In modernen Anwendungen ist ein TLS-Zertifikat nicht nur eine Sicherheitskomponente — es ist ein direkter Teil der Verfügbarkeit. Ein abgelaufenes Zertifikat bedeutet einen Vertrauensfehler auf der Benutzerseite, eine Verbindungsablehnung in API-Clients und in einigen Szenarien einen vollständigen Service-Ausfall. Der Fehler taucht typischerweise auf, während die Anwendung selbst einwandfrei läuft.
Kurzlebige Zertifikate verbessern die Sicherheit, erhöhen aber auch die operative Belastung. In einem 90-Tage-Zertifikatszyklus reicht ein manueller Kalender, eine E-Mail-Benachrichtigung oder ein externes Skript nicht aus. Selbst wenn das Zertifikat erneuert wurde, wenn es nicht auf den ADC angewendet wurde, bedient der laufende Dienst weiterhin das alte.
Unternehmensumgebungen benötigen auch mehr als eine CA. Wenn bei einer CA ein Rate-Limit, ein Kontoproblem oder ein Validierungsfehler auftritt, ist ein schneller Wechsel zu einem alternativen Anbieter erforderlich. Eine auf eine einzige CA gesperrte Architektur macht Zertifikatsoperationen unnötig fragil.
In HA-Architekturen ist das Problem kritischer. Wenn zwei Geräte versuchen, Zertifikate für dieselbe Domain mit separaten ACME-Konten auszustellen, entstehen Rate-Limit- und Inkonsistenzrisiken. Zertifikatskonten, Thumbprints und Erneuerungsstatus müssen über HA-Knoten synchron gehalten werden.
TR7 ADC bringt ACME-Zertifikatsausstellung und -erneuerung — einschließlich Kontoregistrierung, Schwellenwert-Kontrolle, Diff-Erkennung, automatische Prüfung und HA-Sharing — in den integrierten Zertifikatsverwaltungsflow des Geräts.
TR7 behandelt ACME-Zertifikatserneuerung nicht als einmaliges Skript, sondern als kontrollierten, wiederholbaren Teil des Zertifikatslebenszyklus.
E-Mail-Adresse, CA-Auswahl, Domain-Liste, Schlüsseltyp und EAB-Zugangsdaten werden unter derselben Struktur gehalten. Fehlende oder ungültige Felder werden zum Registrierungszeitpunkt abgefangen. Der Erneuerungsflow verlässt sich daher auf ein validiertes Zertifikatsobjekt statt auf Ad-hoc-Befehlsparameter.
TR7 prüft Zertifikate zweimal täglich — morgens und abends. Wenn die verbleibenden Tage unter den per-Zertifikat-Erneuerungsschwellenwert fallen, startet der Erneuerungsflow. Der Operator muss keinen Kalender führen oder einen externen Cron-Job schreiben.
Wenn sich CA, Domain-Liste oder Schlüsseltyp ändern, behandelt TR7 dies als neue Zertifikatsausstellung. Wenn dieselbe Konfiguration beibehalten wird, läuft nur der Erneuerungsflow. Diese Unterscheidung verhindert falsches Renew-Verhalten beim Hinzufügen einer Domain oder Ändern eines Schlüsseltyps.
Der ACME-Konto-Thumbprint wird mit dem HA-Peer-Knoten geteilt. Beide Geräte verhalten sich daher konsistent und verwenden dasselbe CA-Konto. Das Rate-Limit-Risiko wird reduziert und das Zertifikatsmanagement bleibt bei aktiv-passiven Failovers in derselben Kontokette.
ACME-Zertifikatserneuerung bringt CA-Auswahl, Kontoregistrierung, automatische Erneuerung, HA-Sharing und Audit-Sichtbarkeit in einen einzigen Zertifikatsverwaltungsflow.
TR7 ADC unterstützt fünf CA-Optionen: Let's Encrypt, ZeroSSL, SSL.com, Buypass und Google Trust Services. Der Operator wählt den Anbieter beim Erstellen über das Zertifikatsprofil aus. Dies reduziert die Abhängigkeit von einem einzigen Anbieter. Eine andere CA kann für Unternehmenskonten, Tests oder Dienste bevorzugt werden, die eine andere Vertrauenskette erfordern.
