SSL Automatisierung

LEMARIT Certificate Automation

Zertifikatsautomatisierungs-Plattform für DV-Zertifikate

Vollautomatische Verlängerung Ihrer DV-Zertifikate inklusive Wildcard- und Multi-Domain-Varianten – über ACME oder REST-API. Die DNS-Validierung läuft wahlweise per REST-API oder RFC 2136 – eine Plattform, vier Integrations-Modelle, ein Single Point of Contact Hand-in-Hand mit Ihrem DNS!
Demo anfragen
  • ISO-27001-konforme Prozesse
  • Hosted in Germany
  • Account-Manager statt Ticket-Lotterie

Die Herausforderung verkürzter Zertifikatslaufzeiten

Seit März 2026 beträgt die maximale Laufzeit öffentlich vertrauenswürdiger SSL-/TLS-Zertifikate nur noch 200 Tage. Ab dem 1. Oktober 2026 wird diese Verkürzung erstmals operativ wirksam – und das fortlaufend, zweimal pro Jahr und Zertifikat. Weitere Verkürzungsstufen sind geplant: genau 100 Tage ab März 2027 und 47 Tage ab März 2029.
Für Unternehmen mit verteilten Domain-Portfolios bedeutet das: Manuelle Prozesse skalieren nicht mehr. Eine Plattform, die heute den 200-Tage-Rhythmus auffängt und morgen den 47-Tage-Rhythmus mitträgt, ist nicht nur sinnvoll – sie wird Voraussetzung für stabilen Betrieb. Ohne Automatisierung steigen drei Risiken erheblich.
Risiken im Überblick

Fehlende Übersicht

Verteilte ACME-Setups auf Hunderten von Servern erzeugen Schatten-IT in der Zertifikats-Landschaft. Niemand weiß zuverlässig, welche Zertifikate wo laufen oder wer sie verantwortet. Ein einziger fehlerhafter oder stecken gebliebener Cron-Job führt zu produktiven Ausfällen.

Rate Limiting

Jede Certificate Authority arbeitet mit Rate Limits – etwa wie viele Zertifikate ein Account pro Woche ausstellen darf, wie viele pro registrierter Domain erlaubt sind oder wie viele Bestell-Anfragen in einem Zeitfenster zulässig sind. In Eigenbau-Setups mit vielen Clients gegen dieselbe CA wird das Rate Limit zur Engstelle, oft genau dann, wenn schnell reagiert werden muss. Eine zentrale Bestellschicht reduziert dieses Risiko durch einheitliche Koordination deutlich.

Angriffspotenzial

API-Tokens für DNS-Provider oder External Account Bindings (EABs) sind ein attraktives Angriffsziel. Bei breit verteilten Tokens mit umfangreichen Schreibrechten kann ein einziger Kompromiss eine komplette DNS-Zone gefährden. Wer das Risiko architektonisch eingrenzen will, braucht ein granulares Berechtigungs- und Delegations-Modell – nicht ein API-Key mit Vollzugriff.

SSL Zertifikate automatisch verlängern

LEMARIT Certificate Automation: Single Point of Contact für alle Wege

LEMARIT Certificate Automation ist eine Zertifikatsautomatisierungs-Plattform, die alle drei Risiken strukturell adressiert. Sie agiert als Single Point of Contact zwischen Ihren Systemen und einer Auswahl von Partner-CAs – und zwar so flexibel, dass sie sich an Ihre Architektur anpasst, statt sie umgekehrt zu erzwingen.

Statt jeden Server, jede Anwendung, jeden Reverse Proxy einzeln an eine bestimmte CA zu binden, sprechen alle mit einem einzigen LEMARIT-Endpoint. Wir bündeln die Bestellungen, übernehmen die Validierung, holen das Zertifikat von der von Ihnen gewählten Partner-CA – und liefern es zurück an den anfragenden Client. Die strategische CA-Entscheidung treffen Sie zentral im WebUI der LEMARIT.app. Ein CA-Wechsel erfordert wenige Klicks. Ihre Endsysteme müssen dafür nicht neu konfiguriert werden.

