Lets Encrypt-Zertifikat mit ACME2 auf Windows Server

Installation des Lets Encrypt-Zertifikat mit Win-ACME2 auf Windows Server

Let’s Encrypt ist ein Aussteller für freie SSL-Zertifikate, Ende 2015 in Betrieb gegangen, erfreut sich die CA Zertifizierungsstelle für kostenlose Zertifikate grosser Beliebtheit, anfänglich für Linux, gibt es sie nun auch für Windows. Mit ACME 2 lässt sich zudem das Management von SSL/TLS-Zertifikate weitgehend auto­matisieren.

Installation von Win-ACMEv2

ACMEv2 beinhaltet kein Setup zur Installation, das win-acme Paket wird von hier auf den Server herunter­geladen und in ein beliebiges Verzeichnis entpackt. Das Verzeichnis sollte danach nicht mehr verändert werden, da der Pfad für die Rezertifizierung benötigt wird.

Wie bei der früheren Version handelt es sich bei der aktuellen Version um ein in der Kommando­zeile geführtes Tool mit Menüs, so dass es sich etwa auch unter Server Core ausführen lässt. Gestartet wird win-acme über den Aufruf von wacs.exe.

Lets Encrypt Zertifikat anfordern

Bei der interaktiven Anforderung eines Zertifikats mit win-acme über den Simple Mode ist der Vorgang weitgehend gleich wie mit der vorgänger Version 1. In diesem Beispiel wird ACME 2 auf einem Windows Server 2019 mit der IIS-Rolle ausgeführt.

Für die Verifizierung der Domäne wird hier die Bindung konfiguriert, aus dem Internetinformationsdienste (IIS)-Manager – InetMgr.exe.

Internetinformationsdienste (IIS)-Manager
Abbildung: Internetinformationsdienste (IIS)-Manager

Nach ausführen von wacs.exe wählt man die Option N, um ein neues Zertifikat mit den Standard­einstellungen zu erzeugen. Dabei sucht win-acme nach den Bindungen im IIS. Sind keine Bindungen konfiguriert bricht win-acme den Vorgang ab.

Im nächsten Schritt wählt man die IIS-Website aus, für die man das Zertifikat anfordern und ausstellen möchte.

Im Schritt darauf ist zu entscheiden, ob alle Bindungen oder nur bestimmte IIS-Websites verwendet werden sollen. Im zweiten Fall wählt man diese über einen Filter aus.

Nach einer weiteren Bestätigung startet die Zertifikats­anforderung. Um die Autorität der Domain zu verifizieren, nutzt win-acme die Methode http-01. Dabei erhält der Client von Let’s Encrypt ein Token, diesen er in eine Datei auf dem lokalen Server schreibt, die danach von Let’s Encrypt ausgelesen wird.

   Let’s Encrypt erwartet den Token über HTTP aus der Datei auszulesen. Daher erfordert win-acme auf der Firewall die Freigabe für Port 80 zum Server.

Das Zertifikat befindet sich nach dem erfolgreichen Abschluss des Vorgangs im Zertifikatsspeicher des Servers. Zusätzlich speichert win-acme das Zertifikat im PEM und PFX-Format unter folgendem Pfad ab.

C:\ProgramData\win-acme\acme-v02.api.letsencrypt.org

Die Autorität der Domäne, für die man ein Zertifikat anfordert, muss man nicht nur bei der Erst­ausstellung nachweisen, sondern auch alle 3 Monate für die Erneuerung des Zertifikats.

In den häufigsten Situationen ist es nicht erwünscht, dass ein Server nur für die Anforderung eines Zertifikates ohne Schutz dauerhaft auf Port 80 aus dem Internet erreichbar ist. Hier wäre die Nutzung eines Proxys oder einer temporären Port Freigabe zu erwägen.

Um das Freigeben von Port 80 auf der Firewall zu umgehen, gibt es die Möglichkeit, statt http-01 den Challenge zu wechselen. Hier bietet sich vor allem DNS-01 an, dabei wird das Token als TXT-Record im DNS eingetragen.

_acme-challenge.<MEINE_DOMAIN>

Diese Methode hat zudem den Vorteil, dass sich damit Wildcard-Zertifikate ausstellen lassen. Voraus­setzung für DNS-01 ist natürlich, dass die betreffende Domain extern gehostet wird und somit für Let’s Encrypt zugänglich ist.

Signal Desktop auf Linux Installieren

Installieren von Signal Desktop auf Linux Mint und Ubuntu

Signal ist ein freier Messenger mit Verschlüsselung der gemeinnützigen Signal-Stiftung. Der Messenger nutzt Ende-zu-Ende-Verschlüsselung und ist für seine Datensparsamkeit bekannt, er wird daher häufig von Sicherheitsexperten empfohlen. Als Datenschutz dient das „Zero-Knowledge-Prinzip“, bei dem der Anbieter keinerlei Zugriff auf Nutzer-Daten hat.

Die Signal-App ist für Android und iOS, sowie als Desktop-Version für Windows, macOS und Linux verfügbar. Die Desktop-Version setzt eine Installation auf einem Smartphone voraus. Für die Verschlüsselung von Nachrichten kommt das freie Signal-Protokoll zum Einsatz, das von Sicherheitsexperten als sicher eingestuft wird.

Signal Desktop für Debian-basierte Linux

Signal Desktop gibt es für Debian-basierte Distributionen wie Ubuntu und Linux Mint. Installieren kann man Signal Desktop für Linux aus dem original Repository signal.org, dazu folgende Zeilen in einem Terminal Shell ausführen.

$ curl -fsSL https://updates.signal.org/desktop/apt/keys.asc | sudo gpg --dearmor -o signal-desktop-keyring.gpg

$ cat signal-desktop-keyring.gpg | sudo tee /usr/share/keyrings/signal-desktop-keyring.gpg > /dev/null

$ echo 'deb [arch=amd64 signed-by=/usr/share/keyrings/signal-desktop-keyring.gpg] https://updates.signal.org/desktop/apt xenial main' | sudo tee /etc/apt/sources.list.d/signal-xenial.list

$ sudo apt update && sudo apt install signal-desktop

Die Signal App ist nun über Start unter Internet zu finden, oder mit der Eingabe von Signal im Cinnamon Suchfeld.

Cinnamon with Signal-Desktop

Signal Desktop aus Anwendungsverwaltung

Die Signal Desktop App kann auch aus der Anwendungsverwaltung bereitgestellt werden, hierzu auf Start gehen und die Anwendungsverwaltung öffnen, in das Suchfeld oben rechts signal eingeben und auf Installieren klicken.

Signal-Desktop für Linux aus Anwendungsverwaltung installieren

Einrichtung Gekoppelte Geräte

Signal Desktop startet beim ersten mal den Assistenten um die Kopplung mit dem Smartphone auszuführen. Die Smartphone-App öffnet die „Einstellungen“. Unter „Gekoppelte Geräte“ wird ein neues Gerät hinzugefügt: „Scanne zum Koppeln den auf dem Gerät (PC) angezeigten QR-Code ein“. Es ist möglich mehrere Computer mit dem selben Mobiltelefon zu koppelt. Somit kann man von mehreren Geräten aus den gleichen Signal-Zugang benutzen.

Die mobile Version verlassen