Artikel weiterleiten
Artikel editieren
Druckansicht
FAQ #1914

Alles rund um SSL-Zertifikate

Inhalt

 

Was ist SSL und wann sollte ein Zertifikat genutzt werden?

 

Verschlüsselung

SSL (Secure Sockets Layer) ist ein Verschlüsselungsprotokoll zur Datenübertragung. SSL wurde zwischenzeitlich durch das Nachfolgeprotokoll TLS (Transport Layer Security) abgelöst. Jedoch hat sich die Bezeichnung TLS im allgemeinen Sprachgebrauch bisher nicht durchgesetzt. Daher wird in diesem Artikel Abkürzung SSL für beide Bezeichnungen verwendet, sofern nicht explizit auf neuere Versionen Bezug genommen wird. Grundsätzlich bietet SSL die folgenden Leistungsmerkmale:

  • Vertraulichkeit der Daten durch symmetrische Verschlüsselung mit Session-Keys
  • Die Integrität der Daten (eigenes Prüfsummenverfahren)
  • Authentifizierungsmöglichkeit (meist des Servers)

Im ISO/OSI-Schichtenmodell der Datenkommunikation residiert SSL zwischen der Transportschicht (TCP oder UDP) und den Anwendungen (HTTP, POP3 oder SMTP). Die Anwendung reicht die Daten, anstatt sie direkt an die Transportschicht zu übergeben, also zunächst an den Secure Sockets Layer weiter. Die Implementierung als Layer ermöglicht den grundsätzlichen Einsatz von kryptographischen Verfahren, ohne eine Änderung an der Transport- oder Anwendungsschicht durchführen zu müssen. Erst nach Verschlüsselung werden die Daten an die Transportschicht, beziehungsweise nach der Entschlüsselung an die Anwendungsschicht übergeben. Damit bietet SSL eine abgesicherte Ende-zu-Ende-Kommunikation.

 

Grundsätzlich bietet SSL dabei Schlüssel-Austauschverfahren, eine symmetrische Verschlüsselung sowie die Berechnung einer kryptographischen Prüfsumme an. Für jede dieser Möglichkeiten lassen sich verschiedene Verfahren nutzen, etwa RSA oder Diffie-Hellmann für den Schlüsselaustausch, DES, Triple DES und AES für die Verschlüsselung sowie MD5 und SHA für die Prüfsumme.

Beim Aufbau einer SSL-Verbindung generiert der Client einen zufälligen Schlüssel (Session Key), der für die Dauer der Verbindung zur Verschlüsselung genutzt wird. Damit die SSL-Verbindung nicht abgehört werden kann, muss zunächst dieser Session Key auf einem sicheren Weg zum Server übertragen werden. Um dies zu gewährleisten, wird der Session Key seinerseits mit einem Public Key Verfahren, meist RSA, verschlüsselt. Dazu präsentiert der Server seinen öffentlichen RSA-Schlüssel; der Client verschlüsselt damit den Session Key und übermittelt das Ergebnis wieder dem Server. Erst danach wird die eigentliche Datenkommunikation aufgenommen.

 

Merkmale der sicheren Datenübertragung

  • Ver- und Entschlüsselung finden nur an den beiden Endpunkten statt
  • Es werden ausschließlich Session-Keys verwendet
  • Die Aushandlung der Session-Keys erfolgt ebenfalls verschlüsselt
  • Die verwendeten Kryptografieverfahren gelten als mächtig
  • Datenintegrität durch Prüfsummenverfahren

 

Authentifizierung

Wesentlich für die Sicherheit des beschriebenen Verfahrens ist die Authentizität des öffentlichen Schlüssels des Servers. Ein potenzieller Angreifer könnte in einem Täuschungsversuch einen eigenen öffentlichen RSA-Schlüssel anbieten und auch im weiteren die Rolle des "echten" Servers übernehmen. Die Kommunikation würde dann zwar verschlüsselt stattfinden, der Angreifer könnte jedoch mit Hilfe des ihm nun bekannten Session Key den Inhalt ermitteln.

 

Um derartige Täuschungsversuche zu erschweren, trägt der öffentliche Schlüssel des Servers zusätzliche Informationen, die seine Identität (Name des Servers, Organisation, die den Server betreibt, ...) beschreiben. Die Integrität dieser Informationen ist durch eine digitale Signatur geschützt; alles zusammen wird als X.509-Zertifikat bezeichnet. Dieses Zertifikat wird von einer Certificate Authority (CA), einer Zertifizierungsstelle, nach der Prüfung der Identität des Server-Betreibers ausgestellt.

