Skip to content

Selbst verwaltete SSL-Zertifikate

Während smoxy SSL-Zertifikate automatisch über Let's Encrypt generiert und erneuert, kann es Szenarien geben, in denen eigene Zertifikate verwendet werden müssen. Diese Anleitung behandelt alles rund um den Upload und die Verwaltung selbst verwalteter SSL-Zertifikate.

Selbstverwaltete SSL-Zertifikate hochladen und verwalten.Selbstverwaltete SSL-Zertifikate hochladen und verwalten.
Selbstverwaltete SSL-Zertifikate hochladen und verwalten.

Wann selbst verwaltete Zertifikate sinnvoll sind

Selbst verwaltete Zertifikate sind nützlich, wenn:

  • ein Extended Validation (EV) Zertifikat für Compliance- oder Vertrauenszwecke benötigt wird
  • Zertifikate von einer bestimmten Zertifizierungsstelle benötigt werden, die von der Organisation vorgeschrieben wird
  • Zertifikate mit spezifischen Attributen benötigt werden, die Let's Encrypt nicht bietet
  • in Umgebungen gearbeitet wird, in denen Let's Encrypt nicht zugelassen ist

Anforderungen

Das Zertifikat muss folgende Anforderungen erfüllen:

AnforderungDetails
FormatPEM-kodiert (Base64 ASCII, beginnt mit -----BEGIN CERTIFICATE-----)
Private KeyPEM-kodierter RSA- oder ECDSA-Schlüssel, muss zum Zertifikat passen
GültigkeitZertifikat darf nicht abgelaufen sein
Domain-AbdeckungZertifikat muss mindestens einen SAN enthalten, der zur Domain passt
KetteZwischenzertifikate für die vollständige Kettenvalidierung bereitstellen - im Dialog in das separate Feld Chain-PEM (optional) einfügen

Zertifikatsdatei-Format

Das Server-Zertifikat in das Feld Zertifikat-PEM und etwaige Zwischenzertifikate in das separate Feld Chain-PEM (optional) einfügen. Beide sind PEM-kodiert - ein oder mehrere Blöcke wie dieser:

-----BEGIN CERTIFICATE-----
(Server-Zertifikat)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
(Zwischenzertifikat - in das Feld Chain-PEM einfügen)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
(Root-Zertifikat - optional, normalerweise nicht erforderlich)
-----END CERTIFICATE-----

Private-Key-Format

-----BEGIN PRIVATE KEY-----
(Private Key)
-----END PRIVATE KEY-----

oder im RSA-Format:

-----BEGIN RSA PRIVATE KEY-----
(RSA Private Key)
-----END RSA PRIVATE KEY-----

Selbst verwaltetes Zertifikat hochladen

  1. In der smoxy-Seitenleiste SSL-Zertifikate öffnen
  2. Auf Neues Zertifikat klicken, um den Dialog Neues SSL-Zertifikat zu öffnen
  3. Als Typ die Option Benutzerdefiniert wählen
  4. Das Zertifikat-PEM einfügen oder hochladen (das Server-Zertifikat)
  5. Das Privater-Schlüssel-PEM einfügen oder hochladen (der passende private Schlüssel)
  6. Optional etwaige Zwischenzertifikate in das separate Feld Chain-PEM (optional) einfügen
  7. Auf Zertifikat erstellen klicken
Der Dialog „Neues SSL-Zertifikat“ mit Typ „Benutzerdefiniert“: Zertifikat, privaten Schlüssel und Chain einfügen oder hochladen.Der Dialog „Neues SSL-Zertifikat“ mit Typ „Benutzerdefiniert“: Zertifikat, privaten Schlüssel und Chain einfügen oder hochladen.
Der Dialog „Neues SSL-Zertifikat“ mit Typ „Benutzerdefiniert“: Zertifikat, privaten Schlüssel und Chain einfügen oder hochladen.

