

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Aktiviere HTTPS auf deiner LAMP-Instanz mit Let's Encrypt und Certbot
<a name="amazon-lightsail-lets-encrypt-certbot-lamp-lightsail"></a>

Amazon Lightsail macht es einfach, Ihre Websites und Anwendungen SSL/TLS mithilfe von Lightsail-Load Balancern zu sichern. Die Verwendung eines Lightsail-Loadbalancers ist jedoch im Allgemeinen möglicherweise nicht die richtige Wahl. Möglicherweise benötigt Ihre Website nicht die Skalierbarkeit oder Fehlertoleranz, die Load Balancer bieten, oder vielleicht möchten Sie die Kosten optimieren.

Im letzteren Fall können Sie Let's Encrypt verwenden, um ein kostenloses SSL-Zertifikat zu erhalten. Dieses Tutorial zeigt Ihnen, wie Sie mit Certbot ein Let's Encrypt-Wildcard-Zertifikat anfordern und es auf Ihrer von Lightsail gepackten LAMP-Instanz konfigurieren.

 **Inhalt** 
+  [Schritt 1: Erfüllen der Voraussetzungen](#complete-the-prerequisites-lets-encrypt-lamp-lightsail) 
+  [Schritt 2: Installieren Sie Certbot auf Ihrer Lightsail-Instanz](#install-certbot-on-your-instance-lamp-lightsail) 
+  [Schritt 3: Fordern Sie ein Let's Encrypt SSL Wildcard-Zertifikat an](#request-a-lets-encrypt-certificate-lamp-lightsail) 
+  [Schritt 4: Fügen Sie TXT-Einträge zur DNS-Zone Ihrer Domain hinzu](#add-a-text-record-to-your-domains-dns-zone-lets-encrypt-lamp-lightsail) 
+  [Schritt 5: Bestätigen, dass die TXT-Datensätze weitergegeben wurden](#confirm-the-text-records-have-propagated-lets-encrypt-lamp-lightsail) 
+  [Schritt 6: Füllen Sie die Let's Encrypt SSL-Zertifikatsanfrage aus](#complete-the-lets-encrypt-ssl-certificate-request-lamp-lightsail) 
+  [Schritt 7: Erstellen Sie Links zu den Let's Encrypt-Zertifikatsdateien im LAMP-Serververzeichnis](#lamp-lightsail-certbot-configure-apache) 
+  [Schritt 8: Erneuern Sie die Let's Encrypt-Zertifikate alle 90 Tage](#renew-a-lets-encrypt-certificate-lamp-lightsail) 

## Schritt 1: Erfüllen der Voraussetzungen
<a name="complete-the-prerequisites-lets-encrypt-lamp-lightsail"></a>

Erfüllen Sie die folgenden Voraussetzungen, falls Sie dies noch nicht getan haben:
+ Erstellen Sie eine LAMP-Instanz in Lightsail. Weitere Informationen finden Sie unter [Erstellen einer Instance](how-to-create-amazon-lightsail-instance-virtual-private-server-vps.md).
+ Registrieren Sie einen Domänennamen und verschaffen Sie sich den administrativen Zugriff auf seine DNS-Datensätze. Weitere Informationen hierzu finden Sie unter [DNS](understanding-dns-in-amazon-lightsail.md).
**Anmerkung**  
Wir empfehlen Ihnen, die DNS-Einträge Ihrer Domain mithilfe einer Lightsail-DNS-Zone zu verwalten. Weitere Informationen finden Sie unter [Erstellen einer DNS-Zone zur Verwaltung der DNS-Einträge Ihrer Domain](lightsail-how-to-create-dns-entry.md).
+ Verwenden Sie das browserbasierte SSH-Terminal in der Lightsail-Konsole, um die Schritte in diesem Tutorial auszuführen. Sie können aber auch Ihren eigenen SSH-Client verwenden, wie z. B. PuTTY. Informationen dazu, wie Sie PuTTY konfigurieren, finden Sie unter [PuTTY herunterladen und einrichten, um eine Verbindung über SSH herzustellen](lightsail-how-to-set-up-putty-to-connect-using-ssh.md).

Nachdem Sie die Voraussetzungen erfüllt haben, fahren Sie mit dem [nächsten Abschnitt](#install-certbot-on-your-instance-lamp-lightsail) dieses Tutorials fort.