 

Ein WWW-Browser kann den öffentlichen Schlüssel eines ihm unbekannten WWW-Servers als authentisch erkennen, wenn er die digitale Signatur der CA verifizieren kann. Dazu benötigt er den öffentlichen Schlüssel der CA. Die öffentlichen Schlüssel einiger kommerzieller CAs sind den Standard-Browsern bereits bekannt; Zertifikate von WWW-Servern, die von diesen CAs signiert sind, werden daher unmittelbar akzeptiert. Die Listen der von den Browsern akzeptierten und vorinstallierten CAs kann in den Einstellungen des Browsers eingesehen (und geändert) werden.

 

Bietet ein Server einen Public Key an, dessen Signatur nicht durch eine ihm bekannte CA verifiziert wird, so wird der Browser die über HTTPS angeforderte Seite erst nach einer Warnung oder nach manuellem Import des öffentlichen Schlüssels der unbekannten CA anzeigen.

 

Frühere Einschränkungen

In früheren Versionen von SSL war es nicht möglich pro Kombination aus IP-Adresse und Port mehr als ein Zertifikat zu verwenden. Dies führte beispielsweise dazu, dass bei einem Webserver zur Verwendung unterschiedlicher Zertifikate entsprechend mehrere IP-Adressen erforderlich waren. Dieser Umstand lag darin begründet, dass Nutzdaten von Protokollen höherer Schichten, wie beispielsweise die Übermittlung des Servernamens über das HTML-Protokoll erst nach Abschluss des SSL-Handshakes, bei dem das Zertifikat bereits ausgetauscht wird, übermittelt werden. Durch die TLS-Erweiterung Server Name Indikation (SNI) wurde dieses Problem behoben. SNI erlaubt die Übermittlung des Servernamens bereits während des Handshakes, vor der Übermittlung des Zertifikats. Dies geschieht dann jedoch unverschlüsselt.

 

Informationsquellen:

http://de.wikipedia.org/wiki/Transport_Layer_Security

 

 

 

SSL-Zertifikate müssen mittlerweile standardmäßig vergeben werden, da die Browser sonst das Anzeigen der Inhalte verweigern oder eine Warnung aussprechen.

 

 

Wie wird ein SSL-Zertifikat bestellt?

 

1. Was wird für die Ausstellung eines SSL-Zertifikats benötigt?

2. Wie wird ein CSR erstellt?

3. Wie gelange ich zum Bestellprozess?

4. Welche Validierungsformen und Zertifikatstypen werden angeboten?

5. Was ist während der Bestellung zu beachten

 

 

Beachten Sie: Die SSL-Verschlüsselung ist immer nur für eine Domain gültig, nicht jedoch für das ganze Server-Paket. Auf jeder IP-Adresse, d. h. auf je einem STRATO Server, kann genau ein Zertifikat betrieben werden.

 

 

1. Was wird für die Ausstellung eines SSL-Zertifikates benötigt?

 

Je nach Authentifizierungsgrad des Zertifikates sind unterschiedliche Beiträge des Antragsstellers zur Prüfung der Person bzw. der Domain nötig. Diese reichen von der Nutzung eines Links innerhalb einer Mail bis zur Einsendung eines Auszugs aus dem Handelsregister. Für sämtliche Zertifikatstypen wird ein sog. Certificate Signing Request (CSR) benötigt. Dieser CSR dient, wie der Name schon sagt, als Zertifikats-Antrag.

 

Beim CSR handelt es sich um einen verschlüsselten Datenblock, der öffentliche Informationen zum Antragsteller enthält (Staat, Domainname, Bundesland, Stadt, Firma, Abteilung), die später in Ihrem Zertifikat enthalten sind.

 

2. Wie wird ein CSR erstellt?

 

Die Erstellung eines CSR ist je nach Server-Produkt unterschiedlich.

 

Vorgehensweise bei Dedicated Servern und V-Servern unter Linux

 

Melden Sie sich bitte zunächst über SSH als Benutzer root auf Ihrem Server an.

 

Zur Erstellung eines CSR wird die Nutzung des Programms „openssl“ empfohlen.

 

Um openssl zu installieren, führen Sie bitte den folgenden Befehl aus:

 

root@h123456:~# apt-get install openssl

 

Um die Erstellung eines CSR über openssl anzustoßen, verwenden Sie bitte den folgenden Befehl:

 

root@h123456:~# openssl req -new -nodes -newkey rsa:2048 -keyout wunschname.key -out wunschname.csr

 

Der Dateiname wunschname ist hierbei nur beispielhaft und durch den Kunden selbst zu wählen.

