Letsencrypt SSL Zertifikate über Windows 10 erstellen

Folgendes Problem ereilte alle, die bislang die kostenlosen Letsencrypt Zertifikate über SSL for free erstellt haben, weil ihr Hoster Letsencrypt nicht unterstützte, wie z.B. HostEurope.

Nun fusionierte SSL for free mit Zero SSL und auch dort lassen sich Gratis SSL Zertifikate erstellen, aber leider keine Multidomainzertifikate und nach 90 Tagen scheint auch dort mit Gratis Zertifikaten Schluss zu sein.

Dennoch ist es auch als Windows Nutzer relativ einfach möglich,  selbst diese Zertifikate von Letsencrypt zu erstellen.

Was braucht es dazu:

  1. Windows 10
  2. WSL (Windows Subsystem for Linux)
  3. Internetverbindung

Nach der Installation von Ubuntu über den Windows Store steht eine Linux Console zur Verfügung.

Um den Certbot zu installieren, gebt folgende Befehle ein:

$ sudo apt-get update
$ sudo apt-get install software-properties-common
$ sudo add-apt-repository universe
$ sudo add-apt-repository ppa:certbot/certbot
$ sudo apt-get update

Für die Erstellung eines Zertifikats folgendes eingeben:

$ sudo certbot certonly --manual

Der Certbot stellt nun einige Fragen wie Emailadresse ect. und fragt dann die Domains ab, für die die Zertifikate gelten sollen. Die Domains werden mit Komma getrennt und es sollten die  Domains mit www und ohne www angegeben  werden. Wenn Ihr eine Multidomain habt (also z.B. mit dem Ende .de und .com) gebt ihr diese alle ein.

Bevor die Zertifikate erstellt werden, müssen die angegeben Domains von Letsencrypt validiert werden. Dazu muss von Euch im Rootverzeichniss Eurer Domain ein Ordner .well-known erstellt werden, in dem ihr wiederum das Verzeichnis acme-challenge erstellt. In letzteren Ordner werden für jede Domain Dateien vom Certbot vorgegeben, die ihr in den Ordner acme-challenge speichern müsst.

Die Aufforderung vom Bot in der Linuxconsole lautet zum Beispiel:

create a file containing just this data
gdf8HIOHN_juhjkgnajdsagdsaßhio.CdfandagdsklnklnknOHJL

and make it available on your webserver at this url:
http://EureDomain/.well-known/acme-challenge/gdf8HIOHN_juhjkgnajdsagdsaßhio

Bitte nicht auf „continue“ klicken, bevor diese Datei auf dem Server liegt.
Zur Vorgehensweise empfehle ich, den Notpad++ Editor
zu verwenden. Um die Ziffernfolge in der Console zu markieren, klickt auf das Ubuntu Symbol links oben, dann auf bearbeiten und markieren. Nach dem Markieren logischer Weise auf kopieren und den Dateiinhalt ein ein geöffnetes Notepad++ Fenster kopieren und die Datei unter dem vom Certbot vorgegebenen Namen speichern.

Diese wird dann mit einem geeigneten FTP Clienten (z.B. filezilla) in das entsprechende Verzeichnis kopiert. Bitte beachten, die Datei darf keine Endung haben. Falls ein .txt hinzugefügt worden ist, die Endung per Rechtsklick und umbenennen entfernen.

Dieses Spiel musst ihr für jede angegebene Domain durchführen (also schon mal 2 für www und ohne www) und für Multidomain Zertifikate entsprechend.

Der Certbot von Letsencrypt prüft, ob die Dateien auf Eurer Domain zu finden sind und erstellt dann die Zertifikate in einem Ordner mit dem Namen Eurer Domain.