## Schritt 2: Installieren Sie Certbot auf Ihrer Lightsail-Instanz
<a name="install-certbot-on-your-instance-lamp-lightsail"></a>

Certbot ist ein Client, mit dem ein Zertifikat von Let's Encrypt angefordert und auf einem Webserver bereitgestellt wird. Let's Encrypt verwendet das ACME-Protokoll, um Zertifikate auszustellen, und Certbot ist ein ACME-enabled Client, der mit Let's Encrypt interagiert.

**Um Certbot auf Ihrer Lightsail-Instanz zu installieren**

1. Melden Sie sich bei der [Lightsail-Konsole](https://lightsail.aws.amazon.com/) an.

1. Wählen Sie auf der Lightsail-Startseite auf der Registerkarte Instances das SSH-Schnellverbindungssymbol für die Instance aus, zu der Sie eine Verbindung herstellen möchten.  
![SSH-Schnellverbindung auf der Lightsail-Startseite.](http://docs.aws.amazon.com/de_de/lightsail/latest/userguide/images/instances/resource_cards/ssh-quick-connect.png)

1. Nachdem Ihre browserbasierte Lightsail-SSH-Sitzung verbunden ist, geben Sie den folgenden Befehl ein, um die Pakete auf Ihrer Instanz zu aktualisieren:

   ```
   sudo apt-get update
   ```

1. Geben Sie den folgenden Befehl ein, um das Software-Eigenschaftenpaket zu installieren. Die Entwickler von Certbot verwenden ein Personal Package Archive (PPA), um Certbot zu verteilen. Das Software-Eigenschaftenpaket macht es effizienter, mit PPAs zu arbeiten.

   ```
   sudo apt-get install software-properties-common -y
   ```

1. Geben Sie den folgenden Befehl ein, um apt zu aktualisieren und das neue Repository aufzunehmen:

   ```
   sudo apt-get update -y
   ```

1. Geben Sie den folgenden Befehl ein, um Certbot zu installieren.

   ```
   sudo apt-get install certbot -y
   ```

   Certbot ist jetzt auf Ihrer Lightsail-Instanz installiert.

Halten Sie das browserbasierte SSH-Terminalfenster geöffnet - Sie kehren später in diesem Tutorial dorthin zurück. Fahren Sie mit dem [nächsten Abschnitt](#request-a-lets-encrypt-certificate-lamp-lightsail) dieses Tutorials fort.

## Schritt 3: Anfordern eines Let's Encrypt SSL Wildcard-Zertifikats
<a name="request-a-lets-encrypt-certificate-lamp-lightsail"></a>

Beginnen Sie mit der Anforderung eines Zertifikats von Let's Encrypt. Fordern Sie mit Certbot ein Wildcard-Zertifikat an, mit dem Sie ein einzelnes Zertifikat für eine Domäne und ihre Unterdomänen verwenden können. Ein einzelnes Wildcard-Zertifikat funktioniert beispielsweise für die Top-Level-Domäne `example.com` und die Unterdomänen `blog.example.com` und `stuff.example.com`.

**Um ein Let's Encrypt SSL Wildcard-Zertifikat anzufordern**

1. Geben Sie in demselben browserbasierten SSH-Terminalfenster, das im vorherigen Schritt dieses Tutorials verwendet wurde, die folgenden Befehle ein, um eine Umgebungsvariable für Ihre Domain festzulegen. Achten Sie darauf, {{domain}} durch Ihren registrierten Domänennamen zu ersetzen.

   ```
   DOMAIN={{domain}}
   WILDCARD=*.$DOMAIN
   ```

   Beispiel:

   ```
   DOMAIN=example.com
   WILDCARD=*.$DOMAIN
   ```

1. Geben Sie den folgenden Befehl ein, um zu bestätigen, dass die Variablen die richtigen Werte zurückgeben:

   ```
   echo $DOMAIN && echo $WILDCARD
   ```

   Das Ergebnis sollte in etwa wie folgt aussehen:  
![Bestätigen Sie die Umgebungsvariablen der Domäne.](http://docs.aws.amazon.com/de_de/lightsail/latest/userguide/images/instances/lets-encrypt/confirm-variables.png)

1. Geben Sie den folgenden Befehl ein, um Certbot im interaktiven Modus zu starten. Dieser Befehl weist Certbot an, eine manuelle Autorisierungsmethode mit DNS-Herausforderungen zu verwenden, um den Domänenbesitz zu überprüfen. Es fordert ein Wildcard-Zertifikat für Ihre Top-Level-Domäne sowie deren Unterdomänen an.