Was smoxy validiert

Beim Upload prüft smoxy:

  1. Zertifikatsgültigkeit - Ist das Zertifikat parsebar und im PEM-Format?
  2. Key-Übereinstimmung - Passt der Private Key zum Zertifikat?
  3. Ablaufdatum - Ist das Zertifikat noch gültig?
  4. Kettengültigkeit - Falls angegeben: Ist die Zwischenzertifikatskette gültiges PEM?
  5. SAN-Vergleich - Wenn ein bestehendes Zertifikat ersetzt wird, vergleicht smoxy die Subject Alternative Names

SAN-Abweichungswarnung

Wenn sich die SANs im neuen Zertifikat vom aktuellen Zertifikat unterscheiden, zeigt smoxy an:

  • Welche Domains im neuen Zertifikat hinzugefügt wurden
  • Welche Domains im Vergleich zum aktuellen Zertifikat entfernt wurden

Bei abweichenden SANs ist eine Bestätigung des Uploads erforderlich. Das verhindert ein versehentliches Entfernen der Domain-Abdeckung.


Verantwortung für die Erneuerung

smoxy erneuert selbst verwaltete Zertifikate nicht automatisch. Der Nutzer ist vollständig verantwortlich für:

  1. Überwachung des Zertifikatsablaufs
  2. Beschaffung eines erneuerten Zertifikats von der CA
  3. Upload des neuen Zertifikats, bevor das aktuelle abläuft

smoxy zeigt das Ablaufdatum des Zertifikats auf dessen Detailseite an, was die Planung der Erneuerung unterstützt.

Die Zertifikatsdetails: Domain, Typ, Status, Aussteller, Fingerprint und Ablaufdatum.Die Zertifikatsdetails: Domain, Typ, Status, Aussteller, Fingerprint und Ablaufdatum.
Die Zertifikatsdetails: Domain, Typ, Status, Aussteller, Fingerprint und Ablaufdatum.

INFO

Tipp: Bei zu großem Verwaltungsaufwand für die Zertifikate ist ein Wechsel zu den automatisch verwalteten Zertifikaten von smoxy zu erwägen. Ein Wechsel ist jederzeit möglich.


Wechsel zwischen Zertifikatstypen

Von selbst verwaltet zu automatisch verwaltet

Ein Wechsel von einem selbst verwalteten Zertifikat zu einem automatisch verwalteten Let's Encrypt-Zertifikat ist möglich:

  1. Sicherstellen, dass die _acme-challenge CNAME-Einträge korrekt konfiguriert sind
  2. Das Zertifikat auf der Seite SSL-Zertifikate öffnen
  3. Zu Auto-Managed wechseln wählen

smoxy startet den Generierungsprozess. Das selbst verwaltete Zertifikat bleibt aktiv, bis das neue Zertifikat bereit ist.

Von automatisch verwaltet zu selbst verwaltet

  1. Das eigene Zertifikat wie oben beschrieben hochladen
  2. Das automatisch verwaltete Zertifikat wird archiviert
  3. Die automatische Erneuerung wird für diese Domain deaktiviert

INFO

Hinweis: Das vorherige Zertifikat wird immer archiviert, nicht gelöscht. Das bietet einen Audit-Trail für Zertifikatsänderungen.


Häufige Fehler

FehlerUrsacheLösung
Invalid CRT fileZertifikat kann nicht geparst werdenSicherstellen, dass das Zertifikat PEM-kodiert ist
CRT and KEY file do not matchPrivate Key passt nicht zum ZertifikatPrüfen, ob der richtige Key für dieses Zertifikat verwendet wird
The CRT file has expiredGültigkeitszeitraum des Zertifikats ist abgelaufenEin neues Zertifikat von der CA beschaffen
Certificate does not contain this domainKeiner der SANs passt zur DomainSicherstellen, dass das Zertifikat die Domain oder deren Wildcard abdeckt
Invalid chainDie Zwischenzertifikatskette fehlt oder ist kein gültiges PEMEine gültige Zwischenzertifikatskette im Feld Chain-PEM (optional) angeben