 

Hier ist eine Übersicht welche Daten in die entsprechenden Felder eingetragen werden müssen (zur Veranschaulichung sind die Daten Fett dargestellt)

 

Country Name (2 letter code): Länderkürzel (z. B. DE)

State or Province Name (full name): Bundesland (z. B. Berlin)

Locality Name (eg, city): Stadt (z. B. Berlin)

Organization Name (eg, company): Firmenname

Organizational Unit Name (eg, section): Abteilung

Common Name (eg, YOUR name): z.B. www.wunschname.de

Email Address: z.B. admin@wunschname.de

 

Please enter the following 'extra' attributes to be sent with your certificate request

A challenge password []:

An optional company name []:

 

Zu Überprüfung der Angaben ist folgender Befehl geeignet:

 

root@h123456:~# openssl req -text -noout -in wunschname.csr

 

Hier wird in der Zeile Subject eine Zusammenfassung gezeigt. Die Darstellung ist wie folgt:

 

root@h123456:~# Subject: C=Länderkürzel, ST=Bundesland, L=Stadt, O=Firmenname, OU=Berufsbezeichnung, CN=www.wunschname.de/emailAddress=admin@wunschname.de

 

Vorgehensweise bei Managed Servern und Business Servern

Eine Beschreibung der Vorgehensweise, wie ein CSR bei einem Managed Server zu erstellen ist, finden Sie weiter unten.

 

Vorgehensweise unter Plesk

Eine Beschreibung der Vorgehensweise, wie ein CSR unter Plesk zu erstellen ist, finden Sie im Artikel So verwalten Sie ein SSL-Zertifikat unter Plesk 12 unter Erzeugen eines CSR.

 

Vorgehensweise unter Windows Server 2012

Eine Beschreibung der Vorgehensweise, wie ein CSR unter Windows Server 2012 zu erstellen ist, finden Sie im Artikel So verwalten Sie ein SSL-Zertifikat unter Windows Server 2012 unter Eine Zertifikatsanforderung erstellen.

 

 

3. Wie gelange ich zum Bestellprozess?

Zur Bestellung eines SSL-Zertifikats müssen Sie sich als erstes in den STRATO Server-Login einloggen. Nach der Authentifizierung finden Sie eine Übersicht aller angeboten Zertifikats-Typen unter dem Menüpunkt SSL-Verwaltung > EasySSL.

 

So bestellen Sie ein SSL-Zertifikat-2.png

 

4. Welche Validierungsformen und Zertifikatstypen werden angeboten?

 

Validierungformen

Wie Sie aus der obigen Ansicht entnehmen können, bietet STRATO drei verschiedene Validierungsformen an:

Domain-Validierung, Identitäts-Validierung und Erweiterte Validierung.

 

Domain-Validierung (DV)

Bei einer Domain-Validierung bilden das SSL-Zertifikat und die entsprechende Domain eine Einheit. Das bedeutet, dass bei der Zertifizierung die Domain und der administrativer Kontakt existieren.

 

Bei der Domain-Validierung prüft die Zertifizierungsstelle, ob der Auftragsgeber der Domaininhaber ist. Dies geschieht durch die Bestätigung einer Mail, die an eine Adresse der Domain (z.B. admin@wunschname.de) verschickt wird.

 

Identitäts- oder Unternehmens Validierung (OV)

Bei einer Identitäts- bzw. Unternehmens-Validierung bilden das SSL-Zertifikat und die entsprechende Domain ebenfalls eine Einheit. Außerdem muss sich der Domaininhaber gegenüber der Ausgabestelle verifiziert haben. Das ausgestellte Zertifikate beinhaltet neben dem Namen des Unternehmens, die volle Anschrift und ggf. die HR-Nummer.

 

Identitätsvalidierte SSL-Zertifikate werden nach einem strikten Verifizierungsverfahren vergeben. Zusätzlich zur Domainvalidierung wird die Identität ausführlicher geprüft, sowohl telefonisch als auch z.B. anhand von Dokumenten wie einem Handelsregisterauszug oder einem Gewerbenachweis.

 

Die OV-Validierung zeigt die Vertrauenswürdigkeit der Webbetreiber und der Benutzer hat die Möglichkeit, den Webbetreiber jederzeit zu überprüfen. Diese Zertifikate werden oftmals für Online-Shops verwendet..

 

Erweiterte Validierung (EV)

Die Erweiterte Validierung, bzw. Extended Validation (EV) ist der höchste Standard für Website-Authentifizierungen. EV SSL bedeutet, dass eine strenge Authentifizierung der Unternehmensidentität stattgefunden hat. In aktuellen Browsern wird die Adressleiste durch das EV SSL-Zertifikat grün hinterlegt, zeigt https:// und den Namen der Organisation an, die diese Website besitzt sowie die Zertifizierungsstelle, die die Identität des Besitzers unter Durchführung eines strengen Authentifizierungsprozesses überprüft hat.