   ```
   sudo certbot -d $DOMAIN -d $WILDCARD --manual --preferred-challenges dns certonly
   ```

1. Geben Sie Ihre E-Mail-Adresse ein, wenn Sie dazu aufgefordert werden, da sie für Verlängerungen und Sicherheitshinweise verwendet wird.

1. Lesen Sie die Nutzungsbedingungen von Let's Encrypt. Wenn Sie damit fertig sind, drücken Sie A, wenn Sie zustimmen. Wenn Sie nicht einverstanden sind, können Sie kein Let's Encrypt-Zertifikat erhalten.

1. Reagieren Sie entsprechend auf die Aufforderung, Ihre E-Mail-Adresse weiterzugeben, und auf die Warnung, dass Ihre IP-Adresse protokolliert wird.

1. Let's Encrypt fordert Sie nun auf, zu verifizieren, dass Sie Eigentümer der angegebenen Domain sind. Sie tun dies, indem Sie TXT-Einträge zu den DNS-Datensätzen für Ihre Domäne hinzufügen. Es wird ein Satz von TXT-Datensatzwerten bereitgestellt, wie im folgenden Beispiel gezeigt:
**Anmerkung**  
Let's Encrypt kann einen einzelnen oder mehrere TXT-Datensätze bereitstellen, die Sie für die Verifizierung verwenden müssen. In diesem Beispiel wurden zwei TXT-Datensätze für die Verifizierung bereitgestellt.  
![TXT-Datensätze für Zertifikate von Let's Encrypt.](http://docs.aws.amazon.com/de_de/lightsail/latest/userguide/images/instances/lets-encrypt/get-TXT-records.png)

Lassen Sie die browserbasierte Lightsail-SSH-Sitzung geöffnet — Sie werden später in diesem Tutorial darauf zurückkommen. Fahren Sie mit dem [nächsten Abschnitt](#add-a-text-record-to-your-domains-dns-zone-lets-encrypt-lamp-lightsail) dieses Tutorials fort.

## Schritt 4: Hinzufügen von TXT-Datensätzen zur DNS-Zone Ihrer Domain
<a name="add-a-text-record-to-your-domains-dns-zone-lets-encrypt-lamp-lightsail"></a>

Durch das Hinzufügen eines TXT-Eintrags zur DNS-Zone Ihrer Domain wird bestätigt, dass Sie Eigentümer der Domain sind. Zu Demonstrationszwecken verwenden wir die Lightsail-DNS-Zone. Die Schritte können jedoch für andere DNS-Zonen ähnlich sein, die typischerweise von Domänen-Registraren gehostet werden.

**Anmerkung**  
Weitere Informationen zum Erstellen einer Lightsail-DNS-Zone für Ihre Domain finden Sie unter [Erstellen einer DNS-Zone zur Verwaltung der DNS-Einträge Ihrer Domain in](lightsail-how-to-create-dns-entry.md) Lightsail.

**Um TXT-Einträge zur DNS-Zone Ihrer Domain in Lightsail hinzuzufügen**

1. Wählen Sie im linken Navigationsbereich **Domains &** DNS aus.

1. Wählen Sie im Abschnitt **DNS zones (DNS-Zonen)** auf der Seite die DNS-Zone für die Domäne aus, die Sie in der Certbot-Zertifikatsanforderung angegeben haben.

1. Wählen Sie im DNS-Zoneneditor die Registerkarte **DNS records (DNS-Datensätze)**.

1. Wählen Sie **Add record (Datensatz hinzufügen)**.

1. Wählen Sie im Dropdown-Menü **Record type (Datensatztyp)** die Option **TXT record (TXT-Datensatz)**.

1. Geben Sie die in der Let's Encrypt-Zertifikatsanforderung angegebenen Werte in die Felder **Datensatzname** und **Antwortet mit** ein.
**Anmerkung**  
Die Lightsail-Konsole füllt den oberen Teil Ihrer Domain vorab aus. Wenn Sie beispielsweise das `{{_acme-challenge.example.com}}`-Subdomain hinzufügen möchten, dann müssen Sie im Textfeld nur `{{_acme-challenge}}` eingeben und Lightsail fügt das `.example.com`-Teil für Sie hinzu, wenn Sie den Datensatz speichern.

