Selbst verwaltete SSL-Zertifikate
Während smoxy SSL-Zertifikate automatisch über Let's Encrypt generiert und erneuert, kann es Szenarien geben, in denen eigene Zertifikate verwendet werden müssen. Diese Anleitung behandelt alles rund um den Upload und die Verwaltung selbst verwalteter SSL-Zertifikate.


Wann selbst verwaltete Zertifikate sinnvoll sind
Selbst verwaltete Zertifikate sind nützlich, wenn:
- ein Extended Validation (EV) Zertifikat für Compliance- oder Vertrauenszwecke benötigt wird
- Zertifikate von einer bestimmten Zertifizierungsstelle benötigt werden, die von der Organisation vorgeschrieben wird
- Zertifikate mit spezifischen Attributen benötigt werden, die Let's Encrypt nicht bietet
- in Umgebungen gearbeitet wird, in denen Let's Encrypt nicht zugelassen ist
Anforderungen
Das Zertifikat muss folgende Anforderungen erfüllen:
| Anforderung | Details |
|---|---|
| Format | PEM-kodiert (Base64 ASCII, beginnt mit -----BEGIN CERTIFICATE-----) |
| Private Key | PEM-kodierter RSA- oder ECDSA-Schlüssel, muss zum Zertifikat passen |
| Gültigkeit | Zertifikat darf nicht abgelaufen sein |
| Domain-Abdeckung | Zertifikat muss mindestens einen SAN enthalten, der zur Domain passt |
| Kette | Zwischenzertifikate für die vollständige Kettenvalidierung bereitstellen - im Dialog in das separate Feld Chain-PEM (optional) einfügen |
Zertifikatsdatei-Format
Das Server-Zertifikat in das Feld Zertifikat-PEM und etwaige Zwischenzertifikate in das separate Feld Chain-PEM (optional) einfügen. Beide sind PEM-kodiert - ein oder mehrere Blöcke wie dieser:
-----BEGIN CERTIFICATE-----
(Server-Zertifikat)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
(Zwischenzertifikat - in das Feld Chain-PEM einfügen)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
(Root-Zertifikat - optional, normalerweise nicht erforderlich)
-----END CERTIFICATE-----Private-Key-Format
-----BEGIN PRIVATE KEY-----
(Private Key)
-----END PRIVATE KEY-----oder im RSA-Format:
-----BEGIN RSA PRIVATE KEY-----
(RSA Private Key)
-----END RSA PRIVATE KEY-----Selbst verwaltetes Zertifikat hochladen
- In der smoxy-Seitenleiste SSL-Zertifikate öffnen
- Auf Neues Zertifikat klicken, um den Dialog Neues SSL-Zertifikat zu öffnen
- Als Typ die Option Benutzerdefiniert wählen
- Das Zertifikat-PEM einfügen oder hochladen (das Server-Zertifikat)
- Das Privater-Schlüssel-PEM einfügen oder hochladen (der passende private Schlüssel)
- Optional etwaige Zwischenzertifikate in das separate Feld Chain-PEM (optional) einfügen
- Auf Zertifikat erstellen klicken


Was smoxy validiert
Beim Upload prüft smoxy:
- Zertifikatsgültigkeit - Ist das Zertifikat parsebar und im PEM-Format?
- Key-Übereinstimmung - Passt der Private Key zum Zertifikat?
- Ablaufdatum - Ist das Zertifikat noch gültig?
- Kettengültigkeit - Falls angegeben: Ist die Zwischenzertifikatskette gültiges PEM?
- SAN-Vergleich - Wenn ein bestehendes Zertifikat ersetzt wird, vergleicht smoxy die Subject Alternative Names
SAN-Abweichungswarnung
Wenn sich die SANs im neuen Zertifikat vom aktuellen Zertifikat unterscheiden, zeigt smoxy an:
- Welche Domains im neuen Zertifikat hinzugefügt wurden
- Welche Domains im Vergleich zum aktuellen Zertifikat entfernt wurden
Bei abweichenden SANs ist eine Bestätigung des Uploads erforderlich. Das verhindert ein versehentliches Entfernen der Domain-Abdeckung.
Verantwortung für die Erneuerung
smoxy erneuert selbst verwaltete Zertifikate nicht automatisch. Der Nutzer ist vollständig verantwortlich für:
- Überwachung des Zertifikatsablaufs
- Beschaffung eines erneuerten Zertifikats von der CA
- Upload des neuen Zertifikats, bevor das aktuelle abläuft
smoxy zeigt das Ablaufdatum des Zertifikats auf dessen Detailseite an, was die Planung der Erneuerung unterstützt.


INFO
Tipp: Bei zu großem Verwaltungsaufwand für die Zertifikate ist ein Wechsel zu den automatisch verwalteten Zertifikaten von smoxy zu erwägen. Ein Wechsel ist jederzeit möglich.
Wechsel zwischen Zertifikatstypen
Von selbst verwaltet zu automatisch verwaltet
Ein Wechsel von einem selbst verwalteten Zertifikat zu einem automatisch verwalteten Let's Encrypt-Zertifikat ist möglich:
- Sicherstellen, dass die
_acme-challengeCNAME-Einträge korrekt konfiguriert sind - Das Zertifikat auf der Seite SSL-Zertifikate öffnen
- Zu Auto-Managed wechseln wählen
smoxy startet den Generierungsprozess. Das selbst verwaltete Zertifikat bleibt aktiv, bis das neue Zertifikat bereit ist.
Von automatisch verwaltet zu selbst verwaltet
- Das eigene Zertifikat wie oben beschrieben hochladen
- Das automatisch verwaltete Zertifikat wird archiviert
- Die automatische Erneuerung wird für diese Domain deaktiviert
INFO
Hinweis: Das vorherige Zertifikat wird immer archiviert, nicht gelöscht. Das bietet einen Audit-Trail für Zertifikatsänderungen.
Häufige Fehler
| Fehler | Ursache | Lösung |
|---|---|---|
| Invalid CRT file | Zertifikat kann nicht geparst werden | Sicherstellen, dass das Zertifikat PEM-kodiert ist |
| CRT and KEY file do not match | Private Key passt nicht zum Zertifikat | Prüfen, ob der richtige Key für dieses Zertifikat verwendet wird |
| The CRT file has expired | Gültigkeitszeitraum des Zertifikats ist abgelaufen | Ein neues Zertifikat von der CA beschaffen |
| Certificate does not contain this domain | Keiner der SANs passt zur Domain | Sicherstellen, dass das Zertifikat die Domain oder deren Wildcard abdeckt |
| Invalid chain | Die Zwischenzertifikatskette fehlt oder ist kein gültiges PEM | Eine gültige Zwischenzertifikatskette im Feld Chain-PEM (optional) angeben |
