FAQ #2175
Artikel editieren
Artikel weiterleiten

So verwenden Sie ein STRATO SSL-Zertifikat auf Ihrem Server

In diesem Artikel möchten wir Ihnen zeigen, wie Sie auf Ihrem STRATO Server und unter Plesk ein STRATO SSL-Zertifikat installieren können. Mit dem STRATO SSL-Zertifikat ermöglichen Sie eine verschlüsselte Kommunikation über HTTPS zum Schutz sensibler Daten.
Erfahren Sie mehr über die Zuweisung und Bestellung von STRATO SSL Zertifikaten auf Ihrem Server in diesem FAQ-Artikel.
 

Inhaltsverzeichnis Inhaltsverzeichnis

 

Wie verwende ich ein STRATO SSL-Zertifikat unter Plesk ?

Loggen Sie sich im ersten Schritt mit Hostname und Administrator-Passwort als Administrator für Plesk ein. Wie kann ich mich bei Plesk anmelden?

 

Nach dem Login klicken Sie bitte zunächst im Menübereich unter Serververwaltung auf den Punkt Tools & Eintellungen und anschließend im Bereich Sicherheit auf die Schaltfläche SSL-Zertifikate.

Plesk - SSL-Zertifkate aufrufen
 
Erzeugen eines CSR (Certificate Signing Request)

 

Sollten Sie noch kein SSL-Zertifikat besitzen, so ist für eine Bestellung zunächst das Erzeugen eines CSR erforderlich. Um einen CSR mit dazugehörigem Private Key zu erstellen, klicken Sie bitte auf die Schaltfläche Hinzufügen.

Plesk - Zertifikat hinzufügen 

 

Füllen Sie bitte alle erforderlichen Felder aus und klicken Sie auf Anforderung.

Beachten Sie bitte, dass bei der Verwendung von STRATO SSL lediglich eine 2048 Bit Verschlüsselung verwendet werden kann.
Plesk - Zertifikat anfordern

 

Anschließend klicken Sie in der Übersicht bitte auf den soeben erstellten (unvollständigen) neuen Eintrag.

Plesk - Zertifikat auswählen

 

Auf der folgenden Seite wird Ihnen das CSR als Textblock angezeigt. Zur Bestellung eines Zertifikates markieren und kopieren (STRG + C) Sie bitte den Bereich des CSR und fügen Ihn in das CSR Eingabefeld ein, dass bei der Zuweisung eines STRATO SSL-Zertifikats angezeigt wird.

 

Wie Sie das STRATO SSL-Zertifikat zuweisen und abrufen können finden Sie im Server-Abschnitt unter So nutzen Sie STRATO SSL.

 

Einbinden eines SSL-Zertifikats
 

Bitte begeben Sie sich zunächst (erneut) in den Bereich SSL-Zertifikate, durch Klicken auf Tools & Einstellungen/SSL-Zertifikate.

Plesk - SSL-Zertifkate aufrufen 

 

Existiert bereits ein CSR mit zugehörigem Private Key in Plesk, öffnen Sie bitte den (unvollständigen) Eintrag und fahren Sie direkt mit dem Einfügen der Zertifikatsinformationen fort (siehe weiter unten).

Um ein Zertifikat einzubinden, zu dem noch kein CSR in der aktuellen Pleskinstallation vorliegt (z. B. weil Sie dieses bereits auf einem anderen Server genutzt haben), klicken Sie bitte auf die Schaltfläche Hinzufügen.

Plesk - Zertifikat hinzufügen 
 
Im folgenden Schritt füllen Sie das Formular mit Ihren persönlichen Angaben aus und tragen Sie die Informationen des Zertifikats ein.
Plesk - Daten eintragen
 

Fügen Sie nun die Zertifikatsdaten ein, die Sie aus den Details unter STRATO SSL in den Details des Zertifikats abrufen können. Wenn der CSR und der Private Key nicht in Plesk erstellt wurden, ist es notwendig, auch die beiden Zertifikat-Teile einzutragen.

 

Haben Sie den CSR und Private Key in Plesk erstellt (z.B. durch den Schritt oben CSR erstellen), reicht es, das Zertifikat und CA-Zertifikat hochzuladen.

