Auf DEFENDO können Zertifikate von Let's Encrypt verwendet werden. Diese Zertifikate werden von allen gängigen Browsern unterstützt und sind kostenlos. Selbst Multi-Domain-Zertifikate, also Zertifikate, die für mehrere Servernamen gültig sind (z.B. "www.example.com" und "www.example.de"), sind kostenlos.

Das Besondere bei der Beantragung von Let's Encrypt-Zertifikaten ist, dass die Zertifikate vollautomatisch ausgestellt und erneuert werden. Das dabei eingesetzte Verfahren nennt sich "Automatic Certificate Management Environment" (ACME). Ein zentraler Punkt dieses Verfahrens ist die Verifikation des Antragstellers. Um Missbrauch zu verhindern, muss der Antragsteller nachweisen, dass er die Kontrolle über die Server besitzt, für die das Zertifikat beantragt wird. DEFENDO unterstützt ausschließlich die Verifikation über HTTP. Dabei muss unter den beantragten Servernamen ein Web-Server erreichbar sein, der eine Datei mit definiertem Inhalt bereit stellt. Daraus ergibt sich, dass Let's Encrypt-Zertifikate nicht für rein interne Server genutzt werden können.

Es gibt noch weitere wichtige Besonderheiten und Einschränkungen:

• Da bei der Verifikation lediglich die Kontrolle über den Servernamen geprüft wird, steht auch nur der Servername im Zertifikat. Der Firmenname beispielsweise steht also nicht im Zertifikat
• Folgerichtig könne auch keine Extended-Evaluation-Zertifikate (EV-Zertifikate; Anzeige des Firmennamens in der Adresszeile des Browsers) über Let's Encrypt bezogen werden
• Der Abruf von Wildcard-Zertifikaten (*.example.com) ist derzeit noch nicht möglich
• Let's Encrypt erlaubt es nicht, Zertifikate für IP-Adressen auszustellen
• Zertifikate sind nur 3 Monate gültig. Aufgrund der automatischen Aktualisierung ist dies jedoch nicht weiter problematisch

Die HTTP-Verifikation wird mit Hilfe des Reverse-Proxies durchgeführt. Dieser muss aus dem Internet über Port 80 angesprochen werden können. Konfigurieren Sie den Reverse-Proxy bitte wie folgt:

• Öffnen Sie in der DEFENDO Administrationsoberfläche das Menü "Module > Reverse-Proxy"
• Sofern noch nicht vorhanden, legen Sie dort einen neuen Port vom Typ "unverschlüsselt (http://)" an. Wählen Sie dazu eine freie Port-Nummer wie z.B. 88
• In der folgenden Konfigurationsmaske sind keine besonderen Einstellungen notwendig. Mit "OK" kehren Sie zurück zur Port-Liste.
• Klicken Sie dort in der Zeile des HTTP-Ports auf den Link "Virtuelle Hosts"
• Legen Sie für jeden Servernamen der im Zertifikat enthalten sein wird einen virtuellen Server an. Bei einer größeren Anzahl von Servernamen ist es einfacher, wenn Sie das Eingabefeld leer lassen. Es wird dann ein virtueller Host angelegt, der für beliebige Servernamen zuständig ist. So ein Standardserver wird in der List mit "*" angezeigt
• In der Konfiguration aller relevanten virtuellen Server müssen Sie auf dem Reiter (Tab) "DEFENDO Dienste" die Option "ACME HTTP-Authorisierung" aktivieren
• Damit der Reverse-Proxy Port aus dem Internet unter Port 80 angesprochen werden kann, ist noch eine Firewall-DNAT-Regel erforderlich. Wählen Sie dazu unter "Module > Firewall > Regeln" die Internet-Schnittstelle aus, über die Let's Encrypt auf den Reverse-Proxy zugreifen wird und wechseln Sie auf den Reiter (Tab) "DNAT > *".
• Fügen Sie dort eine Regel mit dem Protokoll "HTTP" hinzu. Unter "zu IP" tragen Sie bitte eine beliebige DEFENDO IP ein. Der Reverse-Proxy Port wird unter "Port" eingetragen
• Schließlich müssen Sie noch den Reverse-Proxy starten, sofern dieser nicht ohnehin schon läuft.

Jetzt können Sie das Let's Encrypt-Zertifikat ausstellen.

• Wechseln Sie dazu in das Menü "System > Zertifikatsverwaltung > Schlüsselbund" und legen Sie dort einen neuen Eintrag an
• Bei Versionen ab 7.2-1.6 stellen Sie oben bitte die "Beantragungsmethode" auf "ACME (z.B. Let's Encrypt)" um und starten dann den Assistenten "Zertifikatsabruf über ACME konfigurieren"
• (Bei Versionen vor 7.2-1.6 starten Sie stattdessen den Assistenten "Zertifikat neu ausstellen / Einstellungen ändern" und wählen die Option "Zertifikat über das ACME-Protokoll automatisiert abrufen (z.B. Let's Encrypt)")
• Da die Anzahl der pro Tag ausgestellten Zertifikate limitiert ist, sollten Sie zunächst den Let's Encrypt Test-Server nutzen, um Ihre Konfiguration zu überprüfen. Beachten Sie bitte, dass die vom Test-Server ausgestellten Zertifikate von den Browsern nicht als gültig akzeptiert werden
• Tragen Sie alle Servernamen ein, auf die das Zertifikat ausgestellt werden soll und fahren Sie fort mit dem Abruf des Zertifikats
• Wiederholen Sie den Vorgang im Erfolgsfall mit dem Let's Encrypt Produktiv-Server
• Wechseln Sie schließlich in die Menüs der DEFENDO Server-Dienste, für die das neue Zertifikat bestimmt ist und wählen Sie es dort aus

Jeden Montag morgen wird jetzt geprüft, ob die Restlaufzeit des Zertifikats weniger als 30 Tage beträgt. Falls ja, wird das Zertifikat automatisch erneuert.

Auf Cluster-Systemen wird das Zertifikat wie üblich über den Backup abgerufen. Verifikationsanfragen die am Reverse-Proxy des Master-Knotens ankommen werden automatisch an den Backup-Knoten weitergeleitet. Damit neue Zertifikate automatisch vom Backup auf den Master-Knoten übertragen werden, sollte die automatische Synchronisierung der Konfiguration aktiviert sein.