 

Vor Ausgabe eines EV-Zertifikats werden der eingetragene Firmenname, die Registrierungsnummer, die registrierte Adresse, die tatsächliche Geschäftsadresse sowie der verwendete Geschäftsnamen überprüft. Darüber hinaus wird eine unterzeichnete Vertragsbestätigung durch den Vertreter des Unternehmens angefordert, der auf der Bestellung aufgeführt ist. Des Weiteren wird telefonisch verifiziert, dass die den Antrag stellende Person die offizielle Ermächtigung zum Erhalt und zur Genehmigung eines SSL-Zertifikats mit EV im Auftrag des Unternehmens besitzt.

 

Aufgrund dieser strengen Authentifizierungsmethoden und der manuellen Überprüfung aller Angaben, dauert die Ausstellung eines solchen Zertifikats am längsten.

 

Diese Verschlüsselung ist derzeit jedoch die vertrauenswürdigste Verschlüsselungsmethode.

 

Hinweis: Die Stärke der Verschlüsselung unterscheidet sich für verschiedene Validierungstypen nicht. Sie beträgt grundsätzlich bis zu 256 Bit.


Zertifikatstypen

 

  • Single-Domain: Erlaubt jeweils die Absicherung einer einzelnen Domain. Es können auch mehrere Single-Domain-Zertifikate auf einem Server eingesetzt werden. 
  • Multi-Domain: Es können bis zu fünf Domains abgesichert werden. Diese müssen jedoch auf einem Server liegen. 
  • Wildcard: Es können unbegrenzt viele Subdomains abgesichert werden. Diese müssen ebenfalls auf einem Server liegen. 
  • Standard SGC: Hierbei handelt es sich um eine Sonderform, die eine stärkere Verschlüsselung bei Verwendung veralteter Browser ermöglicht.

 

5. Was ist während der Bestellung zu beachten?

 

Wählen Sie das gewünschte Zertifikat aus und klicken Sie auf Auswahl bestellen um den Bestellvorgang anzustoßen.

Auf der Folgeseite werden von Ihnen alle benötigten Daten für das Zertifikat abgefragt, hierzu gehören:

  • Web Server Software
  • Firmenkontakt (handelt es sich um keine Firma, so wird von der Zertifizierungsstelle ggf. eine Ausweiskopie angefordert)
  • Informationen zum Unternehmen
  • Technischer Kontakt
  • Und das CSR (Certificate Signing Request) welches unter Punkt 2 generiert wurde
Bitte achten Sie darauf, dass Pflichtfelder grundsätzlich ausgefüllt werden müssen. Fehlende Einträge werden gegebenenfalls durch eine rote Umrandung markiert.

 

Wurden alle erforderlichen Felder ausgefüllt, so wird Ihnen vor Abschluss der Bestellung eine Übersichtsseite angezeigt. Auf dieser Seite finden Sie unter CSR-Eingabe, in Abhängigkeit der von Ihnen gewählten Validierungsform, die Informationen des von Ihnen eingefügten CSR, die zur Validierung herangezogen werden.

 

So bestellen Sie ein SSL-Zertifikat-3.png

 

Wichtig: Bei identitätsvalidierten Zertifikaten und solchen mit erweiterter Validierung wird ggf. der zeichnungsberechtigte Ansprechpartner (Firmenkontakt) von einem Mitarbeiter der Zertifizierungsstelle telefonisch zur Validierung der Bestellung kontaktiert.

Mit der Eingabe der Daten im STRATO Server-Login und der Aufgabe der Bestellung wird eine Prüfung durch die Zertifizierungsstelle ausgelöst. Für die vollständige Validierung der Daten können unter Umständen mehrere Tage benötigt werden. Im Normalfall sollte die Prüfung nach 3 Tagen abgeschlossen sein.

Stimmen Ihre Daten nicht mit den durch die Zertifizierungsstelle ermittelten Daten überein, z.B. weil Ihre Firma anderslautend in das Handelsregister eingetragen ist, oder wenn der eingetragene Name des Domaineigners nicht übereinstimmt, so erhalten Sie von der Zertifizierungsstelle eine gesonderte E-Mail. Darin werden Sie aufgefordert, entsprechende Informationen nachzureichen.

      

Nach der erfolgreichen Überprüfung der Daten wird Ihr Zertifikat im Menüpunkt EasySSL in der Übersicht zum Download zur Verfügung gestellt – dort können Sie auch jederzeit den aktuellen Status der Bestellung einsehen.

 

So bestellen Sie ein SSL-Zertifikat-4.png

 

Sie können das Zertifikat nun herunterladen und auf Ihrem Server installieren.

