Zu Content springen
Deutsch
Ticket erstellen
  • Es gibt keine Vorschläge, da das Suchfeld leer ist.

LEGO ACME-Client-Integration mit OpusDNS

Einführung

Lego (go-acme/lego) ist ein Open-Source-ACME-Client und eine in Go geschriebene Bibliothek, die die vollständig automatisierte Verwaltung von SSL/TLS-Zertifikaten ermöglicht. Lego wird häufig mit Let’s Encrypt und anderen ACME-kompatiblen Certificate Authorities verwendet, um die Ausstellung, Erneuerung und Widerrufung von Zertifikaten in modernen Infrastrukturen zu vereinfachen.

Ursprünglich für Flexibilität und Automatisierung entwickelt, wird Lego häufig in DevOps-Workflows, CI/CD-Pipelines, Self-Hosting-Umgebungen und automatisierten HTTPS-Deployments eingesetzt, bei denen eine manuelle Zertifikatsverwaltung nicht praktikabel ist.


Was ist Lego?

Lego (go-acme/lego) ist sowohl ein Kommandozeilen-Tool als auch eine wiederverwendbare Go-Bibliothek, die das ACME-v2-Protokoll (RFC 8555) für automatisierte Zertifikatsverwaltung implementiert.

Damit können Sie:

  • TLS-Zertifikate automatisch ausstellen
  • Zertifikate vor Ablauf automatisch erneuern
  • Zertifikate widerrufen, wenn sie nicht mehr benötigt werden
  • Mehrere Domains innerhalb von SAN-Zertifikaten verwalten
  • ACME-Funktionalität direkt in Anwendungen integrieren

Lego ist besonders für seine einfache Nutzung und die umfangreiche Unterstützung von DNS-Providern bekannt.


Warum ACME-Automatisierung verwenden?

Moderne Infrastrukturen sind hochdynamisch. Services ändern sich regelmäßig, Domains entwickeln sich weiter und automatisierte Deployments benötigen sichere HTTPS-Verbindungen ohne manuelle Eingriffe.

Mit ACME-Automatisierung werden alle Aufgaben des Zertifikatslebenszyklus vollständig automatisiert:

  • Domain-Validierung
  • Zertifikatsausstellung
  • Erneuerung und Rotation
  • Widerruf bei Bedarf

Dadurch wird sicheres HTTPS gewährleistet, während gleichzeitig der administrative Aufwand reduziert und manuelle Zertifikatsverwaltung vermieden wird.

OpusDNS-Integration mit Lego

OpusDNS kann zusammen mit Lego (go-acme/lego) verwendet werden, um DNS-01-Challenges während der Zertifikatsausstellung zu automatisieren.

In dieser Integration nutzt Lego OpusDNS als DNS-Provider, um die für die ACME-Validierung erforderlichen TXT-Records dynamisch zu verwalten.

GitHub Repository:
https://github.com/go-acme/lego

Der Ablauf funktioniert wie folgt:

  • Lego startet eine Zertifikatsanfrage über ACME
  • Eine DNS-01-Challenge wird ausgewählt
  • Lego kommuniziert mit der OpusDNS-API
  • Ein temporärer DNS-TXT-Record wird automatisch erstellt
  • Der ACME-Provider validiert die Domain
  • Das Zertifikat wird ausgestellt
  • Der temporäre DNS-Eintrag wird automatisch entfernt

Dadurch wird die vollständig automatisierte Ausstellung von Wildcard-Zertifikaten ermöglicht, ohne dass manuelle DNS-Änderungen erforderlich sind.


Wichtige Funktionen von Lego

Lego (go-acme/lego) bietet einen umfangreichen Funktionsumfang für produktive Umgebungen:

  • Unterstützung für ACME v2 (RFC 8555)
  • Unterstützung für HTTP-01-, DNS-01- und TLS-ALPN-01-Challenges
  • Automatische Zertifikatserneuerung
  • Unterstützung von Wildcard-Zertifikaten über DNS-01
  • Unterstützung für rund 180 DNS-Provider
  • Ausstellung von Zertifikaten für IP-Adressen
  • Nutzung als CLI-Tool oder Go-Bibliothek
  • Integration mit eigenen ACME-Servern

Durch diese Flexibilität eignet sich Lego sowohl für kleine Self-Hosting-Umgebungen als auch für große automatisierte Infrastrukturen.


Wie funktioniert Lego?

Der Zertifikatslebenszyklus mit Lego (go-acme/lego) folgt einem vollständig automatisierten Ablauf:

  • Eine Zertifikatsanfrage wird gestartet (CLI oder API)
  • Lego registriert ein neues ACME-Konto oder verwendet ein bestehendes
  • Eine ACME-Challenge wird ausgewählt (HTTP-01, DNS-01 oder TLS-ALPN-01)
  • Die Eigentümerschaft der Domain wird validiert
  • Die Certificate Authority stellt das Zertifikat aus
  • Das Zertifikat wird lokal gespeichert oder exportiert
  • Erneuerungsjobs werden automatisch geplant

Für DNS-01-Challenges kann Lego direkt mit DNS-Providern über APIs kommunizieren, was insbesondere für Wildcard-Zertifikate hilfreich ist.


Einsatzbereiche

Lego wird häufig verwendet für:

  • Automatisierte HTTPS-Deployments
  • Reverse-Proxys und Load-Balancer
  • Self-Hosted-Anwendungen
  • API-Services mit TLS-Anforderungen
  • CI/CD-Pipelines
  • Automatisierung von Wildcard-Zertifikaten
  • Eingebettete ACME-Funktionalität in Go-Anwendungen

Lego kann vollständig eigenständig betrieben oder in größere Automatisierungsprozesse integriert werden.


Vorteile

  • Vollständig automatisierter Zertifikatslebenszyklus
  • Keine manuellen Erneuerungsskripte erforderlich
  • Umfangreiche DNS-Provider-Kompatibilität
  • Geeignet für CLI- und Embedded-Nutzung
  • Leichtgewichtig und produktionsreif
  • Gute Unterstützung moderner ACME-Erweiterungen


Fazit

Lego (go-acme/lego) gehört heute zu den flexibelsten und am weitesten verbreiteten ACME-Clients. Durch die Implementierung des ACME-Protokolls ermöglicht Lego die nahtlose Automatisierung der TLS-Zertifikatsverwaltung in modernen Infrastrukturen.

In Kombination mit OpusDNS für DNS-01-Validierungen bietet Lego eine zuverlässige und vollständig automatisierte Lösung für sichere HTTPS-Deployments ohne manuelle DNS- oder Zertifikatsverwaltung.

GitHub Repository:
https://github.com/go-acme/lego