{"id":125,"date":"2021-06-15T15:43:53","date_gmt":"2021-06-15T14:43:53","guid":{"rendered":"https:\/\/www.alphanet-bochum.de\/?page_id=125"},"modified":"2025-03-18T22:54:34","modified_gmt":"2025-03-18T21:54:34","slug":"ssl-tls-zertifikat-von-lets-encrypt-erneuern","status":"publish","type":"page","link":"https:\/\/www.alphanet-bochum.de\/?page_id=125","title":{"rendered":"SSL\/TLS-Zertifikat von Let’s Encrypt erneuern"},"content":{"rendered":"\n
<\/div>
\n
\n

Wof\u00fcr braucht man die Zertifikate?<\/strong>
Heute l\u00e4uft nahezu jede Seite nur noch \u00fcber HTTPS. Der Unterschied zum „normalen“ HTTP lieg in der verschl\u00fcsselten \u00dcbertragung zwischen Server (die besuchte Seite) und dem Client (der Browser auf dem heimischen PC oder dem Smartphone in der Hand). Alle Eingaben und Inhalte werden also nicht in „Klarschrift“ \u00fcbermittelt und ein „b\u00f6ser Mith\u00f6rer“, der z.B. den Datenverkehr mitschneidet, wird erstmal die Verschl\u00fcsselung knacken m\u00fcssen. Unm\u00f6glich ist es (wie in der EDV \u00fcblich) nicht, jedoch ob es die M\u00fche f\u00fcr den Hacker wert ist zu erfahren, dass ihr gerade diese Seite hier auf habt? Eher nicht, aber man muss es denen ja nicht leicht machen und seinen Server-Datenverkehr f\u00fcr jedes 0815-Script-Kiddie gl\u00e4sern machen.
Daf\u00fcr also HTTPS und die dazu geh\u00f6renden „Zertifikate“.

Jeder kann mit wenigen Klicks zwar seinen Server (bei dem entsprechenden Server-Verwaltungs-Tools) seinen Server auf HTTPS umstellen, doch „glauben“ die Browser der Sicherheit nicht ungesehen.
Man glaubt der zwielichtigen Person am Bahnhof ja auch nicht, das die Rolex, die er einem andrehen will, dass es eine „echte“ ist… man will schon Gewissheit haben – mit eben einem Zertifikat!
Und da kommt das SSL\/TLS-Zertifikat ins Spiel!

Dieses Zertifikat best\u00e4tigt dam Browser, „Ja, der Datenverkehr stammt wirklich von der angegebene Adresse!“ Der Server weist sich beim Browser mit dem Zertifikat aus, das er der ist, der er vorgibt zu sein.
Der zwielichtige „H\u00e4ndler“ gibt ja auch vor, die Ware von ihm sei echt. Aber der Beweis wird schwierig.<\/p>\n\n\n\n

Ich hoffe, ich konnte es so erkl\u00e4ren, was es damit auf sich hat. Denn HTTPS ist nur in Kombination mit einem g\u00fcltigen Zertifikat wirklich sicherer.
Auf meinem Server hier verwende ich f\u00fcr jede Domain den kostenlosen Dienst von „Let’s Encrypt<\/a>„.<\/p>\n\n\n\n

Warum erneuern?<\/strong>
Die Zertifikate haben nur eine gewisse G\u00fcltigkeit und m\u00fcssen bei kostenlosen Diensten meist von Hand erneuert werden, da sich der Schl\u00fcssel im Zertifikat auch jedesmal dann \u00e4ndert.<\/p>\n\n\n\n

Was f\u00fcr ein Schl\u00fcssel? Wird damit der Datenverkehr verschl\u00fcsselt?<\/strong>
Nein, dieser Schl\u00fcssel wird im „Nameserver“ des Serveranbieters eingetragen. Der Zertifikats-Anbieter erstellt diesen und fragt den Schl\u00fcssel dann ab, wenn das Zertifikat erstellt wird. So stellt der Anbieter sicher, dass das Zertifikat auch zur Domain (Adresse) passt.
Auch wenn man den Schl\u00fcssel anschlie\u00dfend l\u00f6scht oder \u00e4ndert, verliert das Zertifikat seine G\u00fcltigkeit, da die Domain nicht mehr zum Schl\u00fcssel passt.<\/p>\n\n\n\n

