FAQ - SSL-Zertifikate

Häufig gestellte Fragen

Zur Übersicht

Um den privaten Schlüssel und den CSR zu generieren, verwenden Sie bitte „openssl„, das im Paket OpenSSL enthalten ist. In der Regel sollte es unter „/usr/local/ssl/bin“ installiert sein.

Erzeugen Sie den privaten Schlüssel mit einer Schlüssellänge von 2048 Bit mittels folgendem Befehl

openssl genrsa -out www.domain.com.key 2048

(Sichern Sie diesen Key bitte gesondert und schützen Sie ihn vor fremden Zugriff)

Erzeugen Sie nun ein CSR mit folgendem Befehl:

openssl req -new -key www.domain.com.key -sha256 -out www.domain.com.csr

(Sie werden hier zur Eingabe weiterer Informationen aufgefordert. Bitte verwenden Sie dabei keine Umlaute.

  • Country Name (2 letter code): Geben Sie hier den ISO-Ländercode in Großbuchstaben an, zum Beispiel: „DE“ für Deutschland oder „AT“ für Österreich oder „CH“ für Schweiz.
  • State or Province: Geben Sie das Bundesland an, zum Beispiel: „Sachsen“
  • Locality or City: Geben Sie den Ort an, zum Beispiel: „Dresden“
  • Company: Geben Sie hier Ihren Firmennamen inklusive Rechtsform an. (Es sind nur die Sonderzeichen – . * erlaubt. Sollte der Firmenname ein anderes Sonderzeichen enthalten, lassen Sie bitte das Zeichen weg oder schreiben Sie es aus. Statt „A & Z GmbH“ geben Sie z. B. „A und Z GmbH“ oder „AZ GmbH“ ein.)
  • Organizational Unit: Geben Sie optional die Abteilung an, für die das SSL-Zertifikat bestellt wird. Wenn Sie dies nicht angeben möchten, drücken Sie einfach ENTER.
  • Common Name: Bitte geben Sie hier den Domainnamen ein, der durch das SSL-ZErtfikat geschützt werden soll. (z.B. www.domain.de oder domain.com oder etwas.domain.net). Bei der Bestellung von Wildcard-Zertfikaten verwenden Sie bitte das Sternchen als Joker (z.B. *.domain.com). Für Umlaut-Domains (ü, ä, ö) bzw. Domains mit anderen Zeichen (z.B. á, ó, ú etc.) verwenden Sie bitt unbedingt die ACE-Schreibweise (beginnt mit „xn--„).
  • Email Address: Hier bitte die Email-Adresse eintragen.
  • A challenge password: bitte frei lassen
  • An optional company name: bitte frei lassen

Mit dem folgenden Befehl können Sie Ihre Eingaben nochmal prüfen

openssl req -noout -text -in www.domain.com.csr

Nun können Sie das SSL-Zertfikat bei uns bestellen. Dabei wird der CSR benötigt.

Unter Apache

Sie erhalten vom Zertfikateaussteller das Zwischenzertfikat und das eigentliche SSL-Zertfikat. Installieren Sie als erstes das Zwischenzertifikat: Benennen Sie es in „intermediate.crt“ um und legen es auf dem Server ab – zum Beispiel unter „/usr/local/ssl/crt/“. In dieses Verzeichnis legen Sie bitte auch das eigentliche SSL-Zertfikat ab. Den privaten Schlüssel (private Key) legen Sie bitte in einem gesonderten Verzeichnis (z.B. /usr/local/ssl/private/) ab. Schützen Sie diese Datei bitte vor unberechtigten Zugriff mittels Dateirechten.

Nun muss der Server noch konfiguriert werden. Öffnen Sie die Datei „ssl.conf“ und suchen Sie nach dem Eintrag „VirtualHost„. Sollten Sie keine Datei „ssl.conf“ finden, öffnen Sie die Datei „httpd.conf“ und suchen Sie dort nach „VirtualHost“. Fügen Sie hier nun folgende Zeilen ein, wenn nicht bereits vorhanden:

SSLCertificateFile /usr/local/ssl/crt/example.crt
SSLCertificateKeyFile /usr/local/ssl/private/www.domain.com.key
SSLCACertificateFile /usr/local/ssl/crt/intermediate.crt

(Passen Sie ggf. die Verzeichnisse an. 1. Zeile = Zertifikat, 2. Zeile Private Key, 3. Zeile Zwischenzertfikat)

Speichern Sie nun die Datei ssl.conf (bzw. httpd.conf) und starten den den Apache neu.

apachectl startssl

(Ab Apache 2.0 wird SSL bereits automatisch mit gestartet.)

Unter Microsoft IIS

  • laden Sie die „.p7b“-Datei auf den Server
  • öffen Sie den „Internetinformationsdienste-Manager“ unter „Start“, „Verwaltung“
  • Wählen Sie in der linken Spalte den betreffenden Serverknoten
  • im Bereich „Features“ bitte „Serverzertifikate“ doppelklicken
  • Klicken Sie auf „Importieren“ im rechten Bereich (oder wählen Sie im Bereich „Aktionen“ „Zertifikatanforderung abschließen“
  • Suchen Sie nun nach der Zertifikatsdatei. Wenn Sie diese nicht sehen, wählen Sie „Alle Dateien“
  • Geben Sie das Passwort ein, dass die Zertfikatsdatei schützt -> „OK“

Nun ist das Zertfikat importiert. Fügen Sie nun noch die HTTPS-Bindung zur Website hinzu:

  • öffen Sie erneut den „Internetinformationsdienste-Manager“ unter „Start“, „Verwaltung“
  • wählen Sie Ihren Servernamen, dann „Sites“ und die Webseite, die per SSL gesichert werden soll.
  • Klicken Sie auf „Bindungen…“ im rechten Fensterbereich
  • Klicken Sie auf „Hinzufügen“
  • Geben Sie den Bindungstyp an
  • Wählen Sie das bereits importierte SSL-Zertifikat für die Webseite aus
  • und klicken auf „OK“

Ein CSR (Certificate Signing Request) wird benötigt, um ein SSL-Zertfikat zu bestellen. Um diesen CSR idealerweise auf Ihrem Webserver zu erzeugen, müssen Sie ein Schlüsselpaar (Private Key und CSR) erstellen. Der Private Key muss zwingend bei Ihnen verbleiben und sollte am besten zusätzlich auf einem Datenträger gespeichert werden, da nur mit diesem Key das SSL-Zertfikat genutzt werden kann. Im CSR ist der Öffentliche Schlüssel (Public Key) und Informationen zur Domain und zum Antragsteller enthalten.