Bei Systemen, die aus dem Internet erreichbar sind wie Web- oder Mail-Server, wird ein Zertifikat benötigt, das von einer Institution unterzeichnet wurde. Solche Zertifikate waren in der Vergangenheit sehr teuer. Let's Encrypt ermöglicht es, SSL/TLS-Zertifikate kostenlos und automatisiert auszustellen und valide Zertifikate für das Internet zu bekommen.
Dabei hält die Zertifizierungsstelle den Administrationsaufwand für die Anwender möglichst gering, indem der HTTPS-Server mit minimaler Konfiguration Zertifikate autonom anfragen kann.
Die erstellten Zertifikate können mit der App automatisch in Apache, Dovecot und Postfix eingebunden, aber auch für SSL/TLS-verschlüsselte Kommunikation anderer Dienste verwendet werden.
Weitere Besonderheiten von Let’s Encrypt sind zum einen der vollkommen automatisierte Prozess zur Erstellung und Validierung eines angefragten Zertifikats, zum anderen die völlige Transparenz über diese Transaktionen, so dass Missbrauch schwierig wird.

Funktionsweise von Let's Encrypt auf Basis des ACME-Protokolls

Die Funktionsweise von Let's Encrypt basiert auf dem Automated Certificate Management Environment-Protokoll. Dieses hat die Internet Security Research Group (ISRG) eigens für Let's Encrypt designt. Es basiert auf JSON sowie HTTPS und ist bereits auf verschiedene Arten und in einer Vielzahl von Clients implementiert.

ACME und Let‘s Encrypt – Erstellen und Validieren der Schlüsselpaare

Im ersten Schritt erzeugt der ACME-Client gemeinsam mit dem Let‘s Encrypt-Server ein „autorisiertes Schlüsselpaar“ für die jeweilige Domäne, das dazu berechtigt ist, ein Zertifikat für diese Domäne anzufragen oder zurückzusenden. Dabei erstellt der Client einen Certificate Signing Request (CSR), signiert diesen mit seinem Schlüssel und sendet ihn an Let‘s Encrypt. Im zweiten Schritt wird das Schlüsselpaar mit Hilfe einer Challenge validiert.

Sichere Zertifikate erstellen mit dem Let‘s Encrypt-Clients in UCS

Mit der Let‘s Encrypt-App bietet Univention eine weitgehend automatisierte Integration eines Let‘s Encrypt-Clients an. Nach der Installation der App auf UCS tragen Sie nur noch über die App-Einstellungen im App Center die gewünschten Domains ein und konfigurieren die Verwendung des Zertifikats in Apache, Dovecot und Postfix.
Mit Hilfe eines mitinstallierten Cronjobs wird Ihr Zertifikat alle 30 Tage automatisch aktualisiert, so dass Sie stets ein valides Zertifikat im System haben.

Der verwendete Client "acme-tiny" wurde nicht von Univention erstellt und die App operiert nur auf dem Server, auf dem sie installiert ist. Dieser muss aus dem Internet über die gewünschte Domäne erreichbar sein.

Die folgenden Dienste sind bereits integriert:

  • Apache
  • Postfix
  • Dovecot

Bitte beachten Sie, dass diese App nicht vom Univention-Support abgedeckt ist. Jedoch steht Ihnen die Community auf help.univention.com bei Ihren Fragen zur Verfügung. Bei Fragen zu Ihrer Support-Abdeckung, kontaktieren Sie gerne Ihren Ansprechpartner bei Univention.

Zurück zur Übersicht

Jetzt mit UCS testen

Zum Downloadbereich

Laden Sie UCS herunter und aktivieren Sie Let’s Encrypt direkt im App Center.

Weitere Informationen

Lizenz:
Kostenlose kommerzielle Nutzung
Verfügbar für UCS Versionen:
4.2, 4.3
Version:
1.2.2-3 (UCS 4.3)