Skip to main content

Wildcard Zertifikate mit letsencrypt

Wildcard Zertifikate mit LetsEncrypt

Zu Beginn hatte ich auf meiner Domain einen einzigen Namen respektive eine einzige Subdomain in Verwendung – www.neidahl.de. Irgendwann wurde daraus dann mein aktuell bestehendes blog.neidahl.de, welches ihr gerade zum Lesen dieses Artikels verwendet 🙂 Aus den mittlerweile zwei TLS-Zertifikaten wurden ganz schnell drei, vier, fünf, … zu viele, um diese auch einmal spontan wechseln zu könnnen. Die Lösung war recht schnell klar, ich wollte ein Wildcard Zertifikat verwenden und das Ganze optimalerweise, wie gehabt mit letsencrypt.

Was ist nun also dieses Wildcard Zertifikat ? Es ist sozusagen eine Art Master Zertifikat, welches alle Subdoimains der betroffenen Domain inkludiert. Dies gilt jedoch nur auf der ersten Ebene und nicht tiefer, wie beispielsweise hier für meine Domain neidahl.de:

  • neidahl.de -> inkludiert
  • blog.neidahl.de -> inkludiert
  • bilder.blog.neidahl.de -> nicht inkludiert

Die grundlegende Erstellung und Einbindung eines Zertifikats auf einem Apache-Webserver hatte ich schon einmal in einem anderen Artikel beschrieben. Hier folgt lediglich die passende Weiterführung respektive die Änderungen.

Auf dem entsprechenden System angemeldet, geht es mit dem certbot weiter. Ich nutze dabei gerne den manuellen Weg, daher den Aufruf mit dem hier wichtigen Parameter „–preferred-challenges dns“ versehen. Es muss eben validiert werden, ob die gesamte Domain in Eurem Besitz ist, die sogenannte DNS-01 challenge:

certbot certonly --manual --preferred-challenges dns

Bei der nun folgenden Abfrage nach der abzusichernden Domain wird der Joker ( Wildcard ), das * eingesetzt:

*.neidahl.de

Der certbot wird im Folgenden einen Text-Token generieren und anzeigen, welcher als TXT-Record der entsprechenden Domain mit dem Präfix „_acme-challenge“ hinterlegt werden muss. Das Ergebnis kann im Anschluss entsprechend überprüft werden – nicht vergessen, dass es eine Zeit dauern kann, bis alle relevanten Nameserver diesen neuen Eintrag auch übernommen haben, auch abhängig von Euren Cache- / TTL-Einstellungen:

sven@********** ~ % nslookup
> server 1.1.1.1
Default server: 1.1.1.1
Address: 1.1.1.1#53
> set type=TXT
> _acme-challenge.neidahl.de
Server:		1.1.1.1
Address:	1.1.1.1#53

Non-authoritative answer:
_acme-challenge.neidahl.de	text = "O0vwCt3667qRFHMDffVWX7--ertG8**********"

Sofern alles korrekt eingetragen wurde wird nun das Zertifikat und der Key generiert werden, welche wie gehabt auf dem System abgelegt und zum Abschluss noch im Webserver eingebunden werden wollen. Das sollte es dann auch schon gewesen sein und alle Subdomains sind nun über dieses Wildcard Zertifikat validiert 🙂

certbot, letsencrypt, Wildcard, Zertifikat

Sven Neidahl

Hallo, ich bin Sven, technikbegeisterter Mensch mit Blog-Ambitionen. Ich liebe Australian-Shepherds, leckeres Essen, laute Musik und Wandern mit anschliessendem Wellness-Programm, hauptsache "Lebe das Leben mit Liebe, Spass und Technik".

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Seite ist durch reCAPTCHA und Google geschütztDatenschutz-Bestimmungen UndNutzungsbedingungen anwenden.

The reCAPTCHA verification period has expired. Please reload the page.