Selbst verwaltete SSL-Zertifikate

Während smoxy SSL-Zertifikate automatisch über Let's Encrypt generiert und erneuert, kann es Szenarien geben, in denen du eigene Zertifikate verwenden musst. Diese Anleitung behandelt alles rund um den Upload und die Verwaltung selbst verwalteter SSL-Zertifikate.

Wann selbst verwaltete Zertifikate sinnvoll sind

Selbst verwaltete Zertifikate sind nützlich, wenn du:

Ein Extended Validation (EV) Zertifikat für Compliance- oder Vertrauenszwecke benötigst
Zertifikate von einer bestimmten Zertifizierungsstelle benötigst, die von deiner Organisation vorgeschrieben wird
Zertifikate mit spezifischen Attributen benötigst, die Let's Encrypt nicht bietet
In Umgebungen arbeitest, in denen Let's Encrypt nicht zugelassen ist

Anforderungen

Dein Zertifikat muss folgende Anforderungen erfüllen:

Anforderung

Details

Format

PEM-kodiert (Base64 ASCII, beginnt mit -----BEGIN CERTIFICATE-----)

Private Key

PEM-kodierter RSA- oder ECDSA-Schlüssel, muss zum Zertifikat passen

Gültigkeit

Zertifikat darf nicht abgelaufen sein

Domain-Abdeckung

Zertifikat muss mindestens einen SAN enthalten, der zu deiner Domain passt

Kette

Zwischenzertifikate in der Zertifikatsdatei für vollständige Kettenvalidierung einschließen

Zertifikatsdatei-Format

Deine Zertifikatsdatei sollte die vollständige Kette in dieser Reihenfolge enthalten:

-----BEGIN CERTIFICATE-----
(Dein Server-Zertifikat)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
(Zwischenzertifikat)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
(Root-Zertifikat — optional, normalerweise nicht erforderlich)
-----END CERTIFICATE-----

Private-Key-Format

-----BEGIN PRIVATE KEY-----
(Dein Private Key)
-----END PRIVATE KEY-----

oder im RSA-Format:

-----BEGIN RSA PRIVATE KEY-----
(Dein RSA Private Key)
-----END RSA PRIVATE KEY-----

Selbst verwaltetes Zertifikat hochladen

Gehe zu Domains & DNS in der smoxy-Seitenleiste
Klicke auf die Domain, die du konfigurieren möchtest
Navigiere zum SSL-Tab
Klicke auf Eigenes SSL-Zertifikat hochladen
Füge dein Zertifikat ein oder lade es hoch (einschließlich Zwischenzertifikatskette)
Füge deinen Private Key ein oder lade ihn hoch
Klicke auf Speichern

Was smoxy validiert

Beim Upload prüft smoxy:

Zertifikatsgültigkeit — Ist das Zertifikat parsebar und im PEM-Format?
Key-Übereinstimmung — Passt der Private Key zum Zertifikat?
Ablaufdatum — Ist das Zertifikat noch gültig?
SAN-Vergleich — Wenn ein bestehendes Zertifikat ersetzt wird, vergleicht smoxy die Subject Alternative Names

SAN-Abweichungswarnung

Wenn sich die SANs im neuen Zertifikat vom aktuellen Zertifikat unterscheiden, zeigt smoxy an:

Welche Domains im neuen Zertifikat hinzugefügt wurden
Welche Domains im Vergleich zum aktuellen Zertifikat entfernt wurden

Du musst den Upload bestätigen, wenn die SANs abweichen. Dies verhindert ein versehentliches Entfernen der Domain-Abdeckung.

Verantwortung für die Erneuerung

smoxy erneuert selbst verwaltete Zertifikate nicht automatisch. Du bist vollständig verantwortlich für:

Überwachung des Zertifikatsablaufs
Beschaffung eines erneuerten Zertifikats von deiner CA
Upload des neuen Zertifikats, bevor das aktuelle abläuft

smoxy zeigt das Ablaufdatum des Zertifikats im SSL-Tab an, um dir bei der Planung der Erneuerung zu helfen.

Tipp: Erwäge den Wechsel zu den automatisch verwalteten Zertifikaten von smoxy, wenn der Verwaltungsaufwand für die Zertifikate zu groß wird. Du kannst jederzeit wechseln.

Wechsel zwischen Zertifikatstypen

Von selbst verwaltet zu automatisch verwaltet

Du kannst von einem selbst verwalteten Zertifikat zu einem automatisch verwalteten Let's Encrypt-Zertifikat wechseln:

Stelle sicher, dass deine _acme-challenge CNAME-Einträge korrekt konfiguriert sind
Navigiere zum SSL-Tab
Wähle die Option, ein neues Zertifikat zu generieren

smoxy startet den Generierungsprozess. Dein selbst verwaltetes Zertifikat bleibt aktiv, bis das neue Zertifikat bereit ist.

Von automatisch verwaltet zu selbst verwaltet

Lade dein Zertifikat wie oben beschrieben hoch
Das automatisch verwaltete Zertifikat wird archiviert
Die automatische Erneuerung wird für diese Domain deaktiviert

Hinweis: Das vorherige Zertifikat wird immer archiviert, nicht gelöscht. Dies bietet einen Audit-Trail für Zertifikatsänderungen.

Häufige Fehler

Fehler

Ursache

Lösung

Invalid CRT file

Zertifikat kann nicht geparst werden

Stelle sicher, dass die Datei im PEM-Format ist und die vollständige Kette enthält

CRT and KEY file do not match

Private Key passt nicht zum Zertifikat

Überprüfe, ob du den richtigen Key für dieses Zertifikat verwendest

The CRT file has expired

Gültigkeitszeitraum des Zertifikats ist abgelaufen

Beschaffe ein neues Zertifikat von deiner CA

Certificate does not contain this domain

Keiner der SANs passt zu deiner Domain

Stelle sicher, dass das Zertifikat deine Domain oder deren Wildcard abdeckt

Last updated 4 days ago

Was this helpful?

hashtagWann selbst verwaltete Zertifikate sinnvoll sind

hashtagAnforderungen

hashtagZertifikatsdatei-Format

hashtagPrivate-Key-Format

hashtagSelbst verwaltetes Zertifikat hochladen

hashtagWas smoxy validiert

hashtagSAN-Abweichungswarnung

hashtagVerantwortung für die Erneuerung

hashtagWechsel zwischen Zertifikatstypen

hashtagVon selbst verwaltet zu automatisch verwaltet

hashtagVon automatisch verwaltet zu selbst verwaltet

hashtagHäufige Fehler