ausgestellt oder bestehende verlängert werden.

## Certbot

```
sudo certbot certonly \
    --server https://acme.uni-freiburg.de/directory \
    --standalone \
    -d example.uni-freiburg.de
```

## Zertifikate verwenden

Die Zertifikate befinden sich wie gewohnt unter:

```
/etc/letsencrypt/live/<domain>/
```

Beispiel für NGINX:

```
ssl_certificate     /etc/letsencrypt/live/example.uni-freiburg.de/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.uni-freiburg.de/privkey.pem;
```

Nach der Einrichtung funktionieren Erneuerungen automatisch.

## Automatische Erneuerung

Certbot installiert automatisch einen Systemd-Timer:

```
systemctl status certbot.timer
```

Die automatische Erneuerung benötigt keinerlei Interaktion, da:

- der ACME-Proxy dauerhaft erreichbar ist
- alle CA-Informationen intern im Proxy hinterlegt sind
- Certbot täglich prüft, ob Zertifikate erneuert werden müssen

Getestet werden kann die automatische Erneuerung mithilfe von:

```
sudo certbot renew --dry-run
```

Zuletzt angesehen: •  •  •  •  •  •  •