So bestellst du ein TLS/SSL-Zertifikat. Beispielzertifikat: GeoTrust - True BusinessID

Inhaltsverzeichnis dieser Seite

Vor der Bestellung

  1. Den CSR Key auf dem Server erstellen, auf dem das Zertifikat später zum Einsatz kommt.
  2. TLS/SSL-Kontakte anlegen, wenn die gewünschten Kontakte nicht im System vorhanden sind.
    • Administrativer Kontakt = Antragsteller (identisch mit den Angaben im CSR Key). Der Kontakt entspricht dem Unternehmen, das das Zertifikat verwenden wird.
    • Technischer Kontakt = Reseller/Provider
  3. Prüfen, ob ein MX-Record angelegt ist, damit die Bestätigungs-E-Mail der CA versendet werden kann. (Nur für die Authentifizierungsmethode E-Mail)

Zertifikate bestellen

Die Bestellung im SSL Manager starten

  • Im Menü in der Gruppe TLS/SSL-Zertifikate auf Zertifikat bestellen klicken.
  • Im Abschnitt Produktauswahl:


    • Bei Produkt das gewünschte Zertifikat auswählen.
    • Bei Zertifikat-Laufzeit den gewünschten Gültigkeitszeitraum auswählen.
    • Unter Server-Software das Betriebssystem des Webservers auswählen, für den das Zertifikat ausgestellt wird.
      Alle Windows-Server entsprechen automatisch dem Codierungsformat PKCS7, alle anderen PKCS12.
    • Bei der SHA-Fingerprint-Version wählen zwischen:
      • SHA-256 Cert + Root: Der aktuelle Standard. Liefert eine Zertifikats-Kette im SHA2-Algorithmus.
      • SHA-256 Cert + SHA-1 Root: Liefert ein SHA2-Zertifikat mit dem älteren SHA1-Root-Zertifikat der CA.

Zertifikate werden nur noch im SHA-256-Algorithmus ausgestellt. Die Auswahl hier ermöglicht es dir eine Ausstellung des Root-Zertifikats zwischen SHA-1 und SHA-2 zu wählen. Der aktuelle Standard ist die komplette SHA-2-Kette (SHA-256 Cert + Root). Das Root-Zertifikat in SHA-1 wird nur bei alten Geräten vor 01/08/2013 empfohlen

    • „Certificate Transparency“ ist standardmäßig aktiviert.

Was ist "Certificate Transparency"?

Mit  dem Verfahren "Certificate Transparency" sollen irrtümlich oder böswillig ausgestellte Zertifikate für eine Domain besser erkannt werden. Die durch eine Zertifizierungsstelle ("Certificate Authority") ausgestellten digitalen Zertifikate für verschlüsselte Internetverbindungen werden geprüft und standardmäßig  in einem revisionssicheren Logbuch protokolliert.

  • Im Abschnitt CSR Key
    • Im Feld CSR Key den vorab erstellten CSR Key einfügen.
      Beachte, dass du die erste Zeile "-----BEGIN CERTIFICATE REQUEST-----" und die letzte Zeile "-----END CERTIFICATE REQUEST-----" einschließlich der Linien kopierst.

Du kannst den CSR Key mit Hilfe eines Tools von DigiCert vorher auf Korrektheit überprüfen. https://ssltools.digicert.com/checker/views/csrCheck.jsp
    • Die Schaltfläche CSR Key prüfen anklicken.
  • Im Abschnitt Zertifikat-Details
    • Im Feld Name der Common Name (Zertifikatsname) aus dem CSR Key angezeigt. Das anschließende Formularfeld "Weitere Domains angeben" benötigst du nur für die Bestellung von Multidomain-Zertifikaten.

  • Im Abschnitt Kontakt

 

    • Kontakte auswählen:
      • Administrativer Kontakt = Antragsteller (muss identisch mit den Angaben im CSR Key sein)
      • Technischer Kontakt = Reseller/Provider

Du kannst hier mit Klick auf das Symbol auch neue Kontakte anlegen. Ggf. ist der Kontakt aber bereits vorgegeben und kann von dir nicht geändert werden.

  • Im Abschnitt Authentifizierungs-Einstellungen


    • bei Authentifizierungs-Methode die gewünschte Methode auswählen.

Beachte die Anweisungen, die nach der Auswahl der Authentifizierungs-Methode im gelben Kasten angezeigt werden.

    • Methode EMAIL
      An die hier ausgewählte Bestätigungs-E-Mail-Adresse wird eine E-Mail gesendet.
      Im Feld Zustimmungs-E-Mail die E-Mail-Adresse auswählen.
      Den Bestätigungslink in der E-Mail anklicken. Damit ist die Domain-Inhaberschaft bestätigt. (MX-Record muss dafür angelegt sein).

Sorge dafür, dass für die ausgewählte E-Mail-Adresse kein Greylisting aktiviert ist, um Probleme bei der Zustellung der Bestätigungs-E-Mail zu vermeiden.

    • Methode FILE: Mit den vom System erzeugten Daten eine Datei anlegen und auf dem Webserver hinterlegen.
      Beispiel:
      FILE Name: example.com/.well-known/pki-validation/fileauth.txt
      Inhalt der Datei: 2018112007555401i23owspz4su5ry9q31j6rlhw89e4wwd2tz8jt9a0rpl36u1n

    • Methode DNS: Den vom System erzeugten DNS-Record in der Zone eintragen.
      Diese Methode wird z. B. standardmäßig für das kostenfreie BasicSSL-Zertifikat verwendet.

    • Bei DSGVO den Hinweis bestätigen.
    • Zum Starten des Bestellvorgangs auf Übernehmen klicken.

Aufträge nachverfolgen

In der Auftragsverwaltung kannst du den Auftrag nachverfolgen.