 

Zur Aktualisierung laden Sie das erneuerte Zertifikat nach einem Renew herunter und installieren es erneut auf Ihrem Server.

 

Eine Ausnahme bildet hier der Webserver Microsoft IIS. Bei Nutzung dieser Software ist zur Erneuerung eines Zertifikats stets eine aktualisierte CSR-Datei zu erstellen und hochzuladen.

 

Falls Sie ein Zertifikat nicht automatisch verlängern wollen, ist eine fristgemäße Kündigung per E-Mail über den  STRATO Server-Login erforderlich. Das Kontaktformular finden Sie unter Hilfe und Kontakt > Mail Center starten.

 

 

SSL-Zertifikat bei Servern erneuern oder korrigieren

Es existieren zwei Arten Ihr SSL Zertifikat neu ausstellen zu lassen:

  1. 1. Erneuerung – Das Zertifikat wird mit einer weiteren Laufzeit neu ausgestellt. Es fallen entsprechend Kosten für die neue Vertragslaufzeit an.

Eine Erneuerung kann frühestens 30 Tage vor Ende der Laufzeit des Zertifikates im Server-Login angestoßen werden. Klicken Sie hierfür auf den Button Erneuerung.

 

 

Der technische Prozess der Erneuerung ähnelt stark der unten genannten Korrektur. Es muss ebenfalls ein neuer CSR mit denselben Daten, wie bei der ursprünglichen Bestellung generiert und im dafür vorgesehenen Feld eingefügt werden. Sie können sich dafür an der Beschreibung dieses Artikels orientieren.

 

 

  1. 2. Korrektur – Das Zertifikat wird neu ausgestellt, behält aber seine aktuelle Laufzeit. Eine Korrektur des Zertifikates kann jederzeit über den Server-Login angestoßen werden. Kosten fallen hierbei nicht an.

 

 

Besonderheit im Distrust-Verfahren gegen Symantec:

Die Webbrowser Google Chrome und Mozilla Firefox haben kürzlich angekündigt, SSL-Zertifikate der Firma Symantec, die vor Dezember 2017 ausgestellt wurden, nicht mehr zu akzeptieren und diesen Zertifikaten am 13. September 2018 das Vertrauen zu entziehen. Das bedeutet, dass Ihre per SSL verschlüsselten Websites zukünftig als „unsicher“ eingestuft werden. Um dem vorzubeugen, müssen Sie eine Aktualisierung (Renewal) Ihrer SSL-Zertifikate bei STRATO vornehmen.

Im Zuge dieses Distrust-Verfahrens wurde ein sog. „erweitertes Renewal-Zeitfenster“ bereitgestellt, was betroffenen Kunden die Möglichkeit bietet, ihr Zertifikat früher zu erneuern. Sofern eines Ihrer Zertifikate betroffen ist, haben Sie eine E-Mail von STRATO erhalten. Ferner finden Sie im Server-Login ein Popup, das sie auf die Problematik hinweist.

Zertifikate mit einer Laufzeit von 2 Jahren steht die vorzeitige Erneuerung nicht zur Verfügung. Diese Zertifikate können jedoch im Rahmen einer „Korrektur“ (siehe unten) neu ausgestellt werden. Durch diese Neuausstellung erhalten Sie ein vertrauenswürdiges Zertifikat.  

 

 

Wann ist eine Korrektur nötig?

Ist der private Schlüssel Ihres Zertifikates nicht mehr auf Ihrem Server hinterlegt, zum Beispiel nach einer Neuinstallation, so ist ein verschlüsselter Aufruf der Webseite nicht mehr möglich.

 

Möglicherweise haben Sie den privaten Schlüssel (Private Key) lokal gesichert (nicht empfehlenswert). In diesem Fall können Sie das Zertifikat aus dem Server-Login herunterladen und den privaten Schlüssel wieder auf den Server einspielen (z.B. in Plesk).

 

Haben Sie keinen Zugriff mehr auf den privaten Schlüssel Ihres Zertifikates, so kann das Zertifikat nicht mehr genutzt werden, da einer der beiden Teile (Private und Public Key) fehlt.

 

In diesem Fall nutzen Sie das Feature Korrektur im Server-Login unter SSL-Verwaltung -> SSL-Zertifikate.

 

�bersicht SSL-Zertifikat-1.png

 

Bei einer Korrektur wird das Zertifikat durch einen neuen CSR (Certificate Signing Request) neu generiert. Eine Korrektur ist nicht zu verwechseln mit einer Erneuerung, bei der kurz vor Ablauf der Gültigkeit ein neues Zertifikat mit einer neuen Laufzeit generiert wird. Eine Korrektur verlängert nicht die Laufzeit, das Zertifikat wird nur neu generiert.