1. Wählen Sie **Speichern**.

1. Wiederholen Sie die Schritte 4 bis 7, um den zweiten Satz von TXT-Einträgen hinzuzufügen, der in der Let's Encrypt-Zertifikatsanforderung angegeben ist.

Lassen Sie das Browserfenster der Lightsail-Konsole geöffnet — Sie werden später in diesem Tutorial darauf zurückkommen. Fahren Sie mit dem [nächsten Abschnitt](#confirm-the-text-records-have-propagated-lets-encrypt-lamp-lightsail) dieses Tutorials fort.

## Schritt 5: Bestätigen, dass die TXT-Datensätze weitergegeben wurden
<a name="confirm-the-text-records-have-propagated-lets-encrypt-lamp-lightsail"></a>

Verwenden Sie das MxToolbox Tool, um zu überprüfen, ob die TXT-Einträge an das DNS des Internets weitergegeben wurden. Die Verbreitung von DNS-Einträgen kann je nach Ihrem DNS-Hosting-Provider und der konfigurierten Lebenszeit (TTL - Time to Live) für Ihre DNS-Einträge eine Weile dauern. Es ist wichtig, dass Sie diesen Schritt abschließen und bestätigen, dass sich Ihre TXT-Einträge verbreitet haben, bevor Sie Ihre Certbot-Zertifikatsanforderung fortsetzen. Andernfalls schlägt Ihre Zertifikatsanforderung fehl.

**Um zu überprüfen, ob die TXT-Einträge an das DNS des Internets weitergegeben wurden**

1. Öffnen Sie ein neues Browserfenster und gehen Sie zu [https://mxtoolbox.com/TXTLookup.aspx](https://mxtoolbox.com/TXTLookup.aspx).

1. Geben Sie den folgenden Text in das Textfeld ein. Stellen Sie sicher, dass Sie {{domain}} durch Ihre Domäne ersetzen.

   ```
   _acme-challenge.{{domain}}
   ```

   Beispiel:

   ```
   _acme-challenge.example.com
   ```  
![MXToolbox-TXT-Datensatzsuche.](http://docs.aws.amazon.com/de_de/lightsail/latest/userguide/images/instances/lets-encrypt/mxtoolbox-text-record-lookup.png)

1. Wählen Sie **TXT Lookup (TXT-Suche)**, um die Prüfung auszuführen.

1. Eine der folgenden Antworten wird eintreten:
   + Wenn sich Ihre TXT-Einträge im DNS des Internets verbreitet haben, sehen Sie eine Antwort, die der im folgenden Screenshot gezeigten ähnelt. Schließen Sie das Browserfenster und fahren Sie mit dem nächsten Abschnitt dieses Tutorials fort.  
![Bestätigen, dass TXT-Datensätze weitergegeben wurden.](http://docs.aws.amazon.com/de_de/lightsail/latest/userguide/images/instances/lets-encrypt/mxtoolbox-propagated-text-record-lookup.png)
   + Wenn Ihre TXT-Einträge nicht an das DNS des Internets weitergegeben wurden, wird die Antwort „**DNS-Eintrag nicht gefunden**“ angezeigt. Vergewissern Sie sich, dass Sie der DNS-Zone Ihrer Domains die richtigen DNS-Einträge hinzugefügt haben. Wenn Sie die richtigen Einträge hinzugefügt haben, warten Sie noch eine Weile, bis sich die DNS-Einträge Ihrer Domain verbreiten, und führen Sie die TXT-Suche erneut aus.

## Schritt 6: Füllen Sie die Let's Encrypt SSL-Zertifikatsanfrage aus
<a name="complete-the-lets-encrypt-ssl-certificate-request-lamp-lightsail"></a>

Kehren Sie zur browserbasierten Lightsail-SSH-Sitzung für Ihre LAMP-Instanz zurück und schließen Sie die Let's Encrypt-Zertifikatsanforderung ab. Certbot speichert Ihr SSL-Zertifikat, Ihre Kette und Ihre Schlüsseldateien in einem bestimmten Verzeichnis auf Ihrer LAMP-Instance.