So, genug der Vorgeschichten und Erkl\u00e4rungen warum, wieso, weshalb…
Nun eine Schritt f\u00fcr Schritt Anleitung, wie man das Zertifikat erneuert, wenn man einen Server bei Server4You<\/a> mit Plesk-Oberfl\u00e4che hat:<\/p>\n\n\n\n

1. Ank\u00fcndigung per Mail<\/strong>
Meist 30 Tage, bevor das Zertifikat seine G\u00fcltigkeit verliert, erh\u00e4lt man eine eMail mit einem Hinweis.
Daf\u00fcr muss die Benachrichtigung und Mail-Adresse auch richtig konfiguriert sein.<\/p>\n\n\n\n

\"\"
Der Betreff der eMail verr\u00e4t uns schon: Handlungsbedarf!<\/figcaption><\/figure>\n\n\n\n

In der Mail selbst steht dann genauer, um welche Domain es sich handelt. Der Schl\u00fcssel \u00e4ndert sich wie gesagt in reegelm\u00e4\u00dfigen Abst\u00e4nden und somit verliert das Zertifikat irgendwann seine G\u00fcltigkeit.
Ich hab hier etwas… gepennt. Viel Zeit blieb mir hier nicht mehr, bis mein Zertifikat abgelaufen w\u00e4re und jeder Besucher im Browser statt meiner Seite eine „SSL-Error“ Warn-Seite angezeigt bekommen h\u00e4tte.
Der Browser hatte nicht ein Byte von meiner Seite weiter abgefragt, wenn das Zertifikat ung\u00fcltig ist.
Man kann zwar meist irgendwo „eine Au\u00dfnahme hinzuf\u00fcgen“ oder ein „bin mir das Risiko bewusst“-Link anklicken und kommt dennoch auf die Seite, aber das muss ja nicht sein! Seri\u00f6s ist war anderes!
Also lange Rede, kurzer Sinn – so ungef\u00e4hr sieht dann die automatische Erinnerungs-eMail aus:<\/p>\n\n\n\n

\"\"
abgelaufen in … oh, 2 Tagen! Na wer hat hier gepennt? – Sorry, ich!<\/figcaption><\/figure>\n<\/div>\n<\/div><\/div>\n\n\n\n

2. Einloggen \u00fcber SSH, in Plesk und ins Power-Panel<\/strong>
Wir brauchen 2 Browser-Fenster und eine SSH-Konsole (z.B. \u00fcber Putty)!
Als erstes loggen wir uns in das Power-Panel von Server4You ( https:\/\/my.server4you.de\/<\/a> ) ein:<\/p>\n\n\n\n

\"\"
Der Einlog-Bildschirm von Server4You (Stand: Juli2021)<\/figcaption><\/figure>\n\n\n\n

Im zweiten Browserfenster \u00f6ffnen wir die Oberfl\u00e4che von Plesk und dort unter „Websites & Domains“ bei der entsprechenden Domain auf „Let’s Encrypt“:<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Wenn das Zertifikat schon abgelaufen ist, kommt ihr sofort zum Erneuern-Bildschirm. An sonsten m\u00fcsst ihr auf „Erneuern“:<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Nun seht ihr, was im Nameserver (englischer Begriff, kein Schreibfehler) eingetragen werden muss! Es muss ein (DNS-)Eintrag angelegt (oder wenn vorhanden, erneuert) werden vom Typ TXT und lautet _acme-challenge.<eure-Domain-ohne-www>.
Der Wert des Eintrags ist der Schl\u00fcssel, den der Zertifikats-Anbieter hier vorgibt und an euer Plesk-Panel \u00fcbermittelt und angezeigt wird:<\/p>\n\n\n\n

\"\"
Der neue Schl\u00fcssel wurde wohl „etwas verschmiert“ \ud83d\ude09<\/figcaption><\/figure>\n\n\n\n

