So bestellst du ein Multidomain TLS/SSL-Zertifikat. Beispielzertifikat: GeoTrust - True BusinessID

Inhaltsverzeichnis dieser Seite

Vor der Bestellung

  • Den CSR Key auf dem Server erstellen, auf dem das Zertifikat später zum Einsatz kommt.
  • TLS/SSL-Kontakte anlegen, wenn die gewünschten Kontakte nicht im System vorhanden sind.
    • Administrativer Kontakt = Antragsteller (identisch mit den Angaben im CSR Key). Der Kontakt entspricht dem Unternehmen, das das Zertifikat verwenden wird.
    • Technischer Kontakt = Reseller/Provider
  • Prüfen, ob ein MX-Record angelegt ist, damit die Bestätigungs-E-Mail der CA versendet werden kann. (Nur für die Authentifizierungs-Methode EMAIL)

Beachte, dass bei Multidomain-Zertifikaten der Domain-Inhaber bei allen Domains derselbe sein muss.

Zertifikate im SSL Manager bestellen

  • Im Menü in der Gruppe TLS/SSL-Zertifikate auf Zertifikat bestellen klicken.
  • Im Abschnitt Produktauswahl:
    • Bei Produkt das gewünschte Zertifikat auswählen.
    • Bei Zertifikat-Laufzeit den gewünschten Gültigkeitszeitraum auswählen.
    • Unter Server-Software das Betriebssystem des Webservers auswählen, für den das Zertifikat ausgestellt wird.
      Alle Windows Server entsprechen automatisch dem Codierungsformat PKCS7, alle anderen PKCS12.
    • Bei der SHA-Fingerprint-Version wählen zwischen:
      • SHA-256 Cert + Root: Der aktuelle Standard. Liefert eine Zertifikats-Kette im SHA2-Algorithmus.
      • SHA-256 Cert + SHA-1 Root: Liefert ein SHA2-Zertifikat mit dem älteren SHA1-Root-Zertifikat der CA.

Zertifikate werden nur noch im SHA-256 Algorithmus ausgestellt. Die Auswahl hier ermöglicht es Dir, eine Ausstellung des Root-Zertifikats zwischen SHA-1 und SHA-2 zu wählen. Der aktuelle Standard ist die komplette SHA-2-Kette (SHA-256 Cert + Root). Das Root-Zertifikat in SHA-1 wird nur bei alten Geräten vor 01/08/2013 empfohlen.

    • „Certificate Transparency“ ist standardmäßig aktiviert.

Was ist "Certificate Transparency"?

Mit  dem Verfahren "Certificate Transparency" sollen irrtümlich oder böswillig ausgestellte Zertifikate für eine Domain besser erkannt werden. Die durch eine Zertifizierungsstelle ("Certificate Authority") ausgestellten digitalen Zertifikate für verschlüsselte Internetverbindungen werden geprüft und standardmäßig  in einem revisionssicheren Logbuch protokolliert.

  • Im Abschnitt CSR Key den vorab erstellten CSR Key einfügen.
    Beachte, dass du beim Kopieren des CSR Keys die erste Zeile "-----BEGIN CERTIFICATE REQUEST-----" und die letzte Zeile "-----END CERTIFICATE REQUEST-----" einschließlich der Linien markierst.

Du kannst den CSR Key mit Hilfe eines Tools von DigiCert vorher auf Korrektheit überprüfen. https://ssltools.digicert.com/checker/views/csrCheck.jsp
  • Die Schaltfläche CSR Key prüfen anklicken.

  • Im Abschnitt Zertifikat-Details wird im Feld Name der Common Name (Zertifikats-Name) aus dem CSR Key angezeigt.

  • Bei Zusätzliche Domains die Domains eingeben, die in das Multidomain-Zertifikat aufgenommen werden sollen.

Beachte, dass du bei der Erstbestellung eines Multidomain-Zertifikates zwingend mindestens eine weitere Domain angeben musst. Andernfalls ist das Zertifikat nicht mehr erweiterbar und wird nur als Single-Domain-Zertifikat bestellt.

  • Im Abschnitt Kontakt die Kontakte auswählen:
    • Administrativer Kontakt = Antragsteller (muss identisch mit den Angaben im CSR Key sein)
    • Technischer Kontakt = Reseller/Provider


Du kannst hier mit Klick auf das Symbol auch neue Kontakte anlegen. Ggf. ist der Kontakt aber bereits vorgegeben und kann von dir nicht geändert werden.

  • Im Abschnitt Authentifizierungs-Einstellungen die gewünschte Authentifizierungs-Methode auswählen.

Beachte die Anweisungen, die nach der Auswahl der Authentifizierungs-Methode im gelben Kasten angezeigt werden.

    • E-Mail: An die hier ausgewählte Bestätigungs-E-Mail-Adresse wird eine E-Mail gesendet.
      Im Feld Zustimmungs-E-Mail die E-Mail-Adresse auswählen.


Den Bestätigungslink in der E-Mail anklicken. Damit ist die Domain-Inhaberschaft bestätigt. (MX-Record muss dafür angelegt sein).

    • File: Mit den vom System erzeugten Daten eine Datei anlegen und auf dem Webserver hinterlegen.

Beispiel:
FILE Name: example.com/.well-known/pki-validation/fileauth.txt
Inhalt der Datei: 2018112007555401i23owspz4su5ry9q31j6rlhw89e4wwd2tz8jt9a0rpl36u1n

    • DNS: Den vom System erzeugten DNS-Record in der Zone eintragen. Diese Methode wird z. B. standardmäßig für das kostenfreie Basic SSL-Zertifikat verwendet.

  • Bei DSGVO den Hinweis bestätigen.
  • Zum Starten des Bestellvorgangs auf Übernehmen klicken.

Auftrag nachverfolgen

In der Auftragsverwaltung kannst du den Auftrag nachverfolgen.