ACME-Client

Ab LCOS 10.80 wird der Automatic Certificate Management Environment (ACME) Client nach RFC 8555 für Let’s Encrypt Zertifikate unterstützt. Let’s Encrypt ist eine freie und offene Zertifizierungsstelle, die es ermöglicht, kostenfreie SSL- / TLS-Zertifikate zu beziehen. Die Zertifikate können für die WEBconfig sowie für den Public Spot verwendet werden.

Voraussetzung für die Nutzung von Let’s Encrypt ist, dass das Gerät über einen öffentlich auflösbaren Domain-Namen, z. B. DynDNS, verfügt. Für eine korrekte Nutzung der Zertifikate muss die WEBconfig des Geräts über den Domain-Namen aufgerufen werden und nicht über die IP-Adresse. Bei Aufruf der WEBconfig über die IP-Adresse schlägt die Zertifikatsprüfung fehl, da Let’s Encrypt-Zertifikate auf Domain-Namen und nicht auf IP-Adressen ausgestellt werden.

Bei Let’s Encrypt werden Zertifikate ausgestellt, wenn ein Gerät beweisen kann, dass es den Domain-Namen unter Kontrolle hat. Dazu stellt Let’s Encrypt eine sogenannte "Challenge", die das Gerät erfüllen muss. Diesen Prozess führt der ACME-Client im Gerät automatisch durch. Ebenso erneuert der ACME-Client automatisch das Zertifikat vor einer definierten Ablauffrist des Zertifikats.

In der Konfiguration muss zunächst ein Domain-Name konfiguriert werden. Das Gerät stellt dann automatisch einen Zertifikatsantrag bei Let’s Encrypt und öffnet temporär z. B. den Port 443 oder 80. Daraufhin überprüft Let’s Encrypt, ob das Gerät und die zuvor gestellte Challenge (z. B. Token) unter dem angegebenen Domain-Namen und Port 443 oder 80 erreichbar ist. Ist die Prüfung erfolgreich, so wird das Zertifikat ausgestellt. Das Gerät erneuert automatisch das Zertifikat bevor dieses abläuft. Das Gerät öffnet in diesem Prozess kurzzeitig den Port 80 bzw. 443 für diese Challenge und schließt diesen im zweiten Schritt auch wieder.

In folgenden Szenarien ist ein Einsatz von Let’s Encrypt nicht möglich bzw. schlägt fehl:

Das Gerät verfügt über keine öffentliche IP-Adresse
Eine vorgeschaltete Firewall blockiert den Zugriff auf Port 443 oder 80 vom Internet aus

Grundsätzlich werden auch mehrere Domain-Namen im SAN-Feld (Subject Alternative Name) des Zertifikats unterstützt.

Anmerkung: Standardmäßig wird Port 443 und das Verfahren tls-alpn-01 für die ACME-Challenge verwendet. Soll das Verfahren http-01 auf Port 80 verwendet werden, muss in der Konfiguration im LANconfig der Parameter Allgemein > Admin > Zugriffseinstellungen > HTTP-Zugang von einer WAN-Schnittstelle auf "Automatisch" eingestellt sein.

Anmerkung:

Bitte beachten Sie, dass eine Nutzung des ACME-Clients mit der Authorisierungs-Challenge tls-alpn-01 sowie ein gleichzeitiges Portforwarding mit Port 443 nicht möglich ist. Das gleiche gilt, falls der ACME-Client über die Methode http-01 verwendet werden soll für Port 80.

Eine manuelle Anpassung des ACME-Client auf einen beliebigen Port ist laut RFC 8737 im Protokoll nicht möglich.

Anmerkung:

Informationen zum ACME-Client können Sie im LANmonitor sehen und mit dem Kommandozeilenbefehl trace # acme einen Trace starten bzw. auch wieder beenden.