 

Werden Ihnen das Root-Zertifikat und das Intermediate-Zertifikat getrennt zur Verfügung gestellt, können beide Teile nacheinander in das Textfeld kopiert werden.

 

Hinweis: Sofern Ihnen das Zertifikat als Datei vorliegt, kann es auch durch einen Dateiupload installiert werden. Klicken Sie hierzu unter Tools & Einstellungen / SSL-Zertifikate auf Durchsuchen, um die betreffende Datei auszuwählen.
Plesk - Zertifikat einfügen
Bestätigen die Eingabe durch den Button Zertifikat hochladen.

 

Das von Ihnen erstellte Zertifikat erscheint nun im Bereich Zertifikate unterhalb des voreingestellten Plesk-Zertifikats (Default Certificate).

Plesk - Zertifikat auswählen

 

Damit die Einbindung des Zertifikates abgeschlossen werden kann, müssen Sie das Zertifikat einer IP-Adresse zuweisen. Hierfür klicken Sie bitte im Menüpunkt Tools & Ressourcen auf die Schaltfläche IP-Adressen.

Plesk - Zertifikat der IP zuweisen

 

Klicken Sie auf die IP-Adresse Ihres Servers. Jetzt können Sie aus dem Drop-Down Menü neben SSL-Zertifikat Ihr neu angelegtes Zertifikat auswählen und mit OK bestätigen.

Plesk - SSL der IP endgültig zuweisen 

 

Ihr Zertifikat steht jetzt für die unter der gewählten IP-Adresse erreichbare Domain zur Verfügung und wird beim Aufrufen über eine verschlüsselte Verbindung verwendet.

 

Sie können nun unter Tools & Einstellungen das neue Zertifikat zum Standard-Zertifikat erklären. Das empfiehlt sich vor allem, wenn es das erste Zertifikat auf dem Server ist.

 

Um das Zertifikat der Domain in Plesk zuzuordnen, gehen Sie auf Websites & Domains, klappen den Bereich mit der gewünschten Domain auf, gehen auf Hosting und DNS und dort zu den Hosting-Einstellungen.

Plesk - Hosting einstellungen

 

In den Einstellungen können Sie unter Sicherheit nun das Zertifikat für die Webseite unter dieser Domain auswählen.

Plesk - Hosting Sicherheit

 

Ihre Webseite ist nun mit dem SSL-Zertifikat abgesichert.

 

Wie kann ich ein STRATO SSL-Zertifikat unter Linux verwenden?

Die Einbindung auf dem Server geschieht über die shell des Servers. Verbinden Sie sich mit SSH mit Ihrem Server. Bitte prüfen Sie, ob der Befehl openssl zur Verfügung steht. Nutzen Sie dafür den Befehl command -v openssl. Wird nichts ausgegeben, dann fehlt das Kommando. In dem Fall ist es notwendig openssl über die Paketverwaltung Ihrer Distribution nachzuinstallieren.

Für die Verwendung eines STRATO SSL Zertifikats benötigen Sie mehrere Dateien. Einmal das Zertifikat selbst, den privaten Schlüssel (Private Key) und noch das Zwischen- und das Basis-Zertifikat (Intermediate- und Root-Zertifikat).

Haben Sie keine dieser Dateien vorliegen, beginnen Sie mit dem Erzeugen eines CSR (Certificate Signing Request). Liegen diese Dateien bereits vor, können Sie zur Einbindung des SSL-Zertifikats springen.

Erzeugen eines CSR (Certificate Signing Request)

 

Die Zertifikatsanforderung (CSR) wird auf der Kommandozeile (Shell) erzeugt. Dabei werden zwei Dateien erzeugt. Einmal die Anforderung selbst und dann der Private Schlüssel, der dazu gehört.

 

Der Befehl, um den CSR und den Private Key zu erzeugen ist der folgende (ersetzen Sie <dateiname> durch den gewünschten Dateinamen z.B. basierend auf der Domain):

openssl req -new -newkey rsa:2048 -nodes -out <dateiname>.csr -keyout <dateiname>.key

 

Es werden nun einige Fragen gestellt, die beantwortet werden müssen. Der wichtigste Teil ist der Common Name. Hier wird der Domainname, der zertifiziert werden soll, angegeben. Ein optionales Feld (das leer gelassen werden kann) ist “Organizational Unit Name”.

