Wenn ein Webspace-Vertrag die Eigenschaft HTTPS (SSL) enthält, dann hat der jeweilige Kunde die Möglichkeit entsprechende SSL-Zertifikate zu verwalten. Die einzelnen Komponenten für ein SSL-Zertifikat können wahlweise über LiveConfig selbst erzeugt oder aber importiert werden. Zudem unterstützt LiveConfig kostenlose SSL-Zertifikate von Let's Encrypt.

Let's Encrypt (https://www.letsencrypt.org) ist eine Zertifizierungsstelle, welche domain-validierte Zertifikate kostenlos und automatisiert ausstellt. Diese Zertifikate werden von allen gängigen Browsern ohne Fehlermeldung akzeptiert. Mit dem ACME-Protokoll (Automated Certificate Management Environment) wird die Domainprüfung, Ausstellung und Verlängerung von SSL-Zertifikaten vollautomatisch durchgeführt. Um Let's Encrypt nutzen zu können benötigen Sie eine Standard- oder Business-Lizenz von LiveConfig.

Der öffentliche Betrieb von Let's Encrypt startet erst ab dem 03. Dezember 2015. Bis dahin können SSL-Zertifikate nur für Domains beantragt werden, die im Rahmen einer Beta-Phase registriert wurden (siehe LiveConfig-Wiki).

Um Zertifikate bei Let's Encrypt zu beantragen, benötigen Sie einen Account. Mit diesem Account können Sie beliebig viele Zertifikate beantragen, und sie können diesen auch auf mehreren Servern nutzen. Klicken Sie hierzu in LiveConfig auf Hosting, SSL-Zertifikate und dort auf den Tab Zertifikatsverwaltung. Mit dem Button Zugang hinzufügen legen Sie einen neuen Account an:

Geben Sie Ihre E-Mail-Adresse und optional eine Telefonnummer an (beides kann jederzeit geändert werden). Alternativ können Sie auch den RSA-Schlüssel eines bestehenden Accounts importieren.

Nach dem Anlegen des neuen Zugangs müssen Sie noch den Geschäftsbedingungen von Let's Encrypt zustimmen. Setzen Sie das entsprechende Häkchen und speichern den Account erneut ab.

Danach können Sie im Tab SSL-Zertifikate beim Anlegen eines Zertifikats den Tab ACME auswählen:

Wählen Sie hierzu den zu nutzenden ACME-Account aus und geben den Domainnamen an, für den Sie ein SSL-Zertifikat beantragen möchten. Wenn Sie etwa für die Domains example.org und www.example.org ein SSL-Zertifikat wünschen, dann reicht es wenn Sie den Domainnamen ohne www. angeben und die Checkbox auch 'www.'-Subdomain berücksichtigen aktivieren - das Zertifikat wird dann für beide Domainvarianten ausgestellt.

LiveConfig erzeugt anschließend automatisch alle notwendigen Zertifikatsdaten (privater Schlüssel, CSR, Zertifikat, Zwischenzertifikate) und weist dieses Zertifikat ggf. auch gleich dem Kunden zu, dem die betroffene Domain zugeordnet ist. Der komplette Vorgang (von der Prüfung bis zur erfolgreichen Zertifikatsausstellung) dauert ca. 3-4 Minuten. Den aktuellen Status von mit ACME verwalteten SSL-Zertifikaten können Sie unter Verwaltung, Berichte, ACME SSL-Zertifikate einsehen.

Alle (Sub-)Domains, für die Sie ein SSL-Zertifikat bei Let's Encrypt beantragen möchten, müssen einem von LiveConfig verwalteten Webspace zugeordnet sein (die Prüfung der Domain findet über einen HTTP-Aufruf statt)! Sie können also keine Zertifikate für Domains beantragen, die nur z.B. nur für E-Mail genutzt werden oder auf einem anderen Server (bzw. mit einer fremden IP-Adresse) konfiguriert sind.

SSL-Zertifikate mit einer erweiterten Inhaberprüfung - sogenannte Extended Validation (EV)-Zertifikate (mit grüner Adresszeile und Name des Inhabers in der Browser-Adresszeile) können nicht über Let's Encrypt erstellt werden.

Für ein SSL-Zertifikat wird immer ein Schlüsselpaar - bestehend aus privatem und öffentlichem Schlüssel - benötigt. Diese Schlüssel können in LiveConfig erzeugt werden; als Algorithmus steht RSA zur Verfügung (DSA kommt in der Praxis eher selten zum Einsatz). Die Schlüssellänge sollte mindestens 2048 Bit betragen, wahlweise kann auch ein 4096-Bit-Schlüssel erzeugt werden, was allerdings deutlich länger dauert.

Falls bereits ein RSA-Schlüssel vorhanden ist, kann dieser importiert werden. Wenn der Schlüssel mit einem Passwort geschützt ist, muss dieses dabei mit angegeben werden - LiveConfig braucht zwangweise Zugriff auf den uncodierten Schlüssel. Intern speichert LiveConfig diesen aber wieder verschlüsselt ab (jedoch mit einem anderen Passwort).

Für die Bestellung eines SSL-Zertifikats wird normalerweise eine Zertifikatsanforderung (Certificate Signing Request - kurz CSR) benötigt. Diese CSR enthält unter anderem den öffentlichen Schlüssel für das gewünschte SSL-Zertifikat, sowie einige Angaben zum Antragsteller. Welche Angaben hier im einzelnen benötigt werden kommt auf den Zertifikatsaussteller (CA) sowie das jeweils bestellte Produkt an.

In jedem Fall muss das Feld Allgemeiner Name (Common Name, kurz CN) exakt den Domainnamen enthalten, für den später das SSL-Zertifikat genutzt werden soll. Wenn Sie das Zertifikat beispielsweise für https://www.example.org nutzen möchten, tragen Sie hier www.example.org ein - und nicht nur example.org!

Die weiteren Eingabefelder sind:

  • Organisation (O): Organisation, Firma oder Einrichtung, auf deren Namen das SSL-Zertifikat ausgestellt werden soll

  • Organisationseinheit (OU): Abteilung innerhalb der o.g. Organisation; kann im Zweifelsfall auch einfach leer gelassen werden

  • Stadt (L): die Stadt, in der sich die o.g. Organisation befindet

  • Bundesland (ST): das Bundesland, Kanton oder die Provinz, in der sich die o.g. Organisation befindet

  • Land (C): das Land, in dem sich die o.g. Organisation befindet

  • E-Mail-Adresse: eine (allgemeine) E-Mail-Adresse zur Kontaktaufnahme

Wenn der private Schlüssel vorliegt kann wahlweise mit eventuell erfassten CSR-Informationen ein selbst-signiertes Zertifikat erzeugt oder ein offizielles SSL-Zertifikat importiert werden. Wenn der private Schlüssel unverändert bleibt kann das Zertifikat auch jederzeit ersetzt werden; so kann man beispielsweise mit einem selbst-signierten Zertifikat eine neue Website testen und dann zu einem späteren Zeitpunkt ein normales SSL-Zertifikat bestellen.

Bei aktuellen SSL-Zertifikaten von offiziellen Zertifizierungsstellen (Certification Authorities, kurz CA) ist in den meisten Fällen die Verwendung von einem oder mehreren sogenannten Zwischenzertifikaten notwendig, damit Browser keine Fehlermeldung erzeugen. Falls also entsprechende Zwischenzertifikate vorliegen, können diese hier importiert werden.