 

Für die Korrektur benötigen Sie also wie bereits bei der Bestellung einen CSR, den Sie am besten direkt auf Ihrem Server generieren, zum Beispiel in Plesk, über Microsoft IIS oder über SSH (siehe Artikel).

 

 

Wichtig ist, dass der Private Key geheim bleibt, daher empfehlen wir Ihnen diesen auf dem Server zu generieren und ihn niemals woanders zu speichern.

 

 

�bersicht SSL-Zertifikat-2.png

 

Der CSR sollte die gleichen Daten enthalten wie bei der Bestellung des Zertifikates, da diese bei vielen Zertifikaten ohnehin nicht geändert werden dürfen.

 

Sie sehen im oberen Bereich der Maske die E-Mailadresse, an die Sie wenig später eine E-Mail von der Zertifizierungsstelle DigiCert erhalten. In dieser werden Sie aufgefordert, die Korrektur bzw. Erneuerung aktiv zu bestätigen. Diese Bestätigung ist zwingend erforderlich, damit ein neues Zertifikat ausgestellt werden kann.

 

�bersicht SSL-Zertifikat-3.png

 

Nachdem Sie den CSR eingefügt haben, klicken Sie rechts unten auf Weiter zur Übersicht.

 

Im nächsten Schritt werden Sie gebeten Ihre Daten erneut zu überprüfen.

 

 �bersicht SSL-Zertifikat-4.png

 

Klicken Sie auf Korrektur abschicken und Sie erhalten die abschließende Meldung, dass die Änderungen gespeichert wurden.

 

�bersicht SSL-Zertifikat-5.png

 

Unter SSL-Verwaltung -> SSL-Zertifikate sieht das Zertifikat dann wie folgt aus:

 

�bersicht SSL-Zertifikat-6.png

 

 

E-Mail-Bestätigung zwingend erforderlich: Sobald Sie die Korrektur bzw. die Erneuerung erfolgreich angestoßen haben, erhalten Sie von der Zertifizierungsstelle DigiCert eine E-Mail. In dieser werden Sie aufgefordert, die Korrektur bzw. Erneuerung aktiv zu bestätigen. Diese Bestätigung ist zwingend erforderlich, damit ein neues Zertifikat ausgestellt werden kann.

 

Wenn das bestätigt wurde, kann das Zertifikat im Server-Login wieder heruntergeladen und auf dem Server eingeliefert werden. Ein Aufruf der Webseite über https:// ist nun wieder möglich.

 

Weitere Hinweise zur Ausstellung des Zertifikates

Wann beginnt die Neuausstellung des Zertifikats?

Die Neuausstellung erfolgt, sobald die Überprüfung durch die Zertifizierungsstelle abgeschlossen ist. In Ihrem Server-Login unter SSL-VerwaltungSSL-Zertifikate werden Ihnen Ihre STRATO Zertifikate angezeigt. Hier finden Sie verschiedene Informationen zu Ihren SSL-Zertifikaten, darunter auch den aktuellen Zustand.

 

Wie lange dauert die Neuausstellung?

Die Ausstellung des neuen Zertifikates erfolgt in der Regel innerhalb von 24 Stunden.

 

Wie erhalte ich das neue Zertifikat?

Sobald die Neuausstellung erfolgt ist, erhalten Sie eine E-Mail an die Adressen des administrativen und technischen Kontakts, die für das Zertifikat hinterlegt sind. Das neu ausgestellte Zertifikat können Sie sich anschließend im Server-Login herunterladen. Außerdem finden Sie es auch in der E-Mail von DigiCert.

 

Welche weiteren Schritte sind nötig?

Sobald Ihnen das neue SSL-Zertifikat zur Verfügung steht, muss dieses noch auf dem Server eingespielt werden. Nachdem das neue Zertifikat auf dem Server installiert wurde, starten Sie den Dienst (z. B. der Apache) bitte neu.

 

 

Besonderheiten der Verwaltung von SSL-Zertifikaten bei Managed Servern

 

Erzeugen eines CSR

Bitte loggen Sie sich zunächst in den passwortgeschützten STRATO Server-Login ein. Klicken Sie dann unter SSL-Verwaltung auf CSR erstellen und erzeugen Sie ein Certificate-Signing-Request (CSR). Das ist ein verschlüsselter Datenblock, der öffentliche Informationen des Antragstellers enthält (Land, Domainname, Bundesland, Stadt, Firma und Abteilung), die später in Ihrem Zertifikat enthalten sind.

 

�bersicht SSL-Zertifikat-7.png

 

Überlegen Sie genau, für welche Domain Sie sich entscheiden, da Sie das Zertifikat nur für eine Domain Ihres Pakets verwenden können.

