Sicherheitguide

Let's Encrypt Wildcard-Zertifikat mit DNS-Challenge 2025

*.firma.de für alle Subdomains mit einem Zertifikat

S
SeeColors IT11. Juni 20264 Min. Lesezeit74 Aufrufe

Wann Wildcard-Zertifikat sinnvoll?

Standard-Zertifikat:    firma.de, www.firma.de, mail.firma.de
Wildcard-Zertifikat:    *.firma.de  (deckt ALLE Subdomains ab)

Sinnvoll wenn:
+ Viele Subdomains (app., api., admin., mail., etc.)
+ Interne Dienste ohne öffentlichen Zugang
+ Keine Exposition der Subdomainen an Let's Encrypt Transparency Log

DNS-01 Challenge Voraussetzungen

Unterstützte DNS-Provider für automatische Erneuerung:
- Cloudflare (häufigste Wahl)
- Route 53 (AWS)
- Hetzner DNS
- All-Inkl, IONOS, Netcup (via certbot-dns-*)
- Netcup (certbot-dns-netcup Plugin)

Certbot mit Cloudflare DNS

# Certbot und Cloudflare-Plugin installieren
apt install -y certbot python3-certbot-dns-cloudflare

# Cloudflare API-Token erstellen
# Cloudflare Dashboard → API Tokens → Create Token
# Template: "Edit zone DNS" → Zone: firma.de

# API-Token speichern
mkdir -p /root/.secrets
cat > /root/.secrets/cloudflare.ini << 'EOF'
dns_cloudflare_api_token = DEIN_API_TOKEN
EOF
chmod 600 /root/.secrets/cloudflare.ini

# Wildcard-Zertifikat ausstellen
certbot certonly     --dns-cloudflare     --dns-cloudflare-credentials /root/.secrets/cloudflare.ini     --dns-cloudflare-propagation-seconds 60     -d firma.de     -d "*.firma.de"     --email [email protected]     --agree-tos     --no-eff-email

# Zertifikat prüfen
certbot certificates
ls -la /etc/letsencrypt/live/firma.de/

Automatische Erneuerung

# Test
certbot renew --dry-run

# Timer prüfen (automatisch nach certbot-Installation aktiv)
systemctl status certbot.timer
systemctl list-timers certbot.timer

# Manuelle Erneuerung
certbot renew --force-renewal

Mit Nginx verwenden

# /etc/nginx/snippets/ssl-firma.conf
ssl_certificate     /etc/letsencrypt/live/firma.de/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/firma.de/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/firma.de/chain.pem;

# HSTS
add_header Strict-Transport-Security "max-age=63072000; includeSubDomains" always;

# Alle Subdomains nutzen das gleiche Snippet:
# server {
#     server_name app.firma.de;
#     include /etc/nginx/snippets/ssl-firma.conf;
# }

Für interne Server (kein Public-Zugang)

# Interne Server können Wildcard nutzen ohne öffentlichen Port 80!
# DNS-Challenge beweist Domain-Kontrolle über DNS Record

# Beispiel: interner Server 192.168.1.50
# Zertifikat auf Server A ausstellen, auf Server B kopieren
scp -r /etc/letsencrypt/live/firma.de/ [email protected]:/etc/letsencrypt/live/
scp -r /etc/letsencrypt/archive/firma.de/ [email protected]:/etc/letsencrypt/archive/
scp /etc/letsencrypt/renewal/firma.de.conf [email protected]:/etc/letsencrypt/renewal/

FAQ

Was ist der Unterschied zwischen HTTP-01 und DNS-01 Challenge?
HTTP-01: Webserver muss Port 80 öffentlich erreichbar sein. DNS-01: Nur DNS-Zugang nötig, erlaubt Wildcard-Zertifikate und interne Server.

Fazit

Wildcard-Zertifikate mit DNS-01 Challenge sind ideal für KMU mit mehreren Subdomains oder internen Diensten ohne öffentlichen Webserver.

SSL-Zertifikate und Sicherheit für KMU in Heidelberg, Mannheim und der Rhein-Neckar-Region. Anfragen.

Artikel teilen

LinkedIn X / Twitter Facebook WhatsApp

War dieser Artikel hilfreich?

Dein Feedback hilft uns, bessere Inhalte zu erstellen.

Kommentar hinterlassen

#DNS#Sicherheit#SSL#Let's Encrypt

Verwandte Artikel

Active Directory – Fine-Grained Password Policies 2025

4 Min.

Active Directory Tier-Modell – privilegierte Konten sichern 2025

4 Min.

Windows DNS Server – Zonen und Records konfigurieren 2025

4 Min.