HTTP-01-Challenge validiert die Domain über Web-Traffic. Wenn Port 80 erreichbar ist, kann ein Zertifikat ohne zusätzliche DNS-Integration ausgestellt werden. Dies ermöglicht schnelles Onboarding, insbesondere für Single-Domain- und Standard-vService-Szenarien. Wildcard-Automatisierung wird nicht beansprucht; dieser Flow konzentriert sich auf Single-Domain-Validierung.
Für CA-Konten, die EAB erfordern, werden Key-ID und HMAC-Zugangsdaten im Zertifikatsprofil gespeichert. Der Operator gibt diese über die Oberfläche ein; TR7 generiert die Authentifizierungsbefehle automatisch. Dies reduziert manuelle Befehlsfehler in Setups, die Unternehmens-CA-Konten verwenden. Der Onboarding-Prozess wird besonders für kontobasierte ACME-Anbieter vereinfacht.
Ein Zertifikat kann mehrere Domains enthalten. Die Domain-Liste wird als Array im Zertifikatsobjekt gespeichert und jede Domain wird mit ihrem eigenen Parameter im Validierungsflow verarbeitet. Wenn eine Domain hinzugefügt wird, erkennt TR7 dies als Konfigurationsänderung. Der Neuausstellungsflow läuft dann mit dem neuen Domain-Set, anstatt das bestehende Zertifikat fälschlicherweise zu erneuern.
Ein Erneuerungsschwellenwert in Tagen kann pro Zertifikat gesetzt werden. Eine frühere Erneuerungsrichtlinie — wie 60 Tage — kann für kritische Dienste angewendet werden; ein kürzeres Fenster kann für Standarddienste gewählt werden. TR7 vergleicht die verbleibenden Tage mit diesem Schwellenwert. Wenn der Schwellenwert überschritten wird, beginnt die automatische Erneuerung.
TR7 führt die Zertifikatserneuerungsprüfung zweimal täglich durch: um 07:00 und 22:00 Uhr. Dieser Flow verarbeitet nur Zertifikate, deren Erneuerungsfenster erreicht wurde. Der Operator muss keinen externen Cron-Job, kein Shell-Skript oder manuelle Checkliste führen. Die Zertifikatserneuerung wird Teil des regulären Wartungszyklus des Geräts.
Wenn ein Zertifikatsprofil zum ersten Mal verwendet wird und das entsprechende CA-Konto noch nicht existiert, initiiert TR7 die Kontoregistrierung automatisch. Der Konto-Thumbprint wird extrahiert und dauerhaft gespeichert. Dasselbe Konto wird dann für nachfolgende Zertifikatsoperationen wiederverwendet. Der Operator muss keinen separaten Kontoregistrierungsprozess verwalten.
TR7 erzeugt einen Konfigurations-Fingerabdruck aus CA-Auswahl, Schlüsseltyp und Domain-Liste. Wenn dieser Fingerabdruck mit dem vorherigen Wert übereinstimmt, läuft der Erneuerungsflow; wenn er abweicht, wird ein neues Zertifikat ausgestellt. Dieses Verhalten wählt die richtige Aktion, wenn sich die Domain-Liste oder der Schlüsseltyp ändert. Das Zertifikatsmanagement verlässt sich auf Änderungserkennung statt auf Annahmen.
In einer HA-Umgebung teilen beide Knoten dieselben CA-Kontozugangsdaten. Dies verhindert, dass aktive und passive Geräte wiederholt Operationen für dieselbe Domain mit unabhängigen Konten durchführen. Rate-Limit- und Kontokonflikt-Risiko sinkt. Nach einem Failover setzt das Zertifikatsmanagement innerhalb derselben Kontokette fort.
Der Standard-Schlüsseltyp ist ec-256. Der Operator kann ec-384 oder RSA-basierte Schlüssellängen nach Bedarf wählen. Dies bewahrt schnelle Handshakes für moderne Clients, während die RSA-Option für Clients verfügbar bleibt, die Legacy-Kompatibilität erfordern. Eine Schlüsseltypänderung wird als neuer Ausstellungsflow behandelt.
Während der Zertifikatsausstellung oder -erneuerung wird die Prozessausgabe Zeile für Zeile an die Oberfläche gestreamt. Validierungsfehler, Rate-Limits, Domain-Erreichbarkeitsprobleme oder EAB-Probleme sind für den Operator sichtbar. Dies nimmt die Zertifikatserneuerung aus der Schwarz-Box-Kategorie. Die Fehlerbehebungszeit wird reduziert.
