Let’s Encrypts Wildcard-Zertifikate mit dem Reverse-Proxy Traefik nutzen
Traefik kann Let’s-Encrypt-Zertifikate für eine Subdomain verwalten und Wildcard-Zertifikate zur Absicherung des Verkehrs aller Hosts einer Domain bestellen.
- Merlin Schumacher
Let’s Encrypt hat das Beschaffen von kostenlosen und vom Browser akzeptierten TLS-Zertifikaten so einfach gemacht, dass jeder seine Online-Dienste verschlüsselt anbieten kann. Seit 2018 bietet der Dienst auch Wildcard-Zertifikate an. Mit dieser Art von Zertifikat kann man eine Hauptdomain und alle ihre Subdomains absichern. Man muss also nicht mehr für jede Subdomain ein eigenes Zertifikat ordern, sondern braucht nur noch ein einziges für alle.
Für die Bestellung dieser Wildcard-Domains muss man jedoch eine sogenannte DNS-01-Challenge absolvieren. Diese wurde mit dem Standard ACME 2.0 (Automatic Certificate Management Environment) eingeführt. Hier beweist der Besteller eines Zertifikats durch das Erstellen eines speziellen DNS-Eintrags, dass ihm die Domain auch gehört. Damit stellt Let‘s Encrypt sicher, dass nur jemand, der Kontrolle über den DNS-Eintrag einer Domain hat, auch Wildcard-Zertifikate bekommt.
Die HTTP-Challenge oder auch die TLS-ALPN-01-Challenge, für Systeme, bei denen Port 80 nicht erreichbar ist, reichen hier nicht aus. Somit ist sichergestellt, dass jemand, der nur eine Subdomain kontrolliert, sich kein Zertifikat für die Hauptdomain und alle anderen Subdomains erschleichen kann. Haben Sie bisher noch keine Erfahrungen mit Traefik gesammelt empfehlen wir Ihnen Artikel zum Einstieg zu dem Reverse Proxy und für den Umgang mit TCP-Diensten und das Verbessern der TLS-Einstellungen.
Das war die Leseprobe unseres heise-Plus-Artikels " Let’s Encrypts Wildcard-Zertifikate mit dem Reverse-Proxy Traefik nutzen ". Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.
