Certifikater

Certifikat-wizard / guide

Klik Nyt certifikat for at starte wizarden. Den guider dig igennem fem trin. De fleste certifikater kan oprettes ved at acceptere standardvalgene og kun angive domænenavnet.

Trin 1: Vælg kilde (CA)

Vælg hvilken Certificate Authority (CA) der skal udstede certifikatet.

Kilde Beskrivelse
sslbrain ACME Cloud Standard. sslbrain Cloud fungerer som ACME-server og vælger den bedste CA automatisk. Understøtter DNS-01 validering uden at du skal konfigurere DNS-API.
Let's Encrypt Direkte forbindelse til Let's Encrypt. Gratis DV-certifikater med 90 dages levetid.
Google Trust Services Googles gratis ACME CA. Alternativ til Let's Encrypt med 90 dages certifikater.
Custom ACME Angiv en vilkårlig ACME-server URL. Bruges til interne CA'er (f.eks. Smallstep, ADCS med ACME) eller andre offentlige CA'er.

Tip: For de fleste er sslbrain ACME Cloud det rigtige valg, det håndterer DNS-validering automatisk og fungerer med alle domæner.

Trin 2: Vælg domæne

Angiv det domænenavn certifikatet skal dække.

  • Enkelt domæne: f.eks. www.example.com. Dækker præcis det ene hostname.
  • Wildcard: f.eks. *.example.com. Dækker alle subdomæner et niveau ned (dvs. www.example.com, mail.example.com, app.example.com osv., men ikke sub.sub.example.com).
  • Flere domæner (SAN): tilføj ekstra domæner med + Tilføj domæne-knappen. Alle domæner ender på samme certifikat.

Hvis serveren allerede er tilføjet og sslbrain har kørt scanning, vises de fundne domæner som forslag. Klik på et forslag for at vælge det.

Trin 3: Vælg validering

Valideringsmetoden bestemmer hvordan CA'en bekræfter at du ejer domænet.

Auto-DNS (anbefalet)

sslbrain opretter og fjerner DNS-poster automatisk via sslbrain Cloud. Du skal kun opsætte en CNAME-delegering en gang (se afsnittet om Auto-DNS nedenfor). Virker med alle domæner og understøtter wildcard.

HTTP-01

sslbrain placerer en fil på webserveren som CA'en henter via HTTP. Kræver at port 80 er åben og at webserveren svarer på domænet. Virker ikke med wildcard-certifikater.

DNS-01 (manuelt)

sslbrain viser den TXT-post du skal oprette i din DNS. Du opretter posten manuelt og klikker Bekræft. Bruges kun hvis Auto-DNS ikke er muligt og HTTP-01 ikke er en option.

Tip: For de fleste er Auto-DNS det rigtige valg. Det kræver en engangsopsætning per domæne, men derefter er alt automatisk, også ved fornyelse.

Community-licens: Community-brugere kan kun bruge Auto-DNS via sslbrain Cloud. HTTP-01, DNS API og TLS-ALPN kræver en betalt licens. Valideringsfejl kan rate-limite ACME-konti og påvirke andre brugere. Community-brugere kan stadig gå direkte til Let's Encrypt eller andre CA'er uden om sslbrain Cloud.

Trin 4: Installation

sslbrain henter certifikatet via sin interne ACME-klient og installerer det på serveren via SSH, WinRM eller API. Servere og appliances behøver ikke selv at kunne tale med en CA.

Trin 5: Vælg endpoints

Vælg hvilke tjenester certifikatet skal installeres på. sslbrain viser de tjenester der blev fundet under scanning.

Eksempel: du opretter et certifikat til mail.example.com og ser disse tjenester på din Exchange-server:

  • Exchange OWA (port 443)
  • Exchange SMTP (port 25/587)
  • Exchange IMAP (port 993)
  • RDP (port 3389)

Markér de tjenester der skal bruge certifikatet. Du kan altid tilføje eller fjerne endpoints senere.

Klik Udsted for at starte processen. sslbrain validerer domænet, henter certifikatet og installerer det på de valgte endpoints.

Auto-DNS

Auto-DNS er sslbrains automatiske DNS-validering. Du delegerer DNS-valideringen for dit domæne til sslbrain Cloud ved at oprette en CNAME-post. Derefter håndterer sslbrain alt selv, ved udstedelse og ved hver fornyelse.

Opsætning (en gang per domæne)

  1. Gå til Domæner og klik på dit domæne (eller tilføj det)
  2. sslbrain viser den CNAME-post du skal oprette:
DNS 
_acme-challenge.example.com  CNAME  example.com.acme.sslbrain.cloud.
  1. Opret CNAME-posten hos din DNS-udbyder
  2. Klik Bekræft delegering: sslbrain tjekker at posten er oprettet korrekt

Når delegeringen er på plads, kan sslbrain oprette og slette de TXT-poster som CA'en kræver under validering. Du behøver ikke give sslbrain adgang til din DNS-zone, kun den ene CNAME-post.

Wildcard og SAN

Auto-DNS understøtter både wildcard og SAN-certifikater. Hvert domæne på certifikatet skal have sin egen CNAME-delegering. For et wildcard-certifikat til *.example.com er det den samme CNAME som for example.com:

DNS 
_acme-challenge.example.com  CNAME  example.com.acme.sslbrain.cloud.

For et SAN-certifikat med www.example.com og api.example.com skal begge domæner have en delegering:

DNS 
_acme-challenge.www.example.com  CNAME  www.example.com.acme.sslbrain.cloud.
_acme-challenge.api.example.com  CNAME  api.example.com.acme.sslbrain.cloud.