So wird der CA-Wechsel von einem mehrwöchigen Infrastrukturprojekt zu einer strategischen Entscheidung im Backend.
Unsere Leistungen

Vier Integrations-Modelle für jede Architektur

Die LEMARIT Certificate Automation lässt sich auf vier Wegen in Ihre Umgebung einbinden. Welcher Modus passt, ergibt sich aus Ihrer bestehenden Infrastruktur – und Sie können verschiedene Modelle parallel betreiben.
A

ACME direkt bei LEMARIT

Ihre ACME-Clients (Certbot, acme.sh, cert-manager) richten ihren ACME-Endpoint auf LEMARIT. Wir übernehmen die komplette Kette: Bestellung, DCV, Auslieferung. Die ausstellende Partner-CA bleibt für die Clients unsichtbar – und damit austauschbar.

Best Fit: Standard-Setups mit etablierten ACME-Clients, die einheitlich konsolidiert werden sollen.

B

REST-API bei LEMARIT

Für Umgebungen, in denen kein ACME-Client zur Verfügung steht oder generell keine sinnvolle Option ist, bietet LEMARIT eine entwicklerfreundliche REST-API. Bestellung und Verlängerung laufen über klassische API-Calls aus Ihrer eigenen Tool-Landschaft.

Best Fit: Custom-CertOps-Lösungen, Legacy-Software ohne ACME-Support, eigene Bestell-Workflows in SaaS-/Plattform-Produkten.

C

LEMARIT als DNS-Provider mit externer CA

Sie betreiben ACME direkt mit einer externen CA Ihrer Wahl, aber lagern die DCV-Komplexität an LEMARIT aus. Wir setzen die DCV-Einträge auf einem dedizierten Delegations-Namespace, Ihre Hauptdomain bleibt weitgehend unberührt.

Best Fit: Bestehende CA-Verträge, die nicht abgelöst werden sollen oder können, kombiniert mit dem Wunsch nach sauberer DNS-Architektur.

D

Nur DCV über LEMARIT

Der minimale Berührungspunkt: LEMARIT übernimmt ausschließlich den Validierungs-Schritt, alles andere bleibt extern. Sinnvoll für sehr granulare Setups oder als erster Migrations-Schritt vor Modus A oder C.

Best Fit: Hosting-Agenturen, hochgradig segmentierte Infrastrukturen, Sondersetups mit klar abgegrenztem Bedarf.

Technische Schnittstellen im Überblick

LEMARIT Certificate Automation trennt technisch sauber zwischen Zertifikatsbestellung und Domain Control Validation (DCV) und lässt beide nahtlos und automatisch zusammenarbeiten. Beide Bereiche bieten mehrere Schnittstellen, die Sie unabhängig kombinieren können.

Zertifikatsbestellung

Schnittstelle

ACME (RFC 8555)

REST-API

Wann sinnvoll?

Standard-Setups mit etablierten ACME-Clients

Custom-Integrationen, Legacy-Software, eigene CertOps-Workflows

Domain Control Validation (DNS-01)

Schnittstelle

CNAME-Delegation (DCV-Zonen-Konzept)

REST-API (DNS-01)

Dynamic DNS Update (RFC 2136 mit TSIG)

Wann sinnvoll?

Sicherheitsgewinn durch architektonische Isolation – Ihre Hauptdomain bleibt API-seitig unzugänglich

Cloud-native Setups, ACME-Clients mit DNS-01 Solver
Klassische DNS-Infrastrukturen, on-premise BIND, regulierte Umgebungen ohne Cloud-DNS-API
Die DCV-Zonen-Delegation ist das architektonische Herzstück: Sie setzen einmalig einen CNAME-Eintrag von 
_acme-challenge.ihre-domain
auf einen dedizierten LEMARIT-Delegations-Namespace. Sämtliche Validierungs-Einträge werden ausschließlich dort gesetzt – Ihre eigentliche DNS-Zone bleibt über die ACME-Schnittstelle nie schreibend erreichbar. Damit haben Token-Kompromisse keinen Zugriff auf Ihre produktiven DNS-Records.