 

Wenn Sie die Felder ausgefüllt haben, klicken Sie auf Weiter. Anschließend wird der CSR angezeigt. Er beginnt immer mit

 

-----BEGIN CERTIFICATE REQUEST-----

 

und endet mit

 

-----END CERTIFICATE REQUEST-----

 

�bersicht SSL-Zertifikat-8.png

 

Kopieren Sie den gesamten Textblock (einschließlich der beiden Anfangs- und Ende-Zeilen) in die Zwischenablage (markieren + STRG-C ) und speichern Sie Ihn in einer Datei (z.B. als Textdatei oder in Word) ab.

 

Den Schlüssel benötigen Sie um ein SSL-Zertifikat, beispielsweise ein SSL-Zertifikat von STRATO zu bestellen.

 

 

Sie können zusammen mit dem CSR ein 30-Tage gültiges Test-Zertifikat erzeugen, das Sie sofort unter Zertifikat einlesen aktivieren können. Damit steht Ihnen sofort SSL-Funktionalität zur Verfügung. Der Vorgang der Erstellung eines Test-Zertifikates kann beliebig oft wiederholt werden.

 

Einliefern eines Zertifikats

Wenn Sie ein STRATO SSL-Zertifikat erworben haben, so klicken Sie im STRATO Server-Login bitte zunächst unter SSL-Verwaltung auf Zertifikat herunterladen --> Details. Markieren Sie auf der folgenden Seite bitte den gesamten Textblock unter Server Zertifikat und kopieren ihn in die Zwischenablage (markieren + STRG-C).

 

Zur Einlieferung des Zertifikats klicken Sie im STRATO Server-Login unter SSL-Verwaltung auf Zertifikat einliefern. Fügen Sie nun den Textblock aus der Zwischenablage in das freie Textfeld ein (markieren + STRG-V) und klicken Sie anschließend auf Weiter.

 

Nach erfolgreicher Bestätigung wird Ihr Zertifikat innerhalb weniger Minuten für die gewählte Domain aktiviert. Wenn Sie die Domain aufrufen, vergessen Sie bitte nicht, statt http:// nun https:// zu verwenden.

 

 

Wie kann ich ein SSL-Zertifikat auf einem anderen Server nutzen?

Dieser Artikel beschreibt die Vorgehensweise, ein bestehendes SSL-Zertifikat von einem Server für einen anderen Server nutzbar zu machen.

 

Im STRATO Server-Login bestellte SSL-Zertifikate können auf jedem Server genutzt werden. Dabei ist unerheblich, ob es sich um Server von STRATO oder um Server eines anderen Anbieters handelt. Grundsätzlich ist es zwingend notwendig, dass sowohl der SSL-Schlüssel, der sog. Private Key, als auch das SSL-Zertifikat vorhanden sind.

 

 

Der Schlüssel ist die Grundlage für die verschlüsselte Kommunikation. Das Zertifikat bestätigt, dass Schlüssel und Domainnamen, ggf. Identitätsdaten (sofern es sich um OV- oder EV-Zertifikate handelt) zueinander gehören.

 

 

Um ein SSL-Zertifikat für einen beliebigen Server verfügbar zu machen, rufen Sie im  STRATO Server-Login unter dem Menüpunkt SSL-Verwaltung und SSL-Zertifikate auf und wählen dann - je nach Bedarf - die Laufzeit, entsprechendes Zertifikat und Anbieter.

 

�bersicht SSL-Zertifikat-9.png

 

Wenn Sie im linken Menü den Punkt Zertifikat einliefern anklicken, haben Sie hier die Möglichkeit, das Zertifikat sowie Ihren Privat Key hineinzukopieren.

 

�bersicht SSL-Zertifikat-10.png

 

Für das anschließende Einbinden auf einem anderen Server gibt es unterschiedliche Verfahren, die von Serverprodukt, Betriebssystem und von der ggf. installierten Konfigurationssoftware abhängen.

 

Zur Einbindung über Plesk beachten Sie bitte den entsprechenden Hinweise im FAQ-Artikel So verwalten Sie ein SSL-Zertifikat unter Plesk 12

 

Hinweise, wie Sie ein Zertifikat bei einem Managed Server einbinden können, finden Sie im oben unter Besonderheiten der Verwaltung von SSL-Zertifikaten bei Managed Servern

 

Hinweise, wie Sie ein Zertifikat unter Windows Server 2012 einbinden können, finden Sie im Artikel So verwalten Sie ein SSL-Zertifikat unter Windows Server 2012 unter Einrichtung Ihres Zertifikats auf dem Server.

 

Bitte haben Sie Verständnis dafür, dass die Wiederherstellung des privaten Schlüssels, der Basis zur Beantragung eines Zertifikates war, nicht möglich ist.