Wildcard-certifikater

Et wildcard-certifikat dækker alle subdomæner et niveau ned under et domæne. *.example.com dækker www.example.com, mail.example.com, app.example.com og alle andre subdomæner, men ikke example.com selv og ikke sub.sub.example.com.

Hvis du også har brug for at dække selve example.com (hoveddomænet), tilføj det som et ekstra SAN-navn i trin 2 af wizarden.

Vigtigt: Wildcard-certifikater kræver DNS-01 validering. HTTP-01 kan ikke bruges til wildcard. Med Auto-DNS håndteres det automatisk.

Hvornår wildcard giver mening

  • Du har mange subdomæner der ændrer sig ofte
  • Du vil undgå at oprette et nyt certifikat for hvert subdomæne
  • Du har tjenester der dynamisk opretter subdomæner (f.eks. kundeportaler, staging-miljøer)

Hvornår enkelt-domæne er bedre

  • Du har få, faste domæner, et certifikat per domæne er enklere at overskue
  • Du vil have separat certifikatstyring per tjeneste
  • Compliance-krav der kræver isolerede certifikater

SAN-certifikater

Et SAN-certifikat (alternative navne / Subject Alternative Name) dækker flere specifikke domæner på samme certifikat. Typisk bruges det til at samle relaterede domæner:

  • example.com + www.example.com
  • mail.example.com + autodiscover.example.com
  • example.dk + example.se + example.no

Tilføj ekstra domæner i trin 2 af wizarden med + Tilføj domæne. Hvert domæne skal valideres individuelt, med Auto-DNS sker det automatisk.

Tip: Der er ingen praktisk grænse for antal SAN-navne hos Let's Encrypt og Google Trust Services (op til 100). Kommercielle CA'er har typisk en grænse der afhænger af produktet.

Automatisk fornyelse

sslbrain fornyer certifikater automatisk. Fornyelsestidspunktet bestemmes af CA'ens anbefaling (ARI) eller når 75% af certifikatets levetid er brugt, med en hård grænse på 7 dage før udløb som sikkerhedsnet. Der er ingen konfiguration nødvendig.

Fornyelsesprocessen

Trin Beskrivelse
1sslbrain tjekker dagligt om et certifikat nærmer sig udløb
2Fornyelse starter baseret på CA-anbefaling (ARI) eller ved 75% af levetiden
3Domænet valideres igen (med Auto-DNS er det automatisk)
4Det nye certifikat hentes fra CA'en
5Certifikatet installeres på de samme endpoints som det gamle
6Det gamle certifikat erstattes

Du kan se fornyelseshistorik under certifikatets Historik-fane.

Hvis fornyelsen fejler

sslbrain prøver igen dagligt. Hvis fornyelsen fejler tre gange i træk, sender sslbrain en notifikation (e-mail eller webhook, afhængigt af din konfiguration). Typiske årsager:

Typiske fejlårsager:

  • DNS-delegering er fjernet eller ændret
  • Serveren er utilgængelig (netværk, loginoplysninger ændret)
  • CA'en har et midlertidigt nedbrud

Fejlen og årsagen vises i certifikatets logfil.

Kommercielle certifikater

Udover gratis ACME-certifikater kan sslbrain udstede kommercielle certifikater fra kendte CA'er som DigiCert, Sectigo, GlobalSign og Certum.

Enhedsbaseret prissætning

Kommercielle certifikater faktureres per enhed (virksomhed, afdeling eller kunde, afhængigt af din aftale). Antallet af certifikater per enhed er ubegrænset. Det er enheden, ikke certifikatet, der har en pris.

Automatisk CA-valg

Når du opretter et kommercielt certifikat, kan du lade sslbrain vælge den billigste CA der opfylder dine krav. Angiv certifikattype (DV, OV eller EV) og eventuelle ønsker (f.eks. wildcard, SAN-antal), og sslbrain finder det bedste tilbud.

Du kan også vælge en specifik CA hvis du har præferencer eller compliance-krav.

Valideringstyper

Type Krav Tid
DV (Domain Validation) Domæneejerskab Minutter
OV (Organization Validation) Domæne + virksomhedsoplysninger 1-3 dage
EV (Extended Validation) Domæne + virksomhed + juridisk verifikation 3-7 dage

DV-certifikater udstedes automatisk. OV og EV kræver at CA'en verificerer din virksomhed, sslbrain guider dig igennem de nødvendige trin og holder styr på valideringsstatus.

Manuel upload

Til enheder og tjenester der ikke understøtter ACME kan du uploade certifikater manuelt til sslbrain. sslbrain holder styr på udløbsdatoen og advarer dig inden certifikatet udløber.

Understøttede formater

PEM

Base64-kodet, typisk med .pem eller .crt endelse. Det mest almindelige format på Linux.

DER

Binært format, typisk med .der eller .cer endelse.

PFX / PKCS#12

Certifikat og privat nøgle i en enkelt fil, typisk med .pfx eller .p12 endelse. Standard på Windows.

Upload-proces

  1. Klik Certifikater > Upload
  2. Vælg filen (eller træk den ind i upload-feltet)
  3. Hvis det er en PFX-fil, angiv adgangskoden
  4. sslbrain indlæser filen og viser certifikatets detaljer (domæne, CA, udløbsdato, kæde)
  5. Tildel certifikatet til en server og tjeneste (valgfrit)
  6. Klik Gem

Bemærk: Uploadede certifikater fornyes ikke automatisk. sslbrain sender en påmindelse inden udløb så du kan bestille og uploade et nyt.