Bestellen eines SSL-Zertifikats

1. Bestellung starten:

1. Navigieren Sie zum Tab "SSL-Zertifikate".
2. Klicken Sie auf „⊕ Neues SSL-Zertifikat“.
3. SSL-Zertifikate können entweder nach ‘Marke’ (CA) oder nach ‘Validierungs’-Typ angezeigt werden.
4. Wählen Sie das benötigte SSL aus und klicken Sie auf ‘In den Warenkorb’.

Hinweis: Für Hinweise zur Auswahl des Zertifikats und des geeigneten SSL-Validierungstyps lesen Sie bitte das Ende dieses Artikels oder kontaktieren Sie unseren Vertrieb. Wenn Sie noch kein Kunde sind, können Sie unser Kontaktformular nutzen.

2. Angabe der erforderlichen Daten:

  a) Zusätzliche erforderliche Daten:
Klicken Sie auf den Link „Zusätzliche erforderliche Daten“ unter der Spalte „Vollständig?“


 

  b) CSR (Certificate Signing Request):
Geben Sie den CSR in das bereitgestellte Feld ein und klicken Sie dann auf „CSR lesen“, um die Details zu überprüfen.

  
c) Genehmigungs-E-Mail:

Die Genehmigungs-E-Mail-Adresse sollte mit dem WHOIS-Eintrag der Domain für die Zertifikatserstellung übereinstimmen. Nach Auswertung eines CSR werden mögliche E-Mail-Adressen angezeigt. Wenn unser System automatisch eine E-Mail aus dem WHOIS der Domain abrufen kann, wird die WHOIS-Admin-E-Mail angezeigt.

Zur Vereinfachung können auch die folgenden vordefinierten Genehmigungs-E-Mail-Adressen verwendet werden:

• admin@...
• administrator@...
• hostmaster@...
• webmaster@...
• postmaster@...

d) Authentifizierungsmethoden:

Sie können eine der folgenden Optionen auswählen, wir empfehlen jedoch die DNS-Validierung. Wenn die mit Ihrer SSL-Bestellung verbundene Domain derzeit von uns verwaltet wird und BrandShelter DNS verwendet, werden wir die entsprechenden Hosteinträge automatisch erstellen, um den Prozess zu beschleunigen.

• E-Mail: Ein Genehmigungslink wird an die Genehmigungs-E-Mail gesendet (wird derzeit von den meisten Zertifizierungsstellen nicht mehr unterstützt)
• DNS (TXT-Eintrag) – bevorzugt: Für jeden Host sind spezifische TXT-Resource-Records erforderlich. Diese Einträge werden automatisch hinzugefügt, wenn die DNS-Zone von uns verwaltet wird (nur möglich, wenn die Domain auf unseren primären NS-Servern liegt, nicht möglich bei sekundärem DNS-Setup).
• Datei auf dem Webserver: Eine bestimmte Datei mit bestimmten Inhalten muss unter einem bestimmten Pfad auf Webservern abgelegt werden.

Hinweis: Authentifizierungsmethoden können je nach Zertifikat und/oder Zertifizierungsstelle variieren.

  e) Kontaktinformationen

• Inhaberkontakt: Um einen geeigneten "Inhaberkontakt" für das SSL-Zertifikat zu finden, geben Sie beliebige Daten des gewünschten Kontakts ein (siehe diese Hilfeseite zur Kontakterstellung)

Wichtig: 
Ein geeigneter Kontakt für ein SSL-Zertifikat ist ein Kontakt, der alle Pflichtfelder einschließlich der unten genannten zwei zusätzlichen Felder enthält:
- Anrede --> Herr / Frau
- Bundesland / Provinz --> bitte wählen Sie nicht "Sonstiges", das Feld muss mit der richtigen Information ausgefüllt werden

Wenn ein bestehender Kontakt keine Daten für die oben genannten beiden Felder enthält, steht er in der Kontaktliste nicht zur Auswahl.

Bitte beachten Sie auch, dass bestimmte Sonderzeichen wie ö und ß zu Problemen führen können. Es wird empfohlen, diese durch ihre "nicht-spezialisierten" Entsprechungen zu ersetzen (z. B. ö → o, ß → ss), um eine ordnungsgemäße Verarbeitung sicherzustellen.

Dieser Kontakt ist für alle Arten von Zertifikatsbestellungen erforderlich.

 

• Organisationskontakt und Organisationskontaktperson: Diese beiden Kontaktarten sind nur für OV-/EV-Zertifikate erforderlich.
   