 

 

Hinweise zur Bestellung eines SSL-Zertifikats

Damit eine Zertifikatsbestellung den strengen Prüfkriterien der Zertifizierungsstellen genügt, sollten die Angaben, die von Ihnen während der Bestellung getätigt werden, bestimmten Richtlinien gerecht werden. Insbesondere bei der Bestellung aufwendigerer Validierungsformen werden hohe Anforderungen gestellt.

 

Die strenge Prüfung der Einhaltung der Richtlinien ist notwendig, damit ein Zertifikat genau das bescheinigt, wozu es gedacht ist – eine vertrauenswürdige und überprüfte Internetpräsenz.

 

Wenn Sie Zertifikate beantragen, beachten Sie bitte Folgendes:

 

1) Wenn Sie für eine Firma ein Zertifikat bestellen, verwenden Sie bitte den vollständigen und exakten im Handelsregister eingetragen Namen. Geben Sie den Namen nicht vollständig und korrekt an, wird der Antrag im Normalfall abgewiesen und Sie müssen gegebenenfalls neu beantragen. Die Zertifizierungsstelle wird Ihnen eine E-Mail-Mitteilung zukommen lassen, falls keine Übereinstimmung mit dem Handelsregister gefunden werden kann.

 

2) Sollten Sie eine Einzelfirma betreiben und nicht im Handelsregister eingetragen sein, dann müssen Sie nach deutschem Recht ihrem gewählten Firmennamen ihren vollständigen Namen (z.B. Jörg Mustermann) anhängen. Heißt Ihre Einzelfirma z.B. Internet-Service, dann müssen Sie bei der Zertifikatsbestellung als Firmennamen Internet-Service - Jörg Mustermann angeben, sonst wird das Zertifikat nicht erteilt.

 

Die Zertifizierungsstelle wird Sie umgehend nach der Bestellung kontaktieren und eine Kopie des Gewerbescheines sowie entweder einen Kontoauszug oder eine Steuerbescheinigung anfordern (die Beträge können Sie ausschwärzen).

 

3) Sie können ein Zertifikat als Privatperson einsetzen. Die Zertifizierungsstelle wird Sie umgehend nach der Bestellung kontaktieren und eine notariell beglaubigte Kopie des Passes/Personalausweises sowie entweder einen Kontoauszug oder eine Steuerbescheinigung anfordern (die Beträge können Sie ausschwärzen). Für Privatpersonen muss außerdem der eigene Name als Organisationsname im CSR eingetragen sein.

 

4) Es wird geprüft, ob der Name bzw. die Firmenbezeichnung des Inhabers der Domain, für die das Zertifikat bestellt wird, mit dem Namen übereinstimmt, der bei Ihrer Bestellung angegeben wird.

 

Sollte der Eintrag für den Domaininhaber im Falle einer Firma nicht mit dem Eintrag im Handelsregister übereinstimmen, führen Sie bitte vorher ein Domainupdate durch, um die Registrationsdaten zu aktualisieren.

 

5) Sollte Ihre Organisation nicht im Telefonbuch aufgeführt sein, benötigt die Zertifikatsvergabestelle eine Kopie der Telefonrechnung, aus der Organisationsname und die Telefonnummer hervorgehen (die Beträge können Sie ausschwärzen).

 

6) Bei einigen Zertifizierungsstellen wie z. B. Thawte, wird die Bearbeitung der Bestellung nach etwa 5 Tagen gestoppt, wenn die verlangten Unterlagen bis zu diesem Zeitpunkt nicht angekommen sind. Die Bearbeitung wird weitergeführt, sobald alle Unterlagen vorliegen.

 

 

Tipp: Besorgen Sie erst alle benötigten Unterlagen, ehe Sie ein Zertifikat bestellen.

 

 

Hier haben Sie die Möglichkeit, sich PDF Dateien mit weiteren Hinweisen und Informationen zu SSL-Zertifikaten (von Thawte, Inc.) herunterzuladen.

 

�bersicht SSL-Zertifikat-11.png Thawte SSL (DE) (ca. 257 KB)

 

Offizielles Informationsmaterial zum Authentifizierungsprozess von Thawte SSL

 

�bersicht SSL-Zertifikat-11.png Thawte Info SSL (ca. 16 KB)

 

 

Tipp: Besorgen Sie erst alle benötigten Unterlagen, ehe Sie ein Zertifikat bestellen.
�bersicht SSL-Zertifikat-11.png
�bersicht SSL-Zertifikat-11.png

Sichere Website mit SSL!

Sichern Sie hier Ihre Website durch die Verwendung von SSL.

SSL verwenden

×
War dieser Artikel hilfreich?    Ja / Nein