v2-Docker/SSL/SSL_Wichtig.md

# SSL Zertifikat für intelsight.de - Wichtige Informationen

## Erfolgreich erstelltes Zertifikat

**Erstellungsdatum**: 26. Juni 2025  
**Ablaufdatum**: 24. September 2025 (90 Tage)  
**E-Mail für Benachrichtigungen**: momohomma@googlemail.com

**Abgedeckte Domains**:
- intelsight.de
- www.intelsight.de
- admin-panel-undso.intelsight.de
- api-software-undso.intelsight.de

## Zertifikatsdateien (in WSL)

- **Zertifikat (Full Chain)**: `/etc/letsencrypt/live/intelsight.de/fullchain.pem`
- **Privater Schlüssel**: `/etc/letsencrypt/live/intelsight.de/privkey.pem`
- **Nur Zertifikat**: `/etc/letsencrypt/live/intelsight.de/cert.pem`
- **Zwischenzertifikat**: `/etc/letsencrypt/live/intelsight.de/chain.pem`

## Komplette Anleitung - So wurde es gemacht

### 1. WSL Installation und Setup
```bash
# In Windows PowerShell WSL starten
wsl

# System aktualisieren
sudo apt update

# Certbot installieren
sudo apt install certbot

# Version prüfen
certbot --version
# Ausgabe: certbot 2.9.0
```

### 2. Certbot DNS Challenge starten
```bash
sudo certbot certonly --manual --preferred-challenges dns --email momohomma@googlemail.com --agree-tos --no-eff-email -d intelsight.de -d www.intelsight.de -d admin-panel-undso.intelsight.de -d api-software-undso.intelsight.de
```

### 3. DNS Challenge Werte sammeln
Certbot zeigt nacheinander 4 DNS Challenges an. **Nach jedem Wert Enter drücken** um den nächsten zu sehen:

1. Enter → Erster Wert erscheint
2. Enter → Zweiter Wert erscheint  
3. Enter → Dritter Wert erscheint
4. Enter → Vierter Wert erscheint
5. **STOPP! Noch nicht Enter drücken!**

### 4. DNS Einträge bei IONOS hinzufügen

Bei IONOS anmelden und unter DNS-Einstellungen diese TXT-Einträge hinzufügen:

| Typ | Hostname | Wert | TTL |
|-----|----------|------|-----|
| TXT | `_acme-challenge.admin-panel-undso` | [Wert von Certbot] | 5 Min |
| TXT | `_acme-challenge.api-software-undso` | [Wert von Certbot] | 5 Min |
| TXT | `_acme-challenge` | [Wert von Certbot] | 5 Min |
| TXT | `_acme-challenge.www` | [Wert von Certbot] | 5 Min |

### 5. DNS Einträge verifizieren

**In einem neuen WSL Terminal** prüfen ob die Einträge aktiv sind:

```bash
nslookup -type=TXT _acme-challenge.admin-panel-undso.intelsight.de
nslookup -type=TXT _acme-challenge.api-software-undso.intelsight.de
nslookup -type=TXT _acme-challenge.intelsight.de
nslookup -type=TXT _acme-challenge.www.intelsight.de
```

Wenn alle 4 Einträge die richtigen Werte zeigen, fortfahren.

### 6. Zertifikat generieren
Im Certbot Terminal (wo es wartet) **Enter drücken** zur Verifizierung.

Erfolgreiche Ausgabe:
```
Successfully received certificate.
Certificate is saved at: /etc/letsencrypt/live/intelsight.de/fullchain.pem
Key is saved at:         /etc/letsencrypt/live/intelsight.de/privkey.pem
This certificate expires on 2025-09-24.
```

## Zertifikate für späteren Server-Upload kopieren

```bash
# Zertifikate ins Home-Verzeichnis kopieren
sudo cp /etc/letsencrypt/live/intelsight.de/fullchain.pem ~/
sudo cp /etc/letsencrypt/live/intelsight.de/privkey.pem ~/

# Berechtigungen setzen
sudo chmod 644 ~/*.pem

# Dateien anzeigen
ls -la ~/*.pem
```

Die Dateien sind dann unter:
- Windows Pfad: `\\wsl$\Ubuntu\home\[dein-username]\fullchain.pem`
- Windows Pfad: `\\wsl$\Ubuntu\home\[dein-username]\privkey.pem`

## Wichtige Hinweise

1. **Erneuerung**: Das Zertifikat muss alle 90 Tage erneuert werden
2. **Manuelle Erneuerung**: Gleicher Prozess mit DNS Challenge wiederholen
3. **Automatische Erneuerung**: Erst möglich wenn Server läuft
4. **DNS Einträge**: Nach erfolgreicher Zertifikatserstellung können die `_acme-challenge` TXT-Einträge bei IONOS gelöscht werden

## Für den zukünftigen Server

Wenn der Server bereit ist, diese Dateien verwenden:
- `fullchain.pem` - Komplette Zertifikatskette
- `privkey.pem` - Privater Schlüssel (GEHEIM HALTEN!)

### Beispiel Nginx Konfiguration:
```nginx
ssl_certificate /etc/ssl/certs/fullchain.pem;
ssl_certificate_key /etc/ssl/private/privkey.pem;
```

### Beispiel Apache Konfiguration:
```apache
SSLCertificateFile /etc/ssl/certs/fullchain.pem
SSLCertificateKeyFile /etc/ssl/private/privkey.pem
```