TSIG-Algorithmen: Wir unterstützen HMAC-SHA256, optional erweiterbar auf HMAC-SHA512. Veraltete Algorithmen wie HMAC-MD5 setzen wir bewusst nicht ein.

Governance – API-User, Berechtigungen und Domain Patterns

LEMARIT Certificate Automation ist auf Mehr-Tenant- und Mehr-Team-Umgebungen ausgelegt. Drei Funktionen sorgen dafür, dass Sie Zugriff präzise verteilen und nachvollziehbar dokumentieren können.

Drei Konsequenzen für Ihre Architektur
  • Reduzierter Blast-Radius bei kompromittierten Keys – ein gestohlener API-Schlüssel kann nur Zertifikate für die explizit erlaubten Domains beantragen, nicht für Ihr gesamtes Portfolio.
  • Granulare Delegation an Dienstleister – Sie können externen Agenturen, Hosting-Partnern oder Sub-Teams API-Zugang geben, der präzise auf deren Verantwortungsbereich begrenzt ist.
  • Audit-konforme Multi-Tenant-Architektur – jede Anfrage hat einen eindeutigen Auth-Kontext, das gesamte Geschehen ist nachvollziehbar protokolliert.

API-User

Jede automatisierte Anbindung läuft über einen eigenen API-User. Damit lassen sich Anwendungen, Teams, Tenants oder externe Dienstleister sauber trennen – ohne dass alle einen einzigen Zugang teilen.

Berechtigungen

Pro API-User definieren Sie, welche Aktionen erlaubt sind: Bestellung neuer Zertifikate, Verlängerung, reine DCV-Operationen oder Read-Only-Zugriffe für Reporting-Tools. Das ist Least-Privilege im wörtlichen Sinn.

Domain Patterns

Pro API-User können Sie zusätzlich eine Liste von Domain Patterns konfigurieren – feste Domainnamen oder Wildcard-Muster mit Sternchen-Notation. Bei jeder eingehenden Anfrage – egal ob DCV-TXT-Record oder Zertifikatsbestellung – prüft die Plattform, ob der angefragte Domainname mit mindestens einem Pattern übereinstimmt. Stimmt keines, lehnt das System die Anfrage mit einem Berechtigungsfehler ab.

Anwendungsbeispiele

Vier typische Konstellationen zeigen, wie LEMARIT Certificate Automation in unterschiedliche Architekturen integriert wird. In jedem Beispiel gibt es mehrere Lösungspfade – wir besprechen den passenden gemeinsam im Architektur-Workshop.
LEMARIT Bürogebäude in Harrislee

Kubernetes mit cert-manager

Ein SaaS-Anbieter betreibt mehrere Kubernetes-Cluster. cert-manager beantragt Wildcard-Zertifikate über DNS-01-Validierung. Drei Ansätze stehen zur Wahl: ACME direkt bei LEMARIT, ACME bei einer externen CA mit LEMARIT als DNS-Provider, oder Bestellung per cert-manager-„External Issuer“-Erweiterung über die LEMARIT-REST-API. In der Praxis ist Modus A (ACME direkt bei LEMARIT) am häufigsten – einmal konfiguriert, müssen die Kubernetes-Manifeste bei einem späteren CA-Wechsel nicht angepasst werden.
Architektur-Workshop anfragen

Proxmox Admin-UI

Ein Hosting-Anbieter administriert dutzende Proxmox-Cluster. Die Admin-UI braucht ein gültiges Zertifikat, ACME-Setup auf Proxmox-Ebene ist Standard. Hier passt entweder ACME bei externer CA mit RFC-2136-Plugin (nativ unterstützt), ACME direkt bei LEMARIT, oder ein DNS-Plugin-Skript auf Proxmox-Seite. Welcher Pfad sinnvoll ist, hängt vom CA-Vertrag und der DNS-Infrastruktur ab.
Architektur-Workshop anfragen
DSC 1443 scaled
©SARIPICTURE Sarah Domandl LEMARIT Stockfotos 0236 20260219