Der Ordner liegt unter C:\Users\EurerName\AppData\Local\Packages\CanonicalGroupLimited.UbuntuonWindows_79rhkp1fndgsc\LocalState\rootfs\etc\letsencrypt\live

In dem Ordner mit dem Namen Eurer Domain findet Ihr 4 Dateien:

cert.pem
chain.pem
fullchain.pem
privekey.pem

Wenn Ihr bei HostEurope die Zertifikate hochladen wollt, hier die Anleitung dazu:

Die cert.pem kommt zu „Zertifikat“, die privekey zu „Key“ und die fullchain.pem zu „CA“

Absenden und fertig.
Damit Eure Domain automatisch mit https aufgerufen wird, noch in die .htacess folgendes eintragen:

RewriteEngine On
RewriteCond %{SERVER_PORT} !^443$
RewriteRule (.*) https://%{HTTP_HOST}/$1 [R=301,L]

 

7 Antworten auf „Letsencrypt SSL Zertifikate über Windows 10 erstellen“

  1. Das wirkt auf mich wie eine sehr interessante Idee, die ich ausprobieren werde.
    Ich verstehe den HE-Starrsinn nicht, denn am Ende werden sie es auch anbieten. Dann bin ich aber weg mit zig Domains.

    Es wundert mich, dass es nicht schon länger Lösungen wie Deine gibt, im besten Fall automatisiertere, die zumindest die Dateien in die Domain-Dirs kopiert.
    Stelle mir vor, dass man die via Script über XAMPP erzeugt alle 90 Tage.

  2. Ja, den Starrsinn von HE verstehe ich auch nicht. Es sollte mit obiger Methode mit „renew“ relativ einfach sein, die Zertifikate zu erneuern. Ich muss nächste Woche 2 erneuern und werde mal berichten.

  3. Hallo Admin,
    ich werd’s verfolgen.
    Das Erneuern ist ja leider nicht alles. Mich nervt allein das regelmässige Hochladen der Dateien bei Verwaltung vieler Domains.

    Am einfachsten finde ich, einfach zu einem anderen Lets-Encrypt kostenlos unterstützenden Provider umzuziehen. Bin schon kräftig dabei, bei AI gibts das Zertifikat mit einem Klick (!) und man muss sich nicht mehr um renew kümmern.

    Alles andere geht auch und ist günstiger als HE, die mich nach vollständigem Umzug Anfang nächstes Jahr nicht mehr wiedersehen werden.

  4. Hallo
    Vielen Dank für die super Anleitung!
    Ich habe das Problem, dass bei mir die Zertifikat- und Key-Dateien zwar existieren, aber alle mit 0 Byte. Wenn ich darauf Zugreifen möchte, meldet Windows „Datei nicht gefunden“ oder „Kann nicht darauf zugreifen.
    Was mache ich wohl falsch?

  5. Mit welchem Programm willst Du auf die Zertifikate zugreifen? Wenn Du sie öffnen willst, empfehle ich Notepad++.
    Dass die Dateien erstellt werden,aber 0 Byte haben, kann ich mir so nicht erklären. Und es kommen in der Konsole keine Fehlermeldungen? Bist Du als Administrator bei Windows angemeldet?
    Ich hätte noch folgende Idee: Im Letsencrypt Ordner befindet sich der Unterordner „archive“. Sieh mal dort unter dem Ordner „Deine Domain“, ob sich dort Sicherungen Deiner Zertifikate befinden und ob die Inhalte haben. Falls ja, nimmst Du diese und stellst Sie wie beschrieben bei HostEurope ein.

  6. Es sicher die – sauberste- Lösung mit einem Linux-Subsystem aud Windows und dem originale Certbot Zertifikate zu erstellen. Es gibt allerdings auch eine einfachere Lösung – einfach auf der Kommandozeilen-Ebene von Windows.

    Wer früher mit ZeroSSL gearbeitet hat, um Let’s encrypt Zertifikate zu erstellen, dem empfehle ich das Tool Crypt-LE ( https://github.com/do-know/Crypt-LE ). Das läuft unter Windows und Linux, gewöhnungsbedürftig ist, dass es eine Kommandozeilenprogramm ist. Der Autor war der frühere Betreiber von ZeroSSL.

    Kommt man z.B. mit der Windows Powershell zurecht, dann geht die Erneuerung der Zertifikate damit sehr flüssig. Der Ablauf entspricht in etwa der ollen ZeroSSL-Seite – nur eben auf dem eigenen Computer. Was zusätzliche Sicherheit mit sich bringt.

    Trotzdem bin ich der Meinung, dass Hosteurope dringend die Einrichtung und Aktualisierung von Let‘ Encypt-Zertifikaten unterstützen sollte.

  7. Danke für den Hinweis. Ob das nun einfacher ist, als über das Linux-Subsystem, muss jeder wohl selbst entscheiden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.