Alle Lobster Cloud Systeme sind mit SSL/TLS-Zertifikaten gesichert. Diese Seite erläutert die standardmäßige Zertifikatsbereitstellung über Let’s Encrypt, die Verwendung eigener Zertifikate sowie die besonderen Anforderungen für AS2-Kommunikation und High-Availability-Umgebungen.
Standardzertifikate (Let’s Encrypt)
Alle Lobster Cloud Systeme sind mit SSL-Zertifikaten von Let’s Encrypt ausgestattet. Lobster verwendet den in die Lobster Data Platform integrierten Certbot für die automatisierte Zertifikatsverwaltung. Standardmäßig werden keine anderen Zertifikatsmanager oder externen Zertifikatsdienste eingesetzt.
Aspekt | Details |
|---|---|
Zertifizierungsstelle | Let’s Encrypt |
Geltungsbereich | Jede Serverkomponente (DMZ, interner Server, DEV) erhält ein eigenes, dediziertes SSL-Zertifikat. |
Erneuerung | Zertifikate werden automatisch etwa alle 90 Tage erneuert. Kein Handlungsbedarf auf Ihrer Seite. |
Port-Anforderung | Port 80 muss für die Let’s-Encrypt-Domainvalidierung geöffnet bleiben. Dies wird während der Installation automatisch konfiguriert. |
Kosten | In Ihrem Lobster Cloud-Abonnement ohne zusätzliche Kosten enthalten. |
Funktionsweise
Der Zertifikatsausstellungsprozess folgt diesen Schritten.
Schritt | Beschreibung |
|---|---|
1 | Die Lobster Data Platform sendet eine Zertifikatsanfrage an Let's Encrypt. |
2 | Let’s Encrypt führt eine Domainvalidierung durch, indem eine bestimmte URL auf Port 80 Ihres Systems aufgerufen wird. |
3 | Nach erfolgreicher Validierung wird das Zertifikat ausgestellt und an das System zurückgesendet. |
4 | Die Lobster Data Platform installiert das Zertifikat automatisch und verwendet es für die gesamte HTTPS-Kommunikation. |
Sämtlicher HTTP-Datenverkehr auf Port 80 wird automatisch auf HTTPS auf Port 443 umgeleitet. Die einzige Ausnahme ist der Let’s-Encrypt-Validierungspfad (/.well-known/*), der für den Erneuerungsprozess über HTTP erreichbar bleiben muss.
Eigene Zertifikate
Sie haben die Möglichkeit, eigene SSL-Zertifikate von einer vertrauenswürdigen Zertifizierungsstelle anstelle der Standard-Let’s-Encrypt-Zertifikate zu verwenden. Dies wird empfohlen, wenn Sie eigene DNS-Namen verwenden oder spezifische Zertifikatsanforderungen haben.
Aspekt | Details |
|---|---|
Erwerb | Sie müssen das Zertifikat eigenständig bei einer Zertifizierungsstelle Ihrer Wahl erwerben. |
Installation | Sie installieren das Zertifikat selbst innerhalb der Lobster Data Platform. |
Erneuerung | Eigene Zertifikate sind in der Regel ein Jahr gültig. Sie sind für die Erneuerung und Neuinstallation vor Ablauf verantwortlich. |
Lobster verkauft keine Zertifikate | Lobster tritt nicht als Zertifikatswiederverkäufer oder Vermittler auf. |
Eigene Zertifikate mit eigenen DNS-Namen
Wenn Sie eigene DNS-Namen anstelle der Standard-Namen mit .lobster-cloud.com verwenden, müssen Sie SSL-Zertifikate bereitstellen, die zu Ihrer benutzerdefinierten Domain passen. Sie haben zwei Optionen:
Option | Beschreibung |
|---|---|
Certbot konfigurieren | Richten Sie den Let’s-Encrypt-Cert-Bot innerhalb der Lobster Data Platform ein, um Zertifikate für Ihre eigenen DNS-Namen automatisch auszustellen und zu erneuern. |
Eigene Zertifikate verwenden | Erwerben und installieren Sie ein Zertifikat für Ihre eigene Domain. Sie verwalten die Erneuerung selbst. |
Alle Informationen zum Thema DNS finden Sie unter DNS-Konfiguration.