Darum ist es nun besser, zwei Browserfenster ge\u00f6ffnet zu halten. Kopiert nun den ganzen „Eintrag“ nach dem Doppelpunkt und f\u00fcgt ihn in den Nameserver ein. Lasst das Fenster mit Plesk besser auf! Bei Fehlern wird der Schl\u00fcssel wieder neu generiert und man muss wieder von vorne anfangen.
Nun zum Fenster mit dem Server4You-Powerpanel. Ihr findet den Nameserver unter „Network“ -> „Nameserver“<\/p>\n\n\n\n

\"\"
Etwas versteckt, doch sp\u00e4ter findet man den recht schnell.<\/figcaption><\/figure>\n\n\n\n

Auf der n\u00e4chsten Seite findet ihr alle eure Domains und um die DNS-Eintr\u00e4ge \u00e4ndern zu k\u00f6nnen, m\u00fcsst ihr bei der entsprechenden Domain auf die „Details“ klicken.
<\/span>ACHTUNG! PASST UM HIMMELSWILLEN AUF, DASS IHR HIER NUN NICHTS VERSEHENTLICH VERSTELLT ODER L\u00d6SCHT!
VERBINDUNGSVERLUST KANN DIE FOLGE SEIN!!!<\/span><\/strong><\/p>\n\n\n\n

\"\"
Hier in der Domain-Auswahl ist noch alles ungef\u00e4hrlich. Aber ab dem n\u00e4chsten Mausklick, bitte aufpassen!<\/figcaption><\/figure>\n\n\n\n

Nun kommt das Fenster, wo alle DNS-Eintr\u00e4ge im Nameserver aufgelistet sind.
Unerfahrende sollten hier SEHR VORSICHTIG sein. Verstellt ihr einen Eintrag, au\u00dfer dem _acme-challenge, werden einzelne Dienste oder die ganze Domain selbst nicht mehr erreichbar sein!
Also bitte NUR auf das Editier-Symbol (ein kleiner Stift) neben _acme-challenge klicken!
Das Schriftfeld mit dem Schl\u00fcssel wird nun beschreibbar, l\u00f6scht alles raus und f\u00fcgt nun den Schl\u00fcssel, den wir in Plesk kopiert hatten hier ein.
Vergewissert euch, dass keine „alten“ oder „fremde“ Zeichen beim kopieren sich eingeschlichen haben, denn der Schl\u00fcssel muss 1zu1 stimmen, sonst schl\u00e4gt die Erneuerung des Zertifikates fehl.<\/p>\n\n\n\n

\"\"
Bitte NUR hier beim Pfeil klicken, um den Wert zu erneuern!<\/figcaption><\/figure>\n\n\n\n

Der Eintrag ist gar nicht vorhanden? Keine Sorge! Der ist sehr schnell angelegt!
Unter der Tabelle ist eine Eingabemaske, um einen neuen DNS-Eintrag anzulegen. Der Eintrag muss folgenderma\u00dfen lauten:
Subdomain: _acme-challenge (den Unterstrich nicht vergessen!)
Typ: TXT
Priorit\u00e4t: <leer lassen>
Ziel: <Der Schl\u00fcssel vom Zertifikat aus Plesk><\/p>\n\n\n\n

\"\"
Ein neuer Schl\u00fcssel ist schnell angelegt!<\/figcaption><\/figure>\n\n\n\n

Wenn der neue Schl\u00fcssel abgespeichert wurde, m\u00fcssen wir nun eine Weile warten, bis die Eintr\u00e4ge im gro\u00dfen Internet aktualisiert wurden. Das kann bis zu 20 Minuten dauern. Lasst bis dahin unbedingt die Fenster auf und klickt nirgenswo drauf!
Wir \u00fcberpr\u00fcfen nun, ob der neue Schl\u00fcssel nun aktiv ist. Daf\u00fcr \u00f6ffnen wir eine SSH-Konsole (z.B. mit dem Programm Putty<\/a>) und loggen uns in den Server ein.
Mit dem folgendem Befehl k\u00f6nnen wir den Schl\u00fcssel abrufen, den auch der Zertifikat-Anbieter sehen kann.
dig -t txt _acme-challenge.<eureDomain.de> +short<\/strong><\/em>
Es wird der Schl\u00fcssel zwischen den Anf\u00fchrungszeichen ( „<Schl\u00fcssel>“ ) angezeigt, der \u00fcber das Internet in dem DNS-Eintrag gefunden wurde. Hier mal als Beispiel unser alter und schon l\u00e4ngst ersetzter Schl\u00fcssel.<\/p>\n\n\n\n