Kontoregistrierung, Ausstellung, Erneuerung, Erfolgs- und Fehlerereignisse werden in das Benutzer-Log und den Audit-Stream geschrieben. Es ist möglich zu sehen, welche Operation für welches Zertifikat wann ausgeführt wurde. Mit SIEM-Integration werden Zertifikatserneuerungsereignisse an das zentrale Überwachungssystem weitergeleitet. Der Zertifikatslebenszyklus wird für Compliance-Teams nachweisbar.
Der ACME-Erneuerungsflow tut mehr als ein Zertifikat abzurufen — er arbeitet neben Kontospeicherung, Prozessisolation, Timeout-Handling, HA-Sharing und Fehlerverwaltung.
Jede CA- und E-Mail-Kombination wird in ihrem eigenen Kontoverzeichnis gehalten. Dies verhindert, dass Kontozugangsdaten verschiedener Anbieter sich vermischen. Mehrere CA-Konten können sicher auf demselben Gerät verwaltet werden.
Eine Zeitobergrenze wird auf Zertifikatsausstellungs- und -erneuerungsoperationen angewendet. Prozesse, die lang laufen oder stecken bleiben, bleiben nicht auf unbestimmte Zeit offen. Timeout, vom Benutzer initiiertes Stoppen und Prozessabschluss werden als separate Zustände behandelt.
In Multi-Tenant-Setups und Konfigurationen mit separaten Routing-Tabellen können ACME-Operationen über den korrekten Netzwerk-Namespace ausgeführt werden. Challenge-Traffic verlässt daher über den Ausgangsweg des relevanten Tenants oder der Zone. Dies reduziert Zertifikats-Validierungsfehler in Multi-Netzwerk-Architekturen.
Wenn die Zertifikatsausstellung abgeschlossen ist, werden die Speicherorte des Zertifikats, der vollständigen Kette und der privaten Schlüsseldateien aus der Prozessausgabe erfasst. TR7 liest diese Dateien und importiert sie in seinen eigenen Zertifikats-Store. Das erneuerte Zertifikat wird somit dem ADC verfügbar gemacht.
Der ACME-Konto-Thumbprint wird in dauerhaftem Speicher gespeichert. Selbst wenn das Gerät neu startet, geht die Kontokette nicht verloren. HA-Sharing setzt ebenfalls basierend auf diesen dauerhaften Informationen fort.
Wenn die Zertifikatserneuerung fehlschlägt, wird das Fehlerereignis protokolliert und kann an den zentralen Überwachungsstream weitergeleitet werden. Ein Zertifikat, das dem Ablaufen nahe kommt, kann zusätzlich mit dem Benachrichtigungssystem verknüpft werden. Dies ermöglicht es, das Operations-Team zu warnen, bevor das Zertifikat abläuft.
Single-Domain-Zertifikate für öffentliche Web- und Zahlungs-vServices werden via HTTP-01 ausgestellt. TR7 prüft den Erneuerungsschwellenwert zweimal täglich und erneuert das Zertifikat, wenn das Ablaufdatum naht.
Jeder Tenant bringt seine eigene Subdomain mit. TR7 speichert die Domain-Liste im Zertifikatsobjekt und bindet sie über SNI an den relevanten vService. Zertifikate werden im Hintergrund erneuert.
Ein Unternehmens-CA-Anbieter benötigt EAB-Zugangsdaten. Der Operator definiert Key-ID und HMAC im Zertifikatsprofil; TR7 führt Kontoregistrierung und Zertifikatsausstellung automatisch durch.
In einem aktiv-passiven TR7-Paar teilen beide Geräte denselben CA-Konto-Thumbprint. Zertifikatsoperationen bleiben konsistent und das Risiko unnötiger Neuvalidierung wird reduziert.
Zertifikatsausstellungs- und -erneuerungsereignisse werden im Audit-Log erfasst. Bei einem Audit ist es möglich zu zeigen, welches Zertifikat wann erneuert wurde und welches Benutzer- oder Systemereignis die Operation ausgelöst hat.
Wenn der Validierungsverkehr eines Tenants über seinen eigenen Netzwerk-Namespace ausgehen muss, wird die ACME-Operation in diesem Kontext ausgeführt. Multi-Tenant-Routentrennung wird beibehalten, während die Zertifikatserneuerung abgeschlossen wird.
Fünf CAs, EAB, HA-Thumbprint-Sharing und zweimal tägliche automatische Prüfungen — in einem einzigen Zertifikatsverwaltungsflow. Lassen Sie uns ein Live-Setup in Ihrer eigenen Umgebung durchgehen.