Ein Passwort für den Private Key kann vergeben werden. Dann muss allerdings der Webserver (und jedes andere Programm dass das SSL-Zertifikat verwendet) Zugriff auf das Passwort bekommen. Andernfalls muss das Passwort für das Zertifikat beim Start des Dienstes manuell eingegeben werden. Es ist auch möglich dass Passwort leer zu lassen (wenn auch weniger sicher).
Linux - CSR erstellen

 

Es werden nun die beiden Dateien mit den Endungen .csr und .key erzeugt. Lassen Sie sich den Inhalt der .csr Datei anzeigen:

cat <dateiname>.csr

Linux - CSR anzeigen

 

Kopieren Sie sich den Inhalt in die Zwischenablage und fügen Sie ihn in das CSR-Eingabefeld ein, dass bei der Zuweisung eines STRATO SSL Zertifikats angezeigt wird.

 

Einbindung des SSL-Zertifikats

 

Nach Abschluss der Zertifizierung rufen Sie in STRATO SSL die Details des Zertifikats auf. Kopieren Sie sich jeden Teil (Zertifikat, Intermediate-Zertifikat und Root-Zertifikat) in eine eigene Datei.

  • Nutzen Sie den Kopieren-Button unterhalb des Zertifikats, um den Inhalt in die Zwischenablage zu kopieren.
  • Öffnen Sie in dem Terminal, mit dem Sie sich per SSH auf den Server verbunden haben einen Texteditor. Beispiel: nano [dateiname].crt. Bei dem Dateinamen verwenden Sie Ihr bevorzugtes Schema, dass zur CSR-Erzeugung passt. Wir empfehlen den Dateinamen für das Root-Zertifikat um “ca-root” und das Intermediate-Zertifikat um “ca-int” zu ergänzen.
  • Speichern Sie die Datei und verlassen den Editor

Je nach Programm, dass das Zertifikat verwenden soll, kann es notwendig sein, eine sogenannte fullchain-Datei zu erzeugen. Diese wird recht einfach erzeugt:

cat [dateiname csr].crt [dateiname intermediate].crt [dateiname root].crt >[dateiname fullchain].crt

 

Man sollte sich auch über die Zugriffsrechte Gedanken machen, sodass die notwendigen Programme auf die Dateien Zugriff haben, aber eben nicht jeder. Ein Vorschlag ist es dafür eine eigene Systemgruppe zu verwenden. Den Gruppennamen können Sie anpassen, sslcert ist lediglich ein Vorschlag.

# sudo groupadd -r sslcert

 

Danach legt man fest, welche Benutzerkennungen zu dieser Gruppe gehören (die Benutzerkennung unter der das Programm läuft).

# sudo usermod -a -G sslcert apache2

Das wiederholen Sie für weitere Programme, die auf die Dateien Zugriff bekommen sollen, z.B. postfix.

Nun können Sie die Rechte und Eigentümerschaft für die Dateien ändern (wiederholgen Sie das für jede der Zertifikats-Dateien).

# sudo chown root:sslcert [dateiname]
# sudo chmod 0640 [dateiname]

 

Die Dateien sollten nun an zentraler Stelle gespeichert werden und nicht mehr im persönlichen Home-Verzeichnis bleiben. Dies kann ein beliebiger Ort im Dateisystem sein, generell ist aber das Verzeichnis /etc/ssl/ ein guter Ausgangspunkt. Wenn man mehrere Zertifikate für unterschiedliche Domains auf dem Server verwendet kann man sich auch Gedanken über eine Struktur von Unterverzeichnissen Gedanken machen. Haben Sie die oberen Dateirechte vergeben, verwenden Sie sudo mv [dateiname] [zielverzeichnis] zum Verschieben der Datei.