Web-Hosting-Agentur

Eine Agentur verwaltet hunderte Kundendomänen. Hier zeigen sich die Stärken der Domain Patterns: Pro Kunden-Tenant ein eigener API-User mit präzise auf die Tenant-Domains beschränkten Patterns. Bestellung läuft entweder per REST-API direkt aus dem Agentur-Backend, per ACME bei LEMARIT, oder über reine DCV mit externer CA. Compliance- und Haftungsabgrenzung sind damit sauber abgebildet.
Architektur-Workshop anfragen

Legacy-Software ohne ACME-Support

Ein Konzern betreibt eine kritische Anwendung, die keinen ACME-Client mitbringt und auf absehbare Zeit auch keinen bekommt. Hier ist die REST-API der Schlüssel: Ein leichtgewichtiges Custom-Skript ruft die Bestell- und Erneuerungs-Endpunkte auf, das Zertifikat wird in den passenden Keystore eingelesen. Die Lösung ist mit ein paar Tagen Implementierungs-Aufwand produktiv und überlebt jeden CA-Wechsel im Backend.
Architektur-Workshop anfragen
©SARIPICTURE Sarah Domandl LEMARIT MOODS Laptop Tastatur 0951 20230125 scaled

Sicherheit und Compliance

LEMARIT Domain Management am Laptop

Mehrschichtige Sicherheits-Architektur

LEMARIT Certificate Automation kombiniert vier Schutzebenen:

  • TSIG-Authentifizierung mit HMAC-SHA256 oder HMAC-SHA512 für RFC-2136-Updates
  • Security-Layer Ihre Kundendomäne ist vom Validierungs-Namespace getrennt
  • Granulare Berechtigungen pro API-User mit Domain Patterns als zusätzliche Zugriffs-Beschränkung
  • Vollständiger Audit-Trail über jede Aktion, einsehbar im WebUI der LEMARIT.app

Compliance-Frameworks

ISO 27001, NIS2, DORA und BSI-Grundschutz sind durch unsere Prozesse und das integrierte Reporting abgedeckt. Branchen-spezifische Anforderungen (PCI DSS, TISAX, eIDAS) klären wir gemeinsam im Discovery-Gespräch.

Hosted and managed in Germany

Die Plattform wird ausschließlich in deutschen Rechenzentren betrieben. Validierungs- und Management-Daten verlassen den deutschen Hoheitsbereich nicht.

Roadmap

LEMARIT Certificate Automation entwickelt sich kontinuierlich weiter. Wir erweitern Schnittstellen, Integrationen und Reporting-Funktionen entlang der Anforderungen unserer Kunden. Wenn Sie wissen wollen, was als Nächstes ansteht oder welche Erweiterung für Ihr Setup besonders relevant wäre, sprechen Sie uns an – die Roadmap entwickelt sich aktiv mit unseren Kundenprojekten weiter.

So führen wir die Plattform bei Ihnen ein

Der typische Onboarding-Pfad ist klar strukturiert und in der Regel innerhalb weniger Wochen produktiv:
1
Discovery & Inventur

Wir verschaffen Transparenz über Ihren aktuellen Zertifikatsbestand und Ihre Infrastruktur-Landschaft.

2
Architektur-Workshop

Wir entscheiden gemeinsam, welche der vier Integrations-Modelle für welche Teile Ihrer Umgebung passen.

3
Pilotbetrieb

Wir starten mit einer abgegrenzten Domain-Gruppe und einer ausgewählten Partner-CA.

4
Roll-out

Wir überführen den gesamten Bestand schrittweise in den automatisierten Prozess.

5
Managed Operations

Wir betreiben und überwachen den Service. Sie behalten die strategische Kontrolle über das WebUI der LEMARIT.app.

Realistischer Zeitrahmen je nach Größe und Heterogenität: vier bis zwölf Wochen bis zum produktiven Vollbetrieb. Der Pilot startet typischerweise nach zwei bis drei Wochen.

Bereit für ein Gespräch?

Wir prüfen Ihren Bestand, klären die passenden Integrations-Modelle und entwickeln gemeinsam mit Ihnen einen Plan, der zu Ihrer Umgebung passt – herstellerneutral, persönlich, planbar.
  • ISO-27001-konforme Prozesse
  • Persönlicher Account-Manager
  • Hosted in Germany
  • über 20 Jahre Corporate Registrar

Häufige Fragen (FAQ)

Welche Integrations-Modelle bietet LEMARIT Certificate Automation?

