Hetzner - DokuWiki

KonsoleH:SSL-Zertifikate

Inhaltsverzeichnis

Allgemeines zu SSL-Zertifikaten

Für die Installation eines SSL-Accounts benötigen Sie ein SSL-Zertifikat, welches auf den jeweiligen (Sub-)Domainnamen ausgestellt wurde oder den jeweiligen Namen mit abdeckt (sogenannte Wildcard-Zertifikate). Ein signiertes Zertifikat wird von einer Zertifizierungsstelle (z.B. Thawte) digital unterschrieben. Je nach Zertifikatstyp wird dabei der Domainname und/oder die Identität des Zertifikatsinhabers verifiziert. Ein über Hetzner Online bestelltes Zertifikat wird grundsätzlich von Symantec, bzw. Thawte Inc. signiert. Wir bieten kostenlose Symatec Basic Zertifikate und kostenpflichtige Thawte Business Zertifikate an. Zusätzlich können Sie im SSL Manager auch eigene Zertifikate importieren.

Basic-Zertifikate

Wir bieten Ihnen in Zusammenarbeit mit unserem Partner für Sicherheitslösungen Symantec kostenlose SSL-Zertifikate an. Erfahren Sie hier mehr zu unseren Basic-Zertifikaten.

Ein Basic-Zertifikat beantragen

  • Loggen Sie sich mit Kundennummer/Passwort über die Administrationsoberfläche der KonsoleH ein.
  • Wählen Sie die Domain aus, für die Sie ein SSL Zertifikat bestellen möchten und gehen Sie im linken Menü auf Einstellungen > SSL Manager > SSL Accounts.

Eine detaillierte Anleitung zur Beantragung eines Basic-Zertifikats finden Sie in unserem SSL-Guide.

Wie lange sind die Basic-Zertifikate gültig?

Die Basic-Zertifikate haben eine Laufzeit von einem Jahr und werden nach dieser Zeit automatisch für Sie verlängert, sofern Ihr Account nicht gekündigt wurde. Es entstehen keine Kosten für die Verlängerung des Zertifikats.

Welche Einschränkungen gibt es bei Basic-Zertifikaten?

Im Prinzip gibt es keine technischen Einschränkungen bei der Verwendung von Basic-Zertifikaten. Es können jedoch beispielsweise aus markenschutzrechtlichen Gründen nicht für alle Domainnamen Basic-Zertifikate ausgestellt werden. Wenn Ihre Domain davon betroffen ist, erhalten Sie bereits bei der Beantragung einen entsprechenden Hinweis. Wir empfehlen in diesen Fällen die Verwendung eines Business-Zertifikats. Bitte beachten Sie zudem, dass wir keinerlei Einfluss darauf haben, ob ein Domainname unter diese Restriktionen fällt oder nicht. Des Weiteren stellt ein Basic-Zertifikat Ihre Identität im Netz nicht sicher. Hier wird in den Zertifikatsinformationen lediglich der Name des Ausstellers angezeigt. Für Shops empfehlen wir daher die Verwendung von adressvalidierten Business-Zertifikaten. Hier wird Ihre Identität im Zertifikat angezeigt (weitere Informationen hierzu finden Sie im Abschnitt über Business-Zertifikate).

Business-Zertifikate

Wie unterscheiden sich die verschiedenen Business-Zertifikate?

Bei den SSL Business Zertifikaten von Thawte stehen Ihnen mehrere Möglichkeiten zur Auswahl. Prinzipiell wird zwischen folgenden Validierungsmechanismen unterschieden:

  • Domainvalidierte Zertifikate: Hier wird die Domain bzw. die Inhaberschaft der Domain verifiziert. Dies kann durch verschiedene Methoden wie DNS-, E-Mail- oder dateibasierter Authentifizierung geschehen. Das Zertifikat wird lediglich auf Ihre Domain ausgestellt.
  • Adressvalidierte Zertifikate: In diesem Fall wird neben der Domaininhaberschaft zusätzlich eine Identitätsprüfung vorgenommen. Dies geschieht üblicherweise über Handelsregisterauszüge und telefonischen Kontakt. Das Zertifikat trägt zusätzlich Ihre Firmenbezeichnung und den Firmensitz.
  • Extended Validation (EV): Wird ein solches Zertifikat verwendet, erscheint die Browseradresszeile grün und weist direkt ersichtlich Ihre Identität auf.