 

Wie das SSL-Zertifikat eingebunden wird, hängt sehr stark von dem jeweiligen Programm bzw. Dienst ab, in dem das Zertifikat verwendet werden soll. Ein sehr guter Ausgangspunkt ist der SSL Configuration Generator von Mozilla. Wir empfehlen auch die Dokumentation der Dienste zu konsultieren. Wenn man die Optionen und den Aufbau der Konfigurationsdateien versteht, fällt es einem leichter, eigene Anpassungen vorzunehmen.

 

Wie verwende ich ein STRATO SSL-Zertifikat unter Windows Server 2016, 2019 und 2022?

Um ein SSL-Zertifikat ausgestellt zu bekommen, ist es notwendig, dass Sie vorher eine Zertifikatsanforderung erstellen. In dieser sind die erforderlichen Daten über Ihre Webseite und über Sie als Firma/Person enthalten. Diese Daten werden von der Zertifizierungsstelle überprüft. Erst nach erfolgreicher Prüfung wird Ihr SSL-Zertifikat ausgestellt.

Die folgenden Schritte finden auf dem Server statt. Verbinden Sie sich daher für jeden dieser Schritte mit einer Remote Desktop Verbindung zu Ihrem Windows Server: So einfach verbinden Sie sich mit Ihrem STRATO Windows-Server
 

Den Webserver (IIS) installieren

 
Wenn Sie den IIS bereits installiert und eingerichtet haben, können Sie diesen Abschnitt überspringen.
 
Starten Sie über das Startmenü den Server-Manager und fügen Sie eine Rolle hinzu.
Windows - Rolle hinzufügen
 
Bestätigen Sie die ersten Schritte bis Sie zu den Serverrollen kommen. Versehen Sie die Rolle Web Server (IIS) mit einem Haken und bestätigen Sie die Features.
Windows - WebServer Rolle hinzufügen
 
In den weiteren Schritte können Sie die Standard-Einstellungen bestätigen. Wenn die Installation abgeschlossen ist, wird die Web Server Rolle in der Übersicht des Server-Managers angezeigt.
Windows - IIS-Rolle wird angezeigt
 
 

Eine Zertifikatsanforderung erstellen

 
Rechtsklicken Sie bitte auf das Windows-Symbol auf Ihrem Server und öffnen die Computerverwaltung. Anschließend öffnen Sie bitte unter Dienste und Anwendungen den Internetinformationsdienste (IIS)-Manager.
Windows - IIS Manager aufrufen
 
Sofern diese Punkte noch nicht geöffnet sind, wählen Sie nun in der Baumansicht den Eintrag mir ihrem Domainname aus und öffnen dann den Punkt Serverzertifikate durch einen Doppelklick.
Windows - Server Zertifikate
 
In der rechten Seitenleiste klicken Sie dann bitte auf Zertifikatanforderung erstellen..., es öffnet sich der Assistent "Zertifikat anfordern".
 
Tragen Sie hier bitte die Daten entsprechend dem in der folgenden Abbildung gezeigten Schema ein.
Windows - Zertifikat anfordern
 
Achten Sie bei einem erweiterten Zertifikat unbedingt auf die korrekte Schreibweise, wie sie im Handelsregister bzw. auf Ihrem Gewerbeschein wiederzufinden ist. Ansonsten kann es passieren, dass die Zertifizierungsstelle aus Sicherheitsgründen eine Ablehnung schickt oder weitere Dokumente zur Authentifikation anfordert.
 
Der Eintrag Gemeinsamer Name des SSL-Zertifikats ist der Wichtigste von allen. Hier müssen Sie den vollständigen Domainnamen angeben, für den Sie dieses Zertifikat verwenden wollen. Dieser Name wird später fest in das Zertifikat eingebettet und kann nicht geändert werden.
 
Würden Sie hier z. B. den Namen "wunschname.de" eingeben, dann aber eine andere Domain innerhalb Ihres Paketes aufrufen, z.B. "https://www.pronto-agentur.de", so würde ein Fehler angezeigt.

Im folgenden Dialogfenster werden Sie aufgefordert, einen Kryptografiedienstanbieter und eine Bitlänge für Ihr Zertifikat einzugeben.
Windows - Krypto-Anbieter auswählen
Die Auswahl des Kryptografiedienstanbieters können Sie auf der Voreinstellung Microsoft RSA SChannel Cryptografic Provider belassen, sofern Sie keine andere Vorgabe erhalten.
 
