Zurück zur Startseite

Let's Encrypt auf Load Balancer

  1. Einleitung
  2. Nutzung und Optionen
  3. Registration
  4. Zertifikate verwalten
    1. Zertifikat erstellen
    2. Zertifikat löschen
    3. Zertifikat erweitern
  5. Zertifikate erneuern

Einleitung

Let’s Encrypt ermöglicht Ihnen selbst Zertifikate auf Load Balancern auszustellen und automatisiert einzurichten.

Die Implementation steht nicht standardmässig auf unseren Load Balancern zur Verfügung. Wir ergänzen den Service nach Prüfung gerne. Bitte senden Sie uns bei Interesse eine Anfrage an support@nine.ch .

Pro Let’s Encrypt Zertifikat können bis zu 100 (Sub)Domains genutzt werden. Eine Limitierung hinsichtlich der Anzahl an Zertifikaten besteht nicht.

Wildcard Zertifikate von Let’s Encrypt werden nicht unterstützt.

Voraussetzung

Damit Let’s Encrypt die Domainvalidierung durchführen kann muss der A- oder CNAME-Record, für den ein Zertifikat ausgestellt werden soll, auf die failover Adresse des Load Balancer verweisen. Kontaktieren Sie bei Unklarheiten gerne unseren Support unter support@nine.ch .

Nutzung und Optionen

Die Let’s Encrypt Implementation kann auf dem primären Loadbalancer genutzt werden, ein Abgleich zum sekundären (standby) Loadbalancer findet automatisch statt. Die Nutzung auf dem sekundären Loadbalancer ist nicht möglich.

Die folgenden Optionen stehen zur Verfügung, die Hilfe kann auch jederzeit mittels nine-manage-letsencrypt --help angezeigt werden:

  nine-manage-letsencrypt register <email>
  nine-manage-letsencrypt certificate list
  nine-manage-letsencrypt certificate create <domain>
  nine-manage-letsencrypt certificate remove <domain>
  nine-manage-letsencrypt certificate renew-expiring
  nine-manage-letsencrypt alias add <alias> <domain>
  nine-manage-letsencrypt alias remove <alias> <domain>

Registration

Um Let’s Encrypt Zertifikate anfordern zu können müssen Sie sich zunächst an der Let’s Encrypt API registrieren. Hierbei muss eine gültige E-Mail-Adresse angegeben werden.

An diese E-Mail-Adresse werden Mitteilungen bei einem Problem mit der Erneuerung eines Zertifikats gesendet. Daher sollte unbedingt eine E-Mail-Adresse verwendet werden die regelmässig geprüft wird.

Die Registrierung kann wie folgt über die Command Line durchgeführt werden:

www-data@nine-lb01:~ $ sudo nine-manage-letsencrypt register devops@domain.ch

Zertifikate verwalten

Zertifikat(e) auflisten

www-data@nine-lb01:~ $ sudo nine-manage-letsencrypt certificate list

Zertifikat erstellen

www-data@nine-lb01:~ $ sudo nine-manage-letsencrypt certificate create lb.nine.ch

Zertifikat löschen

Die Löschung eines Zertifikates entfernt den Vhost auf dem Loadbalancer und widerruft das Zertifikat bei Let’s Encrypt.

www-data@nine-lb01:~ $ sudo nine-manage-letsencrypt certificate remove lb.nine.ch

Zertifikat erweitern

Ein bestehendes Zertifikat kann um bis zu 100 (Sub)Domains oder Aliase erweitert werden. Nach dem Hinzufügen eines Aliases wird ein neues Zertifikat ausgestellt dass zusätzlich den Alias enthält.

www-data@nine-lb01:~ $ sudo nine-manage-letsencrypt alias add www.nine.ch lb.nine.ch

Alias aus Zertifikat entfernen

Ein vormals hinzugefügter Alias kann nachträglich entfernt werden. Nach dem Entfernen eines Aliases wird ein neues Zertifikat ausgestellt dass den entfernten Alias nicht mehr enthält.

www-data@nine-lb01:~ $ sudo nine-manage-letsencrypt alias remove www.nine.ch lb.nine.ch

Zertifikate erneuern

Let’s Encrypt Zertifikate haben eine Gültigkeit von 90 Tage und werden 30 Tage vor Ablauf automatisch erneuert. Sollte bei der automatischen Erneuerung ein Fehler auftreten wird an die bei der Registrierung verwendete E-Mail-Adresse eine Mitteilung versendet.

Folgende Gründe können zu einer fehlgeschlagenen Erneuerung führen:

  • (Sub)Domain verweist nicht auf die failover Adresse oder es ist kein A- oder CNAME-Eintrag vorhanden
  • Die Anfrage wird von einem CDN (bspw. Cloudflare oder Akamai) oder externen Load Balancer nicht unverändert weitergeleitet. Stellen Sie sicher dass Requests an /.well-known/acme-challenge/ immer unverändert weitergeleitet werden.

Die automatische Erneuerung wird einmal täglich ausgeführt. Sollte es notwendig oder gewünscht sein die Erneuerung sofort durchzuführen kann dies mittels nine-manage-letsencrypt certificate renew-expiring forciert werden.

Es ist im Normalfall nicht notwendig dass Sie sich selbst um die Erneuerung kümmern.

Haben Sie die gewünschten Informationen nicht gefunden?

Kontaktieren Sie unseren Support:

+41 44 637 40 40 support@nine.ch