# Selbst verwaltete SSL-Zertifikate Während smoxy SSL-Zertifikate automatisch über Let's Encrypt generiert und erneuert, kann es Szenarien geben, in denen du eigene Zertifikate verwenden musst. Diese Anleitung behandelt alles rund um den Upload und die Verwaltung selbst verwalteter SSL-Zertifikate. *** ### Wann selbst verwaltete Zertifikate sinnvoll sind Selbst verwaltete Zertifikate sind nützlich, wenn du: * Ein **Extended Validation (EV)** Zertifikat für Compliance- oder Vertrauenszwecke benötigst * Zertifikate von einer bestimmten Zertifizierungsstelle benötigst, die von deiner Organisation vorgeschrieben wird * Zertifikate mit spezifischen Attributen benötigst, die Let's Encrypt nicht bietet * In Umgebungen arbeitest, in denen Let's Encrypt nicht zugelassen ist *** ### Anforderungen Dein Zertifikat muss folgende Anforderungen erfüllen: | Anforderung | Details | | -------------------- | ------------------------------------------------------------------------------------------- | | **Format** | PEM-kodiert (Base64 ASCII, beginnt mit `-----BEGIN CERTIFICATE-----`) | | **Private Key** | PEM-kodierter RSA- oder ECDSA-Schlüssel, muss zum Zertifikat passen | | **Gültigkeit** | Zertifikat darf nicht abgelaufen sein | | **Domain-Abdeckung** | Zertifikat muss mindestens einen SAN enthalten, der zu deiner Domain passt | | **Kette** | Zwischenzertifikate in der Zertifikatsdatei für vollständige Kettenvalidierung einschließen | #### Zertifikatsdatei-Format Deine Zertifikatsdatei sollte die vollständige Kette in dieser Reihenfolge enthalten: ``` -----BEGIN CERTIFICATE----- (Dein Server-Zertifikat) -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- (Zwischenzertifikat) -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- (Root-Zertifikat — optional, normalerweise nicht erforderlich) -----END CERTIFICATE----- ``` #### Private-Key-Format ``` -----BEGIN PRIVATE KEY----- (Dein Private Key) -----END PRIVATE KEY----- ``` oder im RSA-Format: ``` -----BEGIN RSA PRIVATE KEY----- (Dein RSA Private Key) -----END RSA PRIVATE KEY----- ``` *** ### Selbst verwaltetes Zertifikat hochladen 1. Gehe zu **Domains & DNS** in der smoxy-Seitenleiste 2. Klicke auf die Domain, die du konfigurieren möchtest 3. Navigiere zum **SSL**-Tab 4. Klicke auf **Eigenes SSL-Zertifikat hochladen** 5. Füge dein **Zertifikat** ein oder lade es hoch (einschließlich Zwischenzertifikatskette) 6. Füge deinen **Private Key** ein oder lade ihn hoch 7. Klicke auf **Speichern** #### Was smoxy validiert Beim Upload prüft smoxy: 1. **Zertifikatsgültigkeit** — Ist das Zertifikat parsebar und im PEM-Format? 2. **Key-Übereinstimmung** — Passt der Private Key zum Zertifikat? 3. **Ablaufdatum** — Ist das Zertifikat noch gültig? 4. **SAN-Vergleich** — Wenn ein bestehendes Zertifikat ersetzt wird, vergleicht smoxy die Subject Alternative Names #### SAN-Abweichungswarnung Wenn sich die SANs im neuen Zertifikat vom aktuellen Zertifikat unterscheiden, zeigt smoxy an: * Welche Domains im neuen Zertifikat **hinzugefügt** wurden * Welche Domains im Vergleich zum aktuellen Zertifikat **entfernt** wurden Du musst den Upload bestätigen, wenn die SANs abweichen. Dies verhindert ein versehentliches Entfernen der Domain-Abdeckung. *** ### Verantwortung für die Erneuerung **smoxy erneuert selbst verwaltete Zertifikate nicht automatisch.** Du bist vollständig verantwortlich für: 1. Überwachung des Zertifikatsablaufs 2. Beschaffung eines erneuerten Zertifikats von deiner CA 3. Upload des neuen Zertifikats, bevor das aktuelle abläuft smoxy zeigt das Ablaufdatum des Zertifikats im SSL-Tab an, um dir bei der Planung der Erneuerung zu helfen. {% hint style="info" %} **Tipp:** Erwäge den Wechsel zu den automatisch verwalteten Zertifikaten von smoxy, wenn der Verwaltungsaufwand für die Zertifikate zu groß wird. Du kannst jederzeit wechseln. {% endhint %} *** ### Wechsel zwischen Zertifikatstypen #### Von selbst verwaltet zu automatisch verwaltet Du kannst von einem selbst verwalteten Zertifikat zu einem automatisch verwalteten Let's Encrypt-Zertifikat wechseln: 1. Stelle sicher, dass deine `_acme-challenge` CNAME-Einträge korrekt konfiguriert sind 2. Navigiere zum SSL-Tab 3. Wähle die Option, ein neues Zertifikat zu generieren smoxy startet den Generierungsprozess. Dein selbst verwaltetes Zertifikat bleibt aktiv, bis das neue Zertifikat bereit ist. #### Von automatisch verwaltet zu selbst verwaltet 1. Lade dein Zertifikat wie oben beschrieben hoch 2. Das automatisch verwaltete Zertifikat wird archiviert 3. Die automatische Erneuerung wird für diese Domain deaktiviert {% hint style="info" %} **Hinweis:** Das vorherige Zertifikat wird immer archiviert, nicht gelöscht. Dies bietet einen Audit-Trail für Zertifikatsänderungen. {% endhint %} *** ### Häufige Fehler | Fehler | Ursache | Lösung | | -------------------------------------------- | -------------------------------------------------- | ---------------------------------------------------------------------------------- | | **Invalid CRT file** | Zertifikat kann nicht geparst werden | Stelle sicher, dass die Datei im PEM-Format ist und die vollständige Kette enthält | | **CRT and KEY file do not match** | Private Key passt nicht zum Zertifikat | Überprüfe, ob du den richtigen Key für dieses Zertifikat verwendest | | **The CRT file has expired** | Gültigkeitszeitraum des Zertifikats ist abgelaufen | Beschaffe ein neues Zertifikat von deiner CA | | **Certificate does not contain this domain** | Keiner der SANs passt zu deiner Domain | Stelle sicher, dass das Zertifikat deine Domain oder deren Wildcard abdeckt |