Die Bitlänge bestimmt den Grad der Verschlüsselung, d. h. je länger der Schlüssel, desto sicherer die Verbindung. Für die Verwendung von STRATO SSL-Zertifikaten nutzen Sie bitte eine Länge von 2048 Bit.

Im letzten Dialogfenster geben Sie nun bitte noch Pfad und Dateinamen an, unter denen die Zertifikatsanforderung gespeichert werden soll. Bestätigen Sie Ihre Angaben mit Fertig.
Windows - Anforderung bestätigen
 
Sie können nun die Dateiverwaltung starten und die eben erzeugte Anforderung in einem Texteditor öffnen. Markieren sie den Text und fügen Ihn in das Textfeld für das CSR ein, dass Ihnen bei der Zuweisung von einem STRATO SSL Zertifikat angezeigt wird.
Windows - CSR aufrufen
 
Sie können diese Datei auch auf Ihr lokales System kopieren und dann damit weiter arbeiten.
 

Einrichtung Ihres Zertifikats auf dem Server

 
Rufen Sie erneut, wie bei der oben beschriebenen Erstellung des CSR den Punkt Serverzertifikate im Internetinformationsdienste (IIS)-Manager auf.
 
Bereiten Sie die Zertifikatsdateien vor. Öffnen Sie dazu einen Texteditor und kopieren Sie dort den Inhalt der Zertifikate nacheinander ein. Die Zertifikats-Daten werden Ihnen bei STRATO-SSL in den Details des Zertifikats angezeigt.
 
Die verschiedenen Teile sind das Zertifikat selbst, das Intermediate-Zertifikat (optional) und das root-Zertifikat (ebenfalls optional). Speichern Sie diese als Datei mit der Endung .cer. Laden Sie diese Datei dann auf den Server hoch.
 
Klicken Sie auf Ihrem Server in der rechten Seitenleiste auf Zertifikatanforderung abschließen...
Windows - Zertifikat abschließen
 
Wählen Sie nun bitte die Zertifikats-Datei aus, die Sie im vorigen Schritt hochgeladen haben. Geben Sie noch einen Anzeigenamen für das Zertifikat ein.
Windows - Zertifikat hochladen
 
 
Haben Sie auch diesen Schritt durchgeführt und den Assistenten wieder beendet, wurde das Zertifikat auf Ihrem Server für die gewählte Domain aktiviert.
 
Nun können Sie HTTPS für Ihre Domain aktivieren und das neue SSL-Zertifikat zuweisen. Klicken Sie dazu in der Baumansicht links unterhalb des Eintrages zu Ihrem Host (z.B. H01234) auf Sites, dann in der Liste in der Mitte auf den Domainnamen, im Beispiel wunschname.de und anschließend in der rechten Seitenleiste auf Bindungen…
Windows - SSL zuweisen
 
Klicken Sie auf Hinzufügen, erstellen eine neue HTTPS-Bindung für die entsprechende IP-Adresse und wählen das eingerichtete Zertifikat aus.
Windows - SSL binden

Bitte denken Sie daran, dass Sie den Webserver neu starten müssen, um die Änderungen zu aktivieren.
Windows - Webserver neu starten
 
Weiterführende Informationen:

Partnerleitfaden von Symantec, thawte, GeoTrust zum Thema SSL/Website-Sicherheitslösungen

1: CSR Dekodieren und Anzeigen: https://www.digicert.com/ssltools/view-csr/
2: CSR Generator: https://www.digicert.com/kb/csr-creation.htm
3: Installations-Anleitungen (engl.): https://www.digicert.com/kb/ssl-certificate-installation.htm
4: SSL-Konfigurations Ratgeber: https://ssl-config.mozilla.org/
5: SSL-Check des Servers: https://www.ssllabs.com/

 

Bestätigen die Eingabe durch den Button Zertifikat hochladen.

Sichere Website mit SSL!

Sichern Sie hier Ihre Website durch die Verwendung von SSL.

SSL verwenden

×