Wenn Sie hier gelandet sind, ohne die Einstiegsseite zu kennen, bitte lesen Sie diese zuerst. Dort wird auch erklärt was ACME ist

Um auf einem Server per ACME Zertifikate zu beziehen und zu installieren, wird ein ACME Client benötigt. Wir beschreiben je einen Client für Linux und Windows. Weitere ACME Clients finden Sie hier: https://acmeclients.com/

Die hier vorgestellten ACME Clients können sich bei einem bestehenden Webserver einbinden oder können auch bei Bedarf automatisch einen Webserver für Domain Validierung bereitstellen.

Certbot auf Linux

Installation

Debian/Ubuntu:

sudo apt install certbot python3-certbot-apache

OpenSuSE/SLES:

sudo zypper install python3-certbot python3-certbot-apache

wenn nginx verwendet wird python3-certbot-nginx statt python3-certbot-apache

Sollten die Pakete standardmäßig nicht gefunden werden, muss der entsprechende SUSE PackageHub aktiviert werden (VERSION.SP entsprechend ersetzen, z.B.: 15.6)

sudo SUSEConnect -p PackageHub/VERSION.SP/x86_64
zypper ref
zypper install python3-certbot python3-certbot-apache

Alternativ/Andere:

Auf der Webseite von Certbot finden Sie weitere Möglichkeiten zur Installation, falls das Paket selbst, oder keine aktuelle Version, in den Paketquellen enthalten ist (beispielsweise per pip).

Benutzung

certbot run -m AMIN-EMAIL@tu-dresden.de --server https://acme.pki.cert.tu-dresden.de/ -d example1.cert.tu-dresden.de

"run" bezieht ein neues Zertifikat und installiert es im lokalen Webserver (Apache oder nginx mit den o.g. Plugins)
Mit "-d" werden die Domains angegeben, für die das Zertifikat ausgestellt werden soll
Statt dessen kann "certbot certonly ..." benutzt werden um ein neues Zertifikat auszustellen es aber nicht im Webserver zu installieren
Wenn ein anderer Webserver verwendet wird, kann es funktionieren den Webroot Ordner anzugeben (cerbot braucht Schreibrechte in $webroot/.well-known/acme-challenge):
```
certbot certonly --webroot -w /var/www/example  …
```
wenn auf dem Server kein Webserver läuft, kann certbot (mit dem "--standalone" Parameter) temporär einen internen Webserver starten, über den die Domain-Validierung durchgeführt wird

Simple-acme auf Windows

Installation

Simple-acme von https://simple-acme.com/download herunterladen und entpacken

Benutzung

Powershell als Admin starten

Zertifikat ausstellen

wacs.exe --baseuri "https://acme.pki.cert.tu-dresden.de/" --source manual --host example1.tud.de,example2.tud.de

mit dem Parameter "--source manual" werden die DNS-Namen manuell über das Kommando angegeben. Das Programm bietet verschiedene Parameter die DNS-Namen aus dem IIS oder einem CSR zu lesen

mit dem Alternativ-Parameter "--source iis" wird das Zertifikat direkt im IIS hinterlegt, ggf. muss das Default Binding angepasst werden
mit dem Parameter "--host" wird eine kommagetrennte Liste von DNS-Namen übergeben
Der Befehl beantragt ein neues Zertifikat und speichert dies standardmäßig im Windows Zertifikatsspeicher

Weitere Informationen finden Sie auf der Projektwebseite: https://simple-acme.com/

Alternative ACME-Client für Linux/FreeBSD: dehydrated

Falls „certbot“ nicht verwendet werden kann, z.B. weil Ihre Linux-Distribution zu alt ist, können Sie „dehydrated“ ausprobieren. Dehydrated ist als einzelnes Shell-Skript implementiert und benötigt lediglich einen Webserver sowie einige Standard-CLI-Tools

Voraussetzungen:

Ein Webserver (der Dateien vom Server veröffentlichen kann)
Kommandozeilentools: bash, grep, mktemp, diff, sed, awk, curl, cut, head, tail, hexdump, openssl

Schritte zur Einrichtung:

Laden Sie das aktuelle Release (.tar.gz) von GitHub herunter:
https://github.com/dehydrated-io/dehydrated/releases
Entpacken Sie die tar-Datei:
```
tar xf "dehydrated-X.Y.Z.tar.gz"
```
Kopieren Sie das dehydrated-Skript nach /usr/local/bin:
```
sudo cp dehydrated-X.Y.Z/dehydrated /usr/local/bin/
```

Ermitteln Sie das Webroot Ihres Webservers:

Standard bei Debian/Ubuntu: /var/www/html
```
nginx: grep 'root\s' /etc/nginx/ -R
```

apache: grep DocumentRoot /etc/apache2/ -R

```
oder: grep DocumentRoot /etc/httpd/ -R
```

Verzeichnis für ACME-Challenges anlegen (ersetzen Sie /webroot durch das Webroot Ihres Servers):

export WEBROOT=/webroot
sudo mkdir -p $WEBROOT/.well-known/acme-challenge
sudo chmod o+rx $WEBROOT/.well-known/acme-challenge $WEBROOT/.well-known/

Konfigurationsverzeichnis /etc/dehydrated anlegen:sudo mkdir /etc/dehydrated

Konfigurationsdatei /etc/dehydrated/config erstellen (ersetzen Sie WEBROOT durch das Webroot Ihres Servers):

WELLKNOWN=WEBROOT/.well-known/acme-challenge
CONTACT_EMAIL=admin-email@tu-dresden.de
CA=https://acme.pki.cert.tu-dresden.de
DOMAINS_TXT=/etc/dehydrated/domains.txt
CERTDIR="/etc/dehydrated/certs"

Fügen Sie die Hostnamen/Domänennamen Ihres Servers in /etc/dehydrated/domains.txt ein (ein Name pro Zeile).
Stellen Sie sicher, dass der ACME-Server Ihren Server auf Port 80 erreichen kann (überprüfen Sie die Enterprise-Cloud- und Host-Firewall).
Neues Zertifikat anfordern:
```
sudo dehydrated -c -f /etc/dehydrated/config
```
- Die Zertifikate werden unter /etc/dehydrated/certs/$HOSTNAME gespeichert.
Um die neuen Zertifikate automatisch im Webserver bereitzustellen, können Sie ein Deploy-Skript verwenden, das die Dateien an die richtigen Orte kopiert, Berechtigungen anpasst und den Webserver neu startet. Details finden Sie in der offiziellen Dokumentation: https://github.com/dehydrated-io/dehydrated/blob/master/docs/examples/hook.sh
Führen Sie dehydrated einmal pro Woche aus, um bald ablaufende Zertifikate zu erneuern. Fügen Sie dazu folgende Zeile in /etc/crontab ein:
```
0 7 * * 1 root dehydrated -c -f /etc/dehydrated/config
```