Vier Modelle, die einzeln oder kombiniert nutzbar sind: ACME direkt bei LEMARIT (voller Proxy), REST-API für Custom-Integrationen, LEMARIT als DNS-Provider mit externer CA (nur DCV), oder reine DCV-Funktion. Welche Variante passt, klären wir gemeinsam im Architektur-Workshop.
Die Plattform automatisiert vollständig öffentlich vertrauenswürdige DV-Zertifikate – inklusive Wildcard- und Multi-Domain-Varianten (SAN). OV- und EV-Zertifikate beziehen Sie ebenfalls über LEMARIT; hier begleiten wir Sie bei den weiterhin notwendigen Validierungsschritten.
Certbot, acme.sh und cert-manager sind die offiziell getesteten Clients. Andere RFC-2136-fähige Clients können technisch ebenfalls auf unsere DCV-Schnittstelle zugreifen, gehören aber nicht zur Standard-Support-Matrix.
Ja. Unsere entwicklerfreundliche REST-API ermöglicht Automatisierung auch in Umgebungen, in denen ACME-Clients nicht zur Verfügung stehen oder generell keine sinnvolle Option sind – etwa bei Custom-Tooling, Legacy-Software oder eigenen CertOps-Workflows.
Domain Patterns sind eine zusätzliche Berechtigungs-Schicht pro API-User: Sie definieren konkrete Domainnamen oder Wildcard-Muster, für die der jeweilige API-Key Anfragen stellen darf. Stimmt eine Anfrage mit keinem Pattern überein, wird sie abgelehnt. Damit reduzieren Sie den Schaden bei einem kompromittierten Key und können Multi-Tenant-Setups präzise abbilden.
Bei klassischen Cloud-DNS-API-Lösungen hat der API-Token oft weitreichende Schreibrechte auf Ihre gesamte DNS-Zone. Bei einem Kompromiss steht damit Ihre komplette DNS-Infrastruktur offen. Die LEMARIT-CNAME-Delegation funktioniert anders: Sie setzen einmalig einen CNAME von 
_acme-challenge.ihre-domain
auf einen LEMARIT-Delegations-Namespace. Alle Validierungs-Einträge werden ausschließlich dort gesetzt – Ihre eigentliche DNS-Zone wird über die ACME-Schnittstelle nie schreibend angefasst.
HMAC-SHA256 und HMAC-SHA512. Veraltete Algorithmen wie HMAC-MD5 setzen wir bewusst nicht ein.
Je nach Größe und Heterogenität der Umgebung sind vier bis zwölf Wochen bis zum produktiven Vollbetrieb realistisch. Der Pilot startet typischerweise nach zwei bis drei Wochen.
ISO 27001, NIS2, DORA, BSI IT-Grundschutz und vergleichbare Frameworks sind durch unseren Audit-Trail und das integrierte Reporting abgedeckt. Branchen-spezifische Anforderungen wie PCI DSS, TISAX und eIDAS klären wir gemeinsam.
Sie wählen die gewünschte neue Partner-CA im WebUI der LEMARIT.app aus. Ab dem nächsten Renewal werden Zertifikate über die neue CA bestellt. Ihre ACME-Clients, REST-API-Integrationen und Endsysteme bleiben unverändert konfiguriert – sie kommunizieren weiterhin mit dem LEMARIT-Endpoint.
Ausschließlich in deutschen Rechenzentren. Validierungs- und Management-Daten verlassen den deutschen Hoheitsbereich nicht.

Weiterführende Inhalte

SSL-Zertifikate automatisch verlängern – die 200-Tage-Realität

Was ist ACME? Bedeutung, Funktionsweise und Vorteile

ACME-Challenges erklärt: DNS-01, HTTP-01 und TLS-ALPN-01

ACME über RFC 2136: Wildcard-SSL ohne Schreibzugriff auf Ihre Hauptdomain

Close
Suchen