\"\"
So sieht die Konsole von Putty aus, verbunden mit dem Server.<\/figcaption><\/figure>\n\n\n\n

Geduld ist wichtig. Wartet immer eine Zeit (ca. 2min) und versucht es erneut. Ihr m\u00fcsst den Befehl nicht jedesmal neu schreiben bei Putty. Einfach mit den Cursor-Tasten einmal die Taste „nach oben“ dr\u00fccken und der letzte Befehl wird wieder in die Eingabe gezaubert, so das man diesen einfach wieder mit Return oder Enter erneut senden kann.
Wiederholt das nun, bis ihr als Antwort den neuen Schl\u00fcssel sieht!
ERST DANN klickt ihr in Plesk auf die Best\u00e4tigung zum \u00dcbernehmen des neuen Schl\u00fcssels:<\/p>\n\n\n\n

\"\"
Fast fertig! … Und wieder verschmiert… den neuen Schl\u00fcssel mag ich ehrlich gesagt doch lieber nicht zeigen.<\/figcaption><\/figure>\n\n\n\n

Wenn alles richtig gemacht wurde, habt ihr euer Zertifikat erfolgreich erneuert und habt erstmal ein paar Wochen Ruhe! Fall nicht, m\u00fcsst ihr leider alles nochmal von vorne machen, da bei einer fehlerhaften Erneuerung der Schl\u00fcssel neu generiert wird.
Nach dem Klick dauert es \u00fcbrigens etwas. Der Server und der Zertifikat-Anbieter tauschen in der Zeit einige Daten zwecks Verschl\u00fcsselung aus. Ist alles gut verlaufen, seht ihr den Erfolg in Plesk best\u00e4tigt:<\/p>\n\n\n\n

\"\"
Das war’s! Des neue Zertifikat wurde erfolgreich aktualisiert!<\/figcaption><\/figure>\n\n\n\n

Und das war es auch schon. Nun k\u00f6nnen alle Browser-Fenster geschlossen und die SSH-Konsole mit dem Befehl exit<\/em> beendet werden! Die Domain hat nun ein neues SSL\/TLS-Zertifikat, welches wieder einige Wochen g\u00fcltig ist!<\/p>\n","protected":false},"excerpt":{"rendered":"

2. Einloggen \u00fcber SSH, in Plesk und ins Power-PanelWir brauchen 2 Browser-Fenster und eine SSH-Konsole (z.B. \u00fcber Putty)!Als erstes loggen wir uns in das Power-Panel von Server4You ( https:\/\/my.server4you.de\/ ) ein: Im zweiten Browserfenster \u00f6ffnen wir die Oberfl\u00e4che von Plesk und dort unter „Websites & Domains“ bei der entsprechenden Domain […]<\/p>\n","protected":false},"author":1,"featured_media":0,"parent":121,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"footnotes":""},"class_list":["post-125","page","type-page","status-publish","hentry"],"_links":{"self":[{"href":"https:\/\/www.alphanet-bochum.de\/index.php?rest_route=\/wp\/v2\/pages\/125"}],"collection":[{"href":"https:\/\/www.alphanet-bochum.de\/index.php?rest_route=\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/www.alphanet-bochum.de\/index.php?rest_route=\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/www.alphanet-bochum.de\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.alphanet-bochum.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=125"}],"version-history":[{"count":1,"href":"https:\/\/www.alphanet-bochum.de\/index.php?rest_route=\/wp\/v2\/pages\/125\/revisions"}],"predecessor-version":[{"id":140,"href":"https:\/\/www.alphanet-bochum.de\/index.php?rest_route=\/wp\/v2\/pages\/125\/revisions\/140"}],"up":[{"embeddable":true,"href":"https:\/\/www.alphanet-bochum.de\/index.php?rest_route=\/wp\/v2\/pages\/121"}],"wp:attachment":[{"href":"https:\/\/www.alphanet-bochum.de\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=125"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}