Inhaltsverzeichnis
ACME-Proxy der Universität Freiburg – Anleitung für Nutzer*innen
Der ACME-Proxy der Universität Freiburg stellt eine zentrale und einheitliche ACME-Schnittstelle bereit. ACME-Clients wie Certbot, acme.sh, lego oder dehydrated kommunizieren dabei nicht direkt mit einer externen Certificate Authority (CA), sondern ausschließlich mit dem ACME-Proxy der Universität. Dadurch entfällt für Nutzer*innen die Einrichtung komplexer CA-Konfigurationen oder EAB-Credentials.
Ein weiterer Vorteil: Der ACME-Proxy-Endpunkt bleibt stabil und unverändert, selbst wenn die zugrunde liegende Certificate Authority wechselt. Dies bedeutet, dass keine Anpassungen an Ihren ACME-Clients erforderlich sind – der Wechsel der CA erfolgt vollständig transparent für die Nutzer*innen.
Diese Anleitung zeigt, wie Sie den Dienst verwenden und Zertifikate für Ihre Domains der Universität beziehen können.
3. ACME-Proxy der Universität in den Client eintragen
Der Proxy ist unter folgenden Adressen erreichbar:
Certbot
sudo certbot certonly \
--server https://acme.uni-freiburg.de/directory \
--standalone \
-d example.uni-freiburg.de
Zertifikate verwenden
Die Zertifikate befinden sich wie gewohnt unter:
/etc/letsencrypt/live/<domain>/
Beispiel für NGINX:
ssl_certificate /etc/letsencrypt/live/example.uni-freiburg.de/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/example.uni-freiburg.de/privkey.pem;
Nach der Einrichtung funktionieren Erneuerungen automatisch.
Automatische Erneuerung
Certbot installiert automatisch einen Systemd-Timer:
systemctl status certbot.timer
Die automatische Erneuerung benötigt keinerlei Interaktion, da:
- der ACME-Proxy dauerhaft erreichbar ist
- alle CA-Informationen intern im Proxy hinterlegt sind
- Certbot täglich prüft, ob Zertifikate erneuert werden müssen
Getestet werden kann die automatische Erneuerung mithilfe von:
sudo certbot renew --dry-run