Hinzu kommen Zertifikate die entweder für eine oder mehrere spezielle (Sub-)Domainnamen gültig sind (z. B. ihre-domain.de und www.ihre-domain.de) und sogenannte Wildcard-Zertifikate, welche für alle Subdomains Gültigkeit haben (*.ihre-domain.de).

Ein Business-Zertifikat bestellen

  • Loggen Sie sich mit Kundennummer/Passwort über die Administrationsoberfläche der KonsoleH ein.
  • Wählen Sie die Domain aus, für die Sie ein SSL Zertifikat bestellen möchten und gehen Sie im linken Menü auf Einstellungen > SSL Manager > SSL-Zertifikate
  • Auf dieser Seite sehen Sie alle bereits vorhandenen Business Zertifikate aufgelistet. Ferner auch alle extern importieren Zertifikate. Klicken Sie in der Zertifikatsübersicht auf "Neubestellung", um den Assistenten für die Erstellung von Thawte Business SSL-Zertifikaten zu öffnen.
  • Wählen Sie den gewünschten Zertifikattyp aus. Im nächsten Schritt wählen Sie die gewünschte Laufzeit des Zertifikats.
  • Adressvalidierte Zertifikate können Sie für mehrere Domains nutzen. Es handelt sich hierbei um sog. Subjekt Alternative Names (SAN) Zertifikate. Geben Sie im Feld „Anzahl Domainname“ an, wie viele Domains Sie absichern möchten.
  • Als nächstes werden die Adressdaten des Zertifikatinhabers und die gewünschte Validierungsart abgefragt.
  • Anschließend erhalten Sie eine Gesamtübersicht mit Preisangabe. Durch klicken auf „Zahlungspflichtig bestellen“ schließen Sie den Bestellprozess ab.
  • Ihre Bestellung leiten wir automatisiert an Thawte weiter. Je nach Validierungsart sind weitere Schritte notwendig, über die Sie informiert werden.
  • Nach Fertigstellung des Zertifikats erhalten Sie eine Information per E-Mail und finden es in der Liste der Zertifikate mit einer grünen Markierung.

Welche Authentifizierungsmethoden stehen zur Verfügung?

Für domainvalidierte Zertifikate stehen 3 Methoden zur Verfügung:

  • DNS-Authentifizierung: Bei dieser Option wird die Authentifizierung über einen Eintrag im Zonefile Ihrer Domain vorgenommen. Dieser Vorgang kann automatisch abgewickelt werden, sofern Ihre Domain die Nameserver der KonsoleH nutzt. Kann der DNS-Eintrag nicht automatisch gesetzt werden, wird Ihnen am Ende der Bestellung ein DNS-Eintrag in der Form domain.de. IN TXT "201601011234561bfs5p5fdum9g8kciot9u3tu4t0e10142zq9wsnutvy2tz844d" angezeigt. Dieser Eintrag ist unverändert als TXT-Eintrag (A-Records werden nicht akzeptiert) einzutragen.

Hinweis: Bitte beachten Sie, dass Änderungen am DNS üblicherweise einer gewissen Latenzzeit unterliegen. Sollten Sie Nameserver eines Drittanbieters verwenden, überprüfen Sie bitte vorab, ob dieser die Eintragung solcher DNSAuth-Records zulässt.

  • Dateibasierte Authentifizierung: Hier erfolgt die Authentifizierung über eine Datei auf Ihrem Webspace. Am Ende des Bestellvorgangs wird Ihnen ein Dateiname sowie der erwartete Inhalt hierzu angezeigt. Bitte legen Sie diese Datei in das Document Root-Verzeichnis der jeweiligen (Sub-)Domain ab. Je nach Serverkonfiguration kann die Datei ggf. bereits automatisch generiert werden. Bitte wundern Sie sich daher nicht, wenn die Datei bereits in Ihrem Webspace liegt.

Hinweis: Bitte beachten Sie, dass ggf. Serverkonfigurationen wie die Verwendung von "mod_rewrite" oder Weiterleitungen dafür sorgen können, dass die Datei von extern nicht erreichbar ist. Prüfen Sie bitte daher unter Umständen in Ihrem Browser, ob Sie die Datei über http://ihre-domain.de/.well-known/pki-validation/fileauth.txt erreichen können.

