Let’s Encrypt Wildcard-Zertifikat auf einem Windows Server (IIS) erstellen

Mit einem Wildcard-Zertifikat von Let’s Encrypt können Sie eine Domain und sämtliche Subdomains absichern, beispielsweise:

• example.de
• www.example.de
• shop.example.de
• mail.example.de

In dieser Anleitung wird die Erstellung eines Wildcard-Zertifikats mithilfe von Crypt-LE beschrieben.

Voraussetzungen

• Windows Server mit Administratorrechten
• Zugriff auf die DNS-Verwaltung der Domain
• IIS installiert
• Eine öffentlich erreichbare Domain

Schritt 1: Crypt-LE herunterladen

Laden Sie die aktuelle Version von Crypt-LE herunter:

https://github.com/do-know/Crypt-LE/releases

Verwenden Sie die Datei le64.zip.

Schritt 2: Arbeitsverzeichnis erstellen

Legen Sie das Verzeichnis an:

C:\LetsEncrypt

Entpacken Sie anschließend den Inhalt von le64.zip in dieses Verzeichnis.

Schritt 3: ACME-Verzeichnis anlegen

Öffnen Sie eine Eingabeaufforderung mit Administratorrechten und erstellen Sie das folgende Verzeichnis:

mkdir C:\inetpub\wwwroot\.well-known\acme-challenge\

Hinweis:
Das Verzeichnis .well-known lässt sich aufgrund des führenden Punktes häufig nicht komfortabel über den Windows Explorer anlegen. Verwenden Sie daher die Eingabeaufforderung.

Schritt 4: Zertifikat anfordern

Wechseln Sie in das Verzeichnis:

cd C:\LetsEncrypt\le64

Führen Sie anschließend folgenden Befehl aus:

le64.exe --key account.key --csr mydomain.csr --csr-key mydomain.key --crt mydomain.crt --domains "*.mydomain.de" --path C:\inetpub\wwwroot\.well-known\acme-challenge\ --generate-missing --unlink --live --handle-as dns --api 2

Domain anpassen

Ersetzen Sie dabei:

mydomain.de

durch Ihre eigene Domain.

Beispiel:

cmocloud.de

Der Parameter

--domains "*.cmocloud.de"

fordert ein Wildcard-Zertifikat für sämtliche Subdomains der Domain an.

Schritt 5: DNS-Validierung durchführen

Während der Zertifikatsanforderung erzeugt Crypt-LE einen TXT-Wert für die DNS-Validierung.

Dieser muss als TXT-Eintrag in der DNS-Zone Ihrer Domain hinterlegt werden.

Typischerweise lautet der DNS-Name:

_acme-challenge.ihredomain.de

Folgen Sie den Anweisungen des Programms und tragen Sie den erzeugten TXT-Wert in Ihrer DNS-Verwaltung ein.

Schritt 6: DNS-Eintrag prüfen

Bevor Sie die Zertifikatsanforderung fortsetzen, sollte geprüft werden, ob der TXT-Eintrag weltweit erreichbar ist.

Verwenden Sie hierzu auf einem anderen System beispielsweise folgenden Befehl:

nslookup -q=TXT _acme-challenge.ihredomain.de 8.8.8.8

Die Ausgabe sollte den von Crypt-LE erzeugten TXT-Wert anzeigen.

Beispiel

nslookup -q=TXT _acme-challenge.cmocloud.de 8.8.8.8

Schritt 7: Auf DNS-Propagation warten

Neue DNS-Einträge werden nicht sofort weltweit übernommen.

Je nach DNS-Anbieter kann es zwischen wenigen Minuten und etwa einer Stunde dauern, bis der TXT-Eintrag korrekt aufgelöst wird.

Warten Sie daher, bis der korrekte TXT-Wert über nslookup sichtbar ist.

Erst danach sollte die Zertifikatsanforderung durch Drücken der Eingabetaste (Enter) fortgesetzt werden.

Ergebnis

Nach erfolgreicher Validierung erstellt Crypt-LE die benötigten Zertifikatsdateien, darunter:

mydomain.crt
mydomain.key
mydomain.csr
account.key

Diese Dateien können anschließend für die Einrichtung des SSL-Zertifikats im IIS verwendet werden.

Hinweise

• Wildcard-Zertifikate von Let’s Encrypt erfordern zwingend eine DNS-Validierung.
• Änderungen an DNS-Einträgen können je nach Provider zeitverzögert wirksam werden.
• Für die spätere automatische Verlängerung müssen die DNS-Validierung und die eingesetzten Werkzeuge weiterhin verfügbar sein.
• Bewahren Sie die erzeugten Schlüsseldateien sicher auf und geben Sie diese nicht an Dritte weiter.