Kann man ein SSL-Zertifikat fuer eine IP-Adresse (wie https://203.0.113.50) bekommen? Ja — aber Let’s Encrypt unterstuetzt es nicht, und es gibt bessere Alternativen.
Wer kann Zertifikate fuer IP-Adressen ausstellen?
| CA | IP-Adress-Zertifikate | Kosten |
|---|---|---|
| Let’s Encrypt | Nicht unterstuetzt | — |
| ZeroSSL | Ja, via ACME (oeffentliche IPs) | Kostenlos (begrenzt) |
| Google Trust Services | Ja, via ACME | Kostenlos |
| DigiCert | Ja (nur OV/EV) | Kostenpflichtig |
| Sectigo | Ja | Kostenpflichtig |
| Selbstsigniert | Ja | Kostenlos (Browser-Warnung) |
Die ACME-Implementierung von Let’s Encrypt validiert keine IP-Adressen — sie validiert nur Domainnamen. Das bedeutet, dass GetHTTPS keine Zertifikate fuer IP-Adressen ausstellen kann.
Warum Domains fast immer besser sind
| IP-Adress-Zertifikat | Domain-Zertifikat | |
|---|---|---|
| Von Let’s Encrypt unterstuetzt | Nein | Ja |
| Kostenlose Optionen | Begrenzt | Unbegrenzt (Let’s Encrypt) |
| Server wechseln moeglich | Nein, an diese IP gebunden | Ja, DNS aktualisieren |
| Menschenlesbar | Nein: https://203.0.113.50 | Ja: https://example.com |
| CDN/Load Balancer | Nein, bricht ab wenn IP sich aendert | Ja, DNS-basiertes Routing |
| SEO | Nein, kein Keyword-Wert | Ja, markenbildend |
In fast jedem Fall ist die Registrierung einer Domain (10-15 $/Jahr) und die Verwendung von Let’s Encrypt (kostenlos) guenstiger und flexibler als ein IP-Adress-Zertifikat.
Wann IP-Adress-Zertifikate sinnvoll sind
- Interne Infrastruktur — Monitoring-Dashboards, Admin-Panels, APIs in einem privaten Netzwerk, in dem DNS nicht eingerichtet ist
- IoT/Eingebettete Geraete — Geraete, die sich mit einer festen IP verbinden und DNS nicht aufloesen koennen
- Entwicklung/Tests — schnelles HTTPS auf einem Testserver ohne DNS-Konfiguration
- Legacy-Systeme — Anwendungen, die fest auf eine IP-Verbindung codiert sind
Alternativen zu IP-Adress-Zertifikaten
Option 1: Eine Domain verwenden (empfohlen)
Registrieren Sie eine Domain oder Subdomain, verweisen Sie sie auf Ihre IP, holen Sie sich ein kostenloses Let’s-Encrypt-Zertifikat.
# Beispiel: eine Subdomain auf Ihre IP verweisen
server.example.com -> A-Eintrag -> 203.0.113.50
# Dann ein Zertifikat fuer server.example.com holen
Kosten: 0 $ (wenn Sie bereits eine Domain haben) bis 10-15 $/Jahr (neue Domain).
Option 2: Selbstsigniertes Zertifikat
Fuer internen Gebrauch, wenn Browser-Warnungen akzeptabel sind:
openssl req -x509 -newkey ec -pkeyopt ec_paramgen_curve:P-256 \
-keyout key.pem -out cert.pem -days 365 -nodes \
-subj "/CN=203.0.113.50" \
-addext "subjectAltName=IP:203.0.113.50"
Beachten Sie das IP:-Praefix im SAN — nicht DNS:.
Option 3: nip.io oder sslip.io (cleverer DNS-Trick)
Diese kostenlosen Dienste stellen DNS-Eintraege bereit, die zur im Hostnamen eingebetteten IP aufloesen:
203.0.113.50.nip.io -> loest auf zu 203.0.113.50
Sie koennen dann ein Let’s-Encrypt-Zertifikat fuer 203.0.113.50.nip.io mit GetHTTPS und DNS-01-Challenge erhalten. Die Domain ist unschoen, aber funktional.
Option 4: Cloudflare Tunnel
Stellen Sie Ihren IP-basierten Dienst ueber Cloudflares Tunnel mit einer echten Domain und automatischem SSL bereit — keine oeffentliche IP noetig.
Haeufig gestellte Fragen
Warum unterstuetzt Let’s Encrypt keine IP-Adressen?
Let’s Encrypt validiert Domain-Besitz ueber DNS- oder HTTP-Challenges. IP-Adressen haben keinen Domain-Besitz auf die gleiche Weise — das Validierungsmodell passt nicht sauber. Andere CAs (ZeroSSL, Google Trust Services) haben IP-Unterstuetzung zu ihren ACME-Implementierungen hinzugefuegt.
Kann ich ein Wildcard-Zertifikat fuer IP-Adressen verwenden?
Nein. Wildcards gelten nur fuer DNS-Namen (*.example.com). IP-Adressen haben keine Subdomains.
Was ist mit privaten/internen IPs (192.168.x.x, 10.x.x.x)?
Keine oeffentliche CA wird ein Zertifikat fuer eine private IP-Adresse ausstellen — sie sind nicht global eindeutig. Verwenden Sie ein selbstsigniertes Zertifikat oder eine private CA fuer interne Netzwerke.
Kann ich ein kostenloses Zertifikat fuer eine oeffentliche IP bekommen?
ZeroSSL und Google Trust Services unterstuetzen IP-Adress-Zertifikate via ACME. Das kostenlose Kontingent kann jedoch begrenzt sein. Eine Domain mit Let’s Encrypt ist zuverlaessiger und wirklich unbegrenzt.