Ich habe letztendlich ein Zertifikat von Let’s Encrypt erhalten, mich jedoch dazu entschieden, trotzdem ein kostenpflichtiges Zertifikat zu erwerben. Warum ich so gehandelt habe, erfährst du weiter unten.
Ich habe zahlreiche Videos angesehen und Artikel gelesen, aber keine wirklich nachvollziehbare Anleitung gefunden, wie man ein Let’s Encrypt-Zertifikat für eine Domain auf einem Hosting-Dienst, der Let’s Encrypt nicht standardmäßig integriert, sicher installieren kann.
Anzeige
Ausgangssituation
Es gibt einen Server bei IONOS und eine Domain. Da ich keine zusätzlichen Kosten für ein Zertifikat von IONOS (DigiCert) aufbringen wollte, entschied ich mich: „Ich mache das selbst.“ Doch als ich vor einigen Monaten damit beginnen wollte, stieß ich auf Schwierigkeiten und legte das Vorhaben vorerst auf Eis.
Diese Woche habe ich jedoch einen neuen Versuch gestartet, ein Zertifikat von Let’s Encrypt zu generieren. Daher möchte ich nun eine leicht verständliche Schritt-für-Schritt-Anleitung mit Screenshots bereitstellen. Zudem werde ich auf alle Probleme eingehen, auf die ich gestoßen bin.
Voraussetzungen
Alle Schritte habe ich in Kali Linux ausgeführt. Daher empfehle ich, ein Linux-Betriebssystem zu verwenden. Alternativ kann es auch auf andere Weise funktionieren, aber mein Vorgehen basiert auf Linux. Ich nutze genau Kali Linux, da ich dieses System für Pentesting benötige.
Schritt 1: Certbot installieren
Rufe das Terminal in Linux auf. Zunächst musst du Certbot installieren. Certbot ist ein Open-Source-Tool, das dir dabei hilft, Let’s Encrypt-SSL/TLS-Zertifikate einfach zu erstellen, zu erneuern und zu verwalten. Dies gelingt mit folgendem Befehl:
sudo apt install certbot
Bei meinem ersten Versuch erhielt ich eine Fehlermeldung, da das Paket python3_distutils entfernt werden musste. Nachdem ich dies erledigt hatte, empfahl das System den folgenden Befehl:
sudo apt-get update
Falls bei dir keine Fehler auftreten, kannst du den ersten Befehl direkt ausführen. Ich musste jedoch zusätzlich python3_distutils winexe entfernen, bevor die Installation von Certbot erfolgreich war.
Anzeige
Schritt 2: Zertifikat generieren
Sobald Certbot installiert ist, kannst du das Zertifikat erstellen. Verwende dazu den folgenden Befehl:
certbot certonly --manual --preferred-challenges=dns -d example.com -d www.example.com
Ersetze example.com durch deine Domain. Dieser Befehl wird in zwei Schritten ausgeführt:
Certbot gibt dir Name und Wert für einen neuen DNS-TXT-Eintrag aus. Bei IONOS findest du diesen unter: Domains & SSL → [Domain auswählen] → DNS → Record hinzufügen → TXT-Eintrag (ganz unten).
Gib die Daten in die entsprechenden Felder ein und speichere den Eintrag. Dies dient als Bestätigung auf Seiten des Hostings.
Drücke dann „Enter“ (in der Kommandozeile), um die Prüfung zu starten. Wenn alles korrekt eingegeben wurde, zeigt Certbot eine Erfolgsmeldung an und gibt die Pfade zu deinem Zertifikat und Schlüssel aus.
Schritt 3: Dateien speichern und umwandeln
Um dein Zertifikat sicher zu speichern, kopiere die Dateien mit folgendem Befehl auf den Desktop:
sudo cp -L /etc/letsencrypt/live/example.com/{fullchain.pem,privkey.pem} ~/Desktop
Anschließend musst du eine .pfx-Datei aus den .pem-Dateien erstellen, da diese Formate von vielen Hosting-Diensten bevorzugt werden. Verwende dazu:
openssl pkcs12 -export -out certificate.pfx -inkey privkey.pem -in fullchain.pem -certfile fullchain.pem
Wechsle vorab in das Verzeichnis, in dem sich die .pem-Dateien befinden. Da .pfx-Dateien sich nicht per E-Mail versenden lassen, solltest du sie in ein ZIP-Archiv komprimieren und anschließend in .zipx umbenennen.
Schritt 4: ZIP-Datei erstellen
Komprimiere die .pfx-Datei in ein ZIP-Archiv:
zip -e certificate.zip certificate.pfx- Der Parameter
-esorgt für die Passwort-Verschlüsselung. Gib ein starkes Passwort ein.
Benenne die ZIP-Datei um, z. B. in .zipx oder .txt:
mv certificate.zip certificate.zipxNun kannst du die Datei problemlos versenden.