  • Approve-E-Mail: Sie erhalten eine sogenannte "Approve-E-Mail" an eine bestimmte E-Mailadresse unterhalb Ihrer (Sub-)Domain. In dieser E-Mail finden sie einen Bestätigungslink zu Ihrer Bestellung. Üblicherweise können Sie hier zwischen den Mailkonten ‚webmaster‘, ‚admin‘, ‚administrator‘, ‚hostmaster‘ und ‚postmaster‘ wählen. Stellen Sie deshalb bei Verwendung dieser Methode sicher, dass das ausgewählte E-Mailkonto existiert oder legen Sie eine Weiterleitung auf ein existierendes E-Mailkonto an.

Welche Methode Sie wählen, bleibt Ihnen überlassen. KonsoleH wird automatisch die für Ihr Setup (Nameserver, Webspace etc.) einfachste Methode mit der größtmöglichen automatischen Unterstützung auswählen. Sie können diese Auswahl während des Bestellprozesses jederzeit ändern. Nach Abschluss der Bestellung ist eine Änderung jedoch nicht mehr möglich.

Ein Business-Zertifikat verlängern

Ca. 4 Wochen vor Ablauf des Thawte SSL Business Zertifikats erhalten Sie eine E-Mail von uns mit einer Erinnerung, dass die Gültigkeit des Zertifikats auslaufen wird.

Der Prozess zur Verlängerung eines auslaufenden Zertifikats unterscheidet sich nicht vom üblichen Bestellprozess eines neuen Zertifikats.

  • Loggen Sie sich mit Kundennummer/Passwort über die Administrationsoberfläche der KonsoleH ein.
  • Wählen Sie die Domain aus, für die Sie ein SSL Zertifikat verlängern möchten und gehen Sie im linken Menü auf Einstellungen > SSL Manager > SSL-Zertifikate
  • Wählen Sie das betr. Zertifikat aus (Gültigkeit beachten) und klicken Sie anschließend auf 'Verlängerung'.
  • Wählen Sie die Laufzeit für die Verlängerung aus.
  • Kontrollieren Sie auf den folgenden Seiten die Adressdaten und die Validierungsart.
  • Anschließend erhalten Sie eine Gesamtübersicht mit Preisangabe. Durch klicken auf „Zahlungspflichtig bestellen“ schließen Sie den Bestellprozess ab.
  • Ihre Bestellung leiten wir automatisiert an Thawte weiter. Je nach Validierungsart sind weitere Schritte notwendig, über die Sie informiert werden.
  • Nach Fertigstellung des Zertifikats erhalten Sie eine Information per E-Mail und finden es in der Liste der Zertifikate mit einer grünen Markierung.

Eine Neuausstellung beantragen

Innerhalb der Laufzeit Ihres Zertifikates können Sie uns zu jedem Zeitpunkt einen Antrag auf Neuausstellung des Zertifikats zukommen lassen. Dies ist beispielsweise sinnvoll, wenn:

  • Sie die Subdomain(!) Ihres Zertifikats ändern möchten (z. B. sub2.domain.de anstatt sub1.domain.de)

  • Ihr Zertifikat mit einem veralteten "Digital Signature Algorithm" (DSA) ausgestellt oder unterzeichnet wurde (z.B. SHA1)

  • Ihr privater Schlüssel bzw. das gesamte Zertifikat kompromittiert wurde.

Wichtig: Eine Neuausstellung hat keinerlei Auswirkungen auf die Laufzeit Ihres Zertifikats. Sie dient also nicht der Verlängerung und darf nicht mit dem Punkt "Verlängerung" verwechselt werden.

