Die Nutzung von TLS/SSL ist heutzutage unverzichtbar, um die Kommunikation zwischen Clients und Servern abzusichern. Let’s Encrypt bietet eine kostenfreie, automatisierte Lösung für Zertifikate, die sowohl für Webserver als auch für andere Dienste genutzt werden kann. In diesem Tutorial zeigen wir, wie man TLS/SSL auf Linux-Servern korrekt einrichtet, Zertifikate automatisch erneuert und Sicherheits-Best-Practices einhält.

Vorbereitung und Voraussetzungen

Bevor TLS/SSL-Zertifikate eingerichtet werden können, sollten folgende Punkte geprüft sein:

• Ein funktionierender Linux-Server mit root oder sudo-Rechten
• Ein installierter Webserver (z.B. Nginx oder Apache)
• Öffentliche Domain mit korrekt gesetztem DNS-A-Eintrag
• Firewall, die HTTP (80) und HTTPS (443) erlaubt

Let’s Encrypt und Certbot installieren

Let’s Encrypt stellt Zertifikate bereit, Certbot automatisiert die Erstellung, Installation und Erneuerung.

# Debian/Ubuntu
sudo apt update
sudo apt install certbot python3-certbot-nginx
RHEL/CentOS/AlmaLinux/Rocky Linux
sudo dnf install certbot python3-certbot-nginx

Erstes Zertifikat ausstellen

Mit Certbot kann ein Zertifikat direkt für die Domain beantragt werden:

sudo certbot --nginx -d meine-domain.de -d www.meine-domain.de

Der Assistent prüft die Domain, erstellt das Zertifikat und passt die Nginx- oder Apache-Konfiguration automatisch an.

Manuelle Installation (ohne Webserver-Integration)

Für Dienste wie Postfix, Dovecot oder eigene Applikationen kann das Zertifikat manuell eingebunden werden:

sudo certbot certonly --standalone -d meine-domain.de
# Zertifikate liegen dann unter:
/etc/letsencrypt/live/meine-domain.de/fullchain.pem
/etc/letsencrypt/live/meine-domain.de/privkey.pem

Automatische Erneuerung einrichten

Let’s Encrypt-Zertifikate sind 90 Tage gültig. Eine automatische Erneuerung verhindert Ausfallzeiten:

# Testlauf der Erneuerung
sudo certbot renew --dry-run
Cronjob oder Systemd Timer sorgt für automatische Ausführung:
Auf Ubuntu/Debian Systemd-Timer (standardmäßig aktiviert)
systemctl list-timers | grep certbot

Webserver Konfiguration prüfen

Nach der Installation sollte die TLS-Konfiguration überprüft werden:

• SSL-Protocol-Versionen: Nur TLSv1.2 und TLSv1.3 zulassen
• Starke Cipher-Suites verwenden
• HTTP auf HTTPS umleiten

# Nginx Beispiel
server {
    listen 80;
    server_name meine-domain.de;
    return 301 https://$host$request_uri;
}
server {

listen 443 ssl;

server_name meine-domain.de;
ssl_certificate /etc/letsencrypt/live/meine-domain.de/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/meine-domain.de/privkey.pem;

ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;

}


Security Best Practices

• HTTP Strict Transport Security (HSTS) aktivieren: add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
• OCSP-Stapling aktivieren:

ssl_stapling on;
ssl_stapling_verify on;

Server-Tokens deaktivieren: server_tokens off;

Regelmäßige Updates von Webserver und Certbot durchführen

Weitere Dienste absichern

Nicht nur Webserver profitieren von TLS:

• Mailserver (SMTP, IMAP, POP3) mit Certbot-Zertifikaten absichern
• VPN-Server (OpenVPN, WireGuard) TLS nutzen
• APIs und interne Dienste über HTTPS bereitstellen

Fehlerbehebung

Bei Problemen können folgende Schritte helfen:

• Zertifikate prüfen: sudo certbot certificates
• Webserver-Logs kontrollieren: sudo journalctl -u nginx oder /var/log/apache2/error.log
• Firewall prüfen, dass Port 80/443 erreichbar ist
• DNS-Einträge kontrollieren: dig A meine-domain.de

Fazit zu TLS/SSL mit Let’s Encrypt

Mit Let’s Encrypt und Certbot lassen sich TLS/SSL-Zertifikate einfach, sicher und automatisiert einrichten. Durch die konsequente Nutzung von HTTPS, sichere Cipher-Suites, HSTS und OCSP-Stapling wird die Kommunikation zwischen Clients und Servern geschützt. Die automatische Erneuerung verhindert Ausfälle, und manuelle Konfigurationen für weitere Dienste erweitern den Schutz auf das gesamte System.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

• Professionelle Konfiguration von Routern und Switches

• Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

• Erstellung von Topologien und Simulationen in Cisco Packet Tracer

• Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

• Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

• Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

• Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

• Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.