smoxy

Deutsch

English

Deutsch

English

Erscheinungsbild

Selbst verwaltete SSL-Zertifikate

Während smoxy SSL-Zertifikate automatisch über Let's Encrypt generiert und erneuert, kann es Szenarien geben, in denen eigene Zertifikate verwendet werden müssen. Diese Anleitung behandelt alles rund um den Upload und die Verwaltung selbst verwalteter SSL-Zertifikate.

Wann selbst verwaltete Zertifikate sinnvoll sind

Selbst verwaltete Zertifikate sind nützlich, wenn:

  • ein Extended Validation (EV) Zertifikat für Compliance- oder Vertrauenszwecke benötigt wird
  • Zertifikate von einer bestimmten Zertifizierungsstelle benötigt werden, die von der Organisation vorgeschrieben wird
  • Zertifikate mit spezifischen Attributen benötigt werden, die Let's Encrypt nicht bietet
  • in Umgebungen gearbeitet wird, in denen Let's Encrypt nicht zugelassen ist

Anforderungen

Das Zertifikat muss folgende Anforderungen erfüllen:

AnforderungDetails
FormatPEM-kodiert (Base64 ASCII, beginnt mit -----BEGIN CERTIFICATE-----)
Private KeyPEM-kodierter RSA- oder ECDSA-Schlüssel, muss zum Zertifikat passen
GültigkeitZertifikat darf nicht abgelaufen sein
Domain-AbdeckungZertifikat muss mindestens einen SAN enthalten, der zur Domain passt
KetteZwischenzertifikate in der Zertifikatsdatei für vollständige Kettenvalidierung einschließen

Zertifikatsdatei-Format

Die Zertifikatsdatei sollte die vollständige Kette in dieser Reihenfolge enthalten:

-----BEGIN CERTIFICATE-----
(Server-Zertifikat)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
(Zwischenzertifikat)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
(Root-Zertifikat — optional, normalerweise nicht erforderlich)
-----END CERTIFICATE-----

Private-Key-Format 

-----BEGIN PRIVATE KEY-----
(Private Key)
-----END PRIVATE KEY-----

oder im RSA-Format:

-----BEGIN RSA PRIVATE KEY-----
(RSA Private Key)
-----END RSA PRIVATE KEY-----

Selbst verwaltetes Zertifikat hochladen

  1. Zu Domains & DNS in der smoxy-Seitenleiste navigieren
  2. Auf die zu konfigurierende Domain klicken
  3. Zum SSL-Tab navigieren
  4. Auf SSL-Zertifikat hochladen klicken
  5. Das Zertifikat einfügen oder hochladen (einschließlich Zwischenzertifikatskette)
  6. Den Private Key einfügen oder hochladen
  7. Auf Speichern klicken

Was smoxy validiert

Beim Upload prüft smoxy:

  1. Zertifikatsgültigkeit — Ist das Zertifikat parsebar und im PEM-Format?
  2. Key-Übereinstimmung — Passt der Private Key zum Zertifikat?
  3. Ablaufdatum — Ist das Zertifikat noch gültig?
  4. SAN-Vergleich — Wenn ein bestehendes Zertifikat ersetzt wird, vergleicht smoxy die Subject Alternative Names

SAN-Abweichungswarnung

Wenn sich die SANs im neuen Zertifikat vom aktuellen Zertifikat unterscheiden, zeigt smoxy an:

  • Welche Domains im neuen Zertifikat hinzugefügt wurden
  • Welche Domains im Vergleich zum aktuellen Zertifikat entfernt wurden

Bei abweichenden SANs ist eine Bestätigung des Uploads erforderlich. Das verhindert ein versehentliches Entfernen der Domain-Abdeckung.

Verantwortung für die Erneuerung

smoxy erneuert selbst verwaltete Zertifikate nicht automatisch. Der Nutzer ist vollständig verantwortlich für:

  1. Überwachung des Zertifikatsablaufs
  2. Beschaffung eines erneuerten Zertifikats von der CA
  3. Upload des neuen Zertifikats, bevor das aktuelle abläuft

smoxy zeigt das Ablaufdatum des Zertifikats im SSL-Tab an, was die Planung der Erneuerung unterstützt.

INFO

Tipp: Bei zu großem Verwaltungsaufwand für die Zertifikate ist ein Wechsel zu den automatisch verwalteten Zertifikaten von smoxy zu erwägen. Ein Wechsel ist jederzeit möglich.

Wechsel zwischen Zertifikatstypen

Von selbst verwaltet zu automatisch verwaltet

Ein Wechsel von einem selbst verwalteten Zertifikat zu einem automatisch verwalteten Let's Encrypt-Zertifikat ist möglich:

  1. Sicherstellen, dass die _acme-challenge CNAME-Einträge korrekt konfiguriert sind
  2. Zum SSL-Tab navigieren
  3. Die Option zum Generieren eines neuen Zertifikats wählen

smoxy startet den Generierungsprozess. Das selbst verwaltete Zertifikat bleibt aktiv, bis das neue Zertifikat bereit ist.

Von automatisch verwaltet zu selbst verwaltet

  1. Das eigene Zertifikat wie oben beschrieben hochladen
  2. Das automatisch verwaltete Zertifikat wird archiviert
  3. Die automatische Erneuerung wird für diese Domain deaktiviert

INFO

Hinweis: Das vorherige Zertifikat wird immer archiviert, nicht gelöscht. Das bietet einen Audit-Trail für Zertifikatsänderungen.

Häufige Fehler

FehlerUrsacheLösung
Invalid CRT fileZertifikat kann nicht geparst werdenSicherstellen, dass die Datei im PEM-Format ist und die vollständige Kette enthält
CRT and KEY file do not matchPrivate Key passt nicht zum ZertifikatPrüfen, ob der richtige Key für dieses Zertifikat verwendet wird
The CRT file has expiredGültigkeitszeitraum des Zertifikats ist abgelaufenEin neues Zertifikat von der CA beschaffen
Certificate does not contain this domainKeiner der SANs passt zur DomainSicherstellen, dass das Zertifikat die Domain oder deren Wildcard abdeckt