**Um die SSL-Zertifikatsanforderung von Let's Encrypt abzuschließen**

1. Drücken Sie in der browserbasierten Lightsail-SSH-Sitzung für Ihre LAMP-Instanz die **Eingabetaste**, um mit Ihrer Let's Encrypt SSL-Zertifikatsanfrage fortzufahren. Bei Erfolg erscheint eine Antwort ähnlich der im folgenden Screenshot:  
![Erfolgreiche Zertifikatsanforderung von Let's Encrypt.](http://docs.aws.amazon.com/de_de/lightsail/latest/userguide/images/instances/lets-encrypt/certificate-request-success.png)

   Die Nachricht bestätigt, dass Ihre Zertifikats-, Ketten- und Schlüsseldateien im Verzeichnis `/etc/letsencrypt/live/{{domain}}/` gespeichert sind. Stellen Sie sicher, dass Sie {{domain}} durch Ihre Domäne ersetzen, wie z. B. `/etc/letsencrypt/live/example.com/`.

1. Notieren Sie sich das in der Nachricht angegebene Ablaufdatum. Sie verwenden es, um Ihr Zertifikat bis zu diesem Datum zu verlängern.  
![Verlängerungsdatum des Let's Encrypt-Zertifikats.](http://docs.aws.amazon.com/de_de/lightsail/latest/userguide/images/instances/lets-encrypt/certificate-renewal-date.png)

1. [Nachdem Sie das Let's Encrypt SSL-Zertifikat haben, fahren Sie mit dem nächsten Abschnitt dieses Tutorials fort.](#lamp-lightsail-certbot-configure-apache)

## Schritt 7: Erstellen Sie Links zu den Let's Encrypt-Zertifikatsdateien im LAMP-Serververzeichnis
<a name="lamp-lightsail-certbot-configure-apache"></a>

Erstellen Sie Links zu den Let's Encrypt SSL-Zertifikatsdateien im LAMP-Serververzeichnis auf Ihrer LAMP-Instanz. Außerdem sichern Sie Ihre vorhandenen Zertifikate, falls Sie sie später benötigen.

**Um Links zu den Let's Encrypt-Zertifikatsdateien im LAMP-Serververzeichnis zu erstellen**

1. Geben Sie in der browserbasierten Lightsail-SSH-Sitzung für Ihre LAMP-Instanz den folgenden Befehl ein, um die zugrunde liegenden Dienste zu beenden:

   ```
   sudo systemctl stop apache2
   sudo systemctl stop mariadb
   ```

1. Führen Sie den folgenden Befehl aus, um die SSL-Konfiguration zu ändern:

   ```
   sudo sed \
   -i -e "s|SSLCertificateFile /etc/ssl/certs/ssl-cert-snakeoil.pem|SSLCertificateFile /etc/letsencrypt/live/$DOMAIN/fullchain.pem|g" \
   -i -e "s|SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key|SSLCertificateKeyFile /etc/letsencrypt/live/$DOMAIN/privkey.pem|g" \
   /etc/apache2/sites-enabled/default-ssl.conf
   ```
**Anmerkung**  
Wenn Sie Ihr browserbasiertes SSH-Terminalfenster seit dem Setzen der `DOMAIN` Variablen in Schritt 3 geschlossen haben, führen Sie es `DOMAIN={{example.com}}` erneut aus und {{example.com}} ersetzen Sie es durch Ihre Domain.

1. Geben Sie den folgenden Befehl ein, um Apache2 neu zu starten:

   ```
   sudo systemctl restart apache2
   sudo systemctl restart mariadb
   ```

   Ihre LAMP-Instance ist jetzt so konfiguriert, dass Verbindungen automatisch von HTTP zu HTTPS umgeleitet werden. Wenn ein Besucher zu `http://www.example.com` geht, wird er automatisch an die verschlüsselte `https://www.example.com` Adresse weitergeleitet.

## Schritt 8: Erneuern Sie die Let's Encrypt-Zertifikate alle 90 Tage
<a name="renew-a-lets-encrypt-certificate-lamp-lightsail"></a>

Let's Encrypt-Zertifikate sind 90 Tage gültig. Die Zertifikate können 30 Tage bevor sie ablaufen erneuert werden. Um die Let's Encrypt-Zertifikate zu erneuern, führen Sie den ursprünglichen Befehl aus, mit dem sie abgerufen wurden. Wiederholen Sie die Schritte im Abschnitt „[Ein Let's Encrypt SSL-Platzhalterzertifikat anfordern](#request-a-lets-encrypt-certificate-lamp-lightsail)“ dieses Tutorials.