Wichtige Anmerkungen
- Regelmäßige Verlängerung: Let’s Encrypt-Zertifikate sind nur 90 Tage gültig. Du musst daher alle drei Monate den folgenden Befehl erneut ausführen:
certbot certonly --manual --preferred-challenges=dns -d example.com -d www.example.com
Das ist zeitaufwändig und fehleranfällig, falls du die Erneuerung vergisst. - Komplexität bei IONOS: Das Hochladen eines selbst erstellten Zertifikats auf IONOS ist unnötig kompliziert. Das Unternehmen hat den Prozess so gestaltet, dass er abschreckend wirkt.
Obwohl Let’s Encrypt eine kostenlose und funktionale Lösung bietet, kann der Mehraufwand bei der regelmäßigen Verlängerung und Integration abschreckend sein. Ein kostenpflichtiges Zertifikat bietet hier mehr Komfort und Sicherheit. Für einfache Webseiten ohne sensible Daten kann Let’s Encrypt jedoch eine geeignete Wahl sein. Bei E-Commerce-Seiten oder Unternehmensportalen ist die finanzielle Absicherung eines kostenpflichtigen Zertifikats jedoch sinnvoller.
Andere Artikel:
- Digitale Stromzähler leicht auslesen: Eine einfache Anleitung
- Welche FritzBox ist zu empfehlen?
- Wann kommt Fritzbox 5690 XGS auf den Markt? Release erwartet
- FritzBox 7590 Login: Einrichten und erste Schritte
- FRITZ!Box 7590 erweiterte Ansicht fehlt? Lösungen und Tipps
- Wie komme ich ohne Internet Verbindung in die Fritzbox?
- Energieverbrauch mit FritzBox messen
- Devolo WiFi Repeater: Installation und Verbindung mit Fritzbox
- IP-Kamera für FRITZ!Box: Funktionen und Installation
Servus! Ich bin Sergio Pastbin! Redakteur bei FIZT (Fritzboxes.de).
Herzlich willkommen auf meinem technischen Blog über Fritzbox Router und Netzwerktechnik! Ich studiere Informationssicherheit an der Technischen Hochschule Würzburg-Schweinfurt.
Meine Leidenschaft für Netzwerktechnologie und IT-Sicherheit begleitet mich schon seit vielen Jahren und hat mich dazu inspiriert, diesen Blog zu starten.
Ich freue mich, dass du hier bist, und hoffe, dass meine Beiträge dir wertvolle Einblicke und hilfreiche Informationen bieten. Bei Fragen oder Anregungen stehe ich dir gerne zur Verfügung!
Letzte Aktualisierung am 8.05.2026 um 11:28 Uhr / Affiliate Links / Bilder von der Amazon Product Advertising API
2 Kommentare zu „Kostenloses SSL-Zertifikat mit Let’s Encrypt einrichten: Schritt-für-Schritt-Anleitung“
bei verwendung von certbot unter linux mint:
„Please deploy a DNS TXT record under the name:
_acme-challenge.“domainname“.ddnss.de.
with the following value:
“
allerdings sind sowohl _ als auch – auf ddnss.de als Zeichen im Domain-name nicht zulässig „domainname“.ddnss.de ist host auf ddnss.de mit aaaa zugangsdaten auch wirksam aber die obige challenge scheitert und damit kein certificat.
Hallo Michael,
das Problem scheint daran zu liegen, dass dein DNS-Anbieter (ddnss.de) keine Unterstriche (_) im Domain-Namen zulässt. Leider benötigt Let’s Encrypt für die DNS-Validierung genau diesen _acme-challenge-Eintrag, um nachzuweisen, dass du die Domain tatsächlich kontrollierst.
Mögliche Lösungen:
Falls ddnss.de Wildcard-Subdomains erlaubt, könntest du versuchen, eine allgemeine Wildcard-Zertifizierung (*.“domainname“.ddnss.de) zu nutzen. Dazu müsstest du einen TXT-Eintrag für “domainname“.ddnss.de anlegen, statt _acme-challenge.“domainname“.ddnss.de.
Einen anderen DNS-Anbieter nutzen, der _acme-challenge-Einträge unterstützt (z. B. Cloudflare oder andere dynamische DNS-Dienste, die Let’s Encrypt offiziell unterstützen).
Einen alternativen Validierungsweg wählen, falls möglich – z. B. HTTP-Validation (–webroot-Methode), falls du Webserver-Zugriff hast.
Falls du keine Möglichkeit hast, den DNS-Eintrag zu setzen, bleibt leider nur der Wechsel des DNS-Anbieters oder die Nutzung eines kostenpflichtigen Zertifikats.
Hoffe, das hilft!
Viele Grüße
Alex Schmidt