  • Loggen Sie sich mit Kundennummer/Passwort über die Administrationsoberfläche der KonsoleH ein.
  • Wählen Sie die Domain aus, für die Sie ein SSL Zertifikat neu ausstellen möchten und gehen Sie im linken Menü auf Einstellungen > SSL Manager > SSL-Zertifikate
  • Wählen Sie das betreffende Zertifikat aus und klicken Sie anschließend auf „Neuausstellung“.
  • Durch klicken auf „Auftrag absenden“ wird die Neuausstellung automatisch bei Thawte beantragt.
  • Nach der Validierung erhalten Sie eine E-Mail über die Fertigstellung

Zertifikate von Drittanbietern und selbstsignierte Zertifikate

Hinweis: Für die Verwendung von Zertifikaten eines Drittanbieters ist es nicht notwendig, dass der zugehörige CSR in KonsoleH generiert wurde. Wir empfehlen die Zertifikatsdaten aus Sicherheitsgründen auf Ihrem Server oder lokalen Rechner zu generieren und nur den CSR an die Zertifizierungsstelle weiterzugeben. Wie Sie einen CSR erstellen, erfahren u.a. im nächsten Abschnitt oder unter: https://search.thawte.com/support/ssl-digital-certificates

Ein existierendes Zertifikat importieren

Bitte beachten Sie: Ein einmal importiertes Zertifikat kann, abgesehen von den zugehörigen Zwischenzertifikaten, nicht mehr verändert werden.

Bitte importieren Sie Zertifikate von Drittanbietern daher erst, wenn diese vollständig fertiggestellt sind.

Um ein externes Zertifikat importieren zu können müssen Ihnen der Zertifikat Key, der Private Key und alle Zwischenzertifikate im PEM Format vorliegen. Zudem darf der Private Key nicht mit einem Passwort verschlüsselt sein.

  • Loggen Sie sich mit Kundennummer/Passwort über die Administrationsoberfläche der KonsoleH ein.
  • Wählen Sie die Domain aus, für die Sie ein externes Zertifikat hochladen möchten und gehen Sie im linken Menü auf Einstellungen > SSL Manager > SSL-Zertifikate.
  • Klicken Sie auf 'Import'.
  • Kopieren Sie den Zertifikat Key in das Feld 'Zertifikat'.
  • Kopieren Sie den Private Key in das Feld 'Schlüssel'.
  • Fügen Sie alle Zwischenzertifikate (Root und Intermediate) untereinander in das Feld 'CA' ein.
  • Klicken Sie auf 'Zertifikat Importieren'
  • In der Liste der Zertifikate finden Sie es mit einer grünen Markierung

Hinweis: Zur Bestellung eines SSL-Zertifikates benötigen Sie einen Certificate Request Key (CSR). Diesen können Sie auf einem Linux Server sehr einfach mit folgenden Befehl erstellen:

openssl req -new -nodes -newkey rsa:2048 -keyout wwwmeinedomainde.key -out wwwmeinedomainde.csr

Hierbei wird gleichzeitig der Private Key erstellt.

Ein verlängertes oder neu ausgestellte Zertifikat aktivieren (Thawte Business Zertifkat oder Externes Zertifikat)

Ein verlängertes oder neu ausgestelltes Zertifikat muss noch aktiviert und im Webserver hochgeladen werden.

  • Loggen Sie sich mit Kundennummer/Passwort über die Administrationsoberfläche der KonsoleH ein.
  • Wählen Sie im Menü „SSL Manager“ den Punkt „SSL Accounts“ aus
  • Wählen Sie bei der betr. Domain bei 'Zertifikat' das verlängerte Zertifikat aus. Klicken Sie dann auf das Symbol mit den zwei runden Pfeilen rechts neben dem Zertifikat. Dadurch wird das verlängerte oder neu ausgestellte Zertifikat dauerhaft in den Webserver geladen und wird sofort bei Aufruf von https:// verwendet.

Ein fertiges Zertifikat herunter laden (Thawte Business Zertifkat oder Externes Zertifikat)

  • Loggen Sie sich mit Kundennummer/Passwort über die Administrationsoberfläche der KonsoleH ein.
  • Wählen Sie die Domain aus und gehen Sie im linken Menü auf Einstellungen > SSL Manager > SSL-Zertifikate. Auf dieser Seite werden alle bereits vorhandenen Business Zertifikate sowie alle von extern importierten Zertifikate aufgelistet
  • Wählen Sie das entsprechende Zertifikat aus und klicken Sie auf das Einstellungsicon am Ende der Zeile.
  • Durch klicken auf 'Download' wird das Zertifikat mit allen Keys als .zip-File geladen und zur Speicherung auf dem lokalen PC zur Verfügung gestellt.


© 2019. Hetzner Online GmbH. Alle Rechte vorbehalten.