AS2-Kommunikation
Let’s-Encrypt-Zertifikate sind für die AS2-Kommunikation nicht geeignet. Dies liegt daran, dass Let’s-Encrypt-Zertifikate alle 90 Tage erneuert werden, was zu Problemen mit AS2-Partnerkonfigurationen führen kann, die auf ein stabiles Zertifikat angewiesen sind.
Option | Beschreibung |
|---|---|
Selbstsigniertes Zertifikat (empfohlen) | Sie können ein selbstsigniertes Zertifikat direkt in der Lobster Data Platform generieren und für die AS2-Kommunikation verwenden. Dies ist der empfohlene Ansatz. |
Eigenes Zertifikat von einer vertrauenswürdigen CA | Sie können ein eigenes Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle erwerben und für AS2 installieren. Sie verwalten die Erneuerung selbst. |
High-Availability-Umgebungen
Zertifikate in High-Availability-Umgebungen erfordern besondere Berücksichtigung, da mehrere Serverkomponenten abgesichert werden müssen.
Standard-Lobster-DNS-Namen
Let’s-Encrypt-Zertifikate funktionieren in HA-Umgebungen, wenn Sie die Standard-DNS-Namen mit .lobster-cloud.com verwenden. Der Cert-Bot übernimmt die Zertifikatsausstellung und -erneuerung für alle HA-Komponenten automatisch.
Eigene DNS-Namen in HA-Umgebungen
Wenn Sie eigene DNS-Namen in einer HA-Umgebung verwenden, werden die folgenden Zertifikatstypen empfohlen:
Zertifikatstyp | Beschreibung |
|---|---|
Multi-Domain-Zertifikat (SAN) | Ein einzelnes Zertifikat, das mehrere Domainnamen abdeckt. Geeignet, wenn Sie eine definierte Anzahl von Hostnamen für Ihre HA-Komponenten haben. |
Wildcard-Zertifikat | Ein Zertifikat, das alle Subdomains einer bestimmten Domain abdeckt (beispielsweise *.ihredomain.com). Vereinfacht die Zertifikatsverwaltung in HA-Set-ups. |
Sie sind für den Erwerb, die Installation und die Erneuerung eigener Zertifikate in HA-Umgebungen verantwortlich. Alle Informationen zum Thema DNS finden Sie unter DNS-Konfiguration.
HTTPS-Umleitung
Alle Lobster Cloud-Systeme erzwingen standardmäßig HTTPS. Das System ist wie folgt konfiguriert:
Regel | Beschreibung |
|---|---|
HTTP-zu-HTTPS-Umleitung | Alle eingehenden Anfragen auf Port 80 (HTTP) werden automatisch auf Port 443 (HTTPS) umgeleitet. |
Let’s-Encrypt-Ausnahme | Der Validierungspfad /.well-known/* bleibt über HTTP (Port 80) erreichbar, um die Let’s-Encrypt-Domainverifizierung zu ermöglichen. |
Diese Konfiguration stellt sicher, dass die gesamte Kommunikation mit Ihrem Lobster Cloud System verschlüsselt ist.
Zusammenfassung
Szenario | Empfohlenes Zertifikat |
|---|---|
Standard-DNS-Namen (.lobster-cloud.com) | Let’s Encrypt (automatisch, kein Handlungsbedarf) |
Eigene DNS-Namen | Certbot für Ihre eigene Domain oder Ihr eigenes Zertifikat |
AS2-Kommunikation | Selbstsigniertes Zertifikat oder eigenes Zertifikat von einer vertrauenswürdigen CA |
High-Availability mit Standard-DNS | Let’s Encrypt (automatisch) |
High-Availability mit eigenen DNS-Namen | Multi-Domain- oder Wildcard-Zertifikat |