  • "Organisationskontakt" (O-Handle-Typologie) sollte keinen Vornamen und Nachnamen angeben; lassen Sie die Felder leer (dadurch erhalten Sie eine "O-Handle"-Typologie, die im Allgemeinen bevorzugt wird, aber nicht zwingend ist; die "P-Handle"-Typologie kann ebenfalls geeignet sein). Es muss zwingend eine Organisation sowie eine gültige Postanschrift und eine Festnetztelefonnummer angegeben werden, die in einem offiziellen Verzeichnis (Gelbe Seiten, Kompass, etc.) überprüfbar ist.
  • "Organisationskontaktperson" (P-Handle-Typologie) muss dieselbe Organisation angeben wie im "Organisationskontakt" sowie den Nachnamen und Vornamen einer natürlichen Person, die dort arbeitet, mit deren Titel und Rolle.
    Zu beachten:
    - Generische Namen wie "Domain Manager" oder "Domain Manager" sind als Kontaktperson nicht zulässig
    - Die angegebene Telefonnummer muss eine direkte Leitung, Festnetz oder Mobilfunk sein.

-- Wichtig --
- Zulässige Zeichen: Alle Kontakte, die mit SSL-Zertifikaten verknüpft sind, dürfen keine Akzente, Umlaute oder Sonderzeichen enthalten.
- Anrede: Sie muss ausgewählt werden, wenn es sich um eine natürliche Person handelt.
- Bundesland: Es muss mit einem anerkannten Bundesland oder einer anerkannten Region definiert sein (die Option "Sonstiges" wird nicht akzeptiert)

  f) Weitere Felder:

Die weiteren Eingaben sind optional und intern für das Portal, zu Ihrer eigenen Verwaltung.

3. Speichern Sie Ihre Änderungen:

Klicken Sie abschließend auf "SSL-Zertifikatsbestellung aktualisieren", um das Formular zu validieren.

4. Bestellung abschließen:

• Wählen Sie das Zertifikat aus.

• Klicken Sie auf „Bestellung absenden. Fertig!

   

5. Überprüfung Ihrer Anfrage, Validierung und Zustellung Ihres Zertifikats:

Ihre Bestellung ist nun aufgegeben und Ihre Zertifikatsanfrage wird bei der ausgewählten Zertifizierungsstelle bearbeitet.

Sie erhalten Anweisungen direkt von den Zertifizierungsstellen, und Ihr Zertifikat wird Ihnen per E-Mail an die in Ihrem Kundenkonto angegebene Adresse zugestellt und/oder Sie können Ihr Zertifikat direkt über das BrandShelter Portal im Tab "SSL-Zertifikate" abrufen.

• Ihr Zertifikat wird im CRT-Format ausgestellt.
• Zwischenzertifikate werden gleichzeitig mit dem Zertifikat selbst versendet.
• Heruntergeladene Zertifikatsdateien haben die Dateinamenerweiterung ".txt", Sie können die Datei jedoch umbenennen und/oder die Erweiterung z. B. in .CRT, .PEM oder .CER ändern, ohne dass dies die Funktionalität beeinträchtigt.

Wichtig: Wir benennen die angehängten Zertifikatsdateien in der Zustell-E-Mail certificate-crt.txt und intermediate-pem.txt, um sicherzustellen, dass sie ordnungsgemäß empfangen werden und nicht als potenziell schädliche Dateien erkannt und blockiert werden. Daher verwenden wir nicht mehr .pem oder .crt als Dateierweiterungen, da viele Viren- und Malware-Schutzprogramme Anhänge mit solchen Erweiterungen entfernen. Wir setzen jedoch den MIME-Typ korrekt, jeweils auf application/x-x509-ca-cert und application/x-pem-file.

Das PEM-Format wird insbesondere auch zur Speicherung privater Schlüssel und Zertifikatsanfragen (CSR) verwendet:

• Ein privater Schlüssel im PEM-Format hat die Endung .key und den Header und Footer

-----BEGIN RSA PRIVATE KEY-----

-----END RSA PRIVATE KEY-----

• Ein PEM-CSR-Format hat die Endung .csr sowie einen Header und Footer

-----BEGIN CERTIFICATE REQUEST----- 

-----END CERTIFICATE REQUEST-----

Root-Zertifikate (ROOT) sind integraler Bestandteil jedes Webbrowsers und Betriebssystems und können öffentlich heruntergeladen werden. Root-Zertifikate sind daher nicht Teil unserer Lieferung.

• Unter Windows verwaltet der Zertifikat-Manager die vertrauenswürdigen Root-Zertifikate.
• Auf dem Mac befinden sich die Root-Zertifikate im Schlüsselbund.
• Unter Linux liegen sie unter /etc/ssl.

Zertifizierungsstellen stellen ihre Root- und Zwischenzertifikate auf ihren Webseiten zum Download bereit.

6. Weitere Informationen und nützliche Tools

Es gibt drei Validierungsarten:

• Domain Validation (DV) überprüft, ob der Antragsteller administrative Rechte an der im Zertifikat aufgeführten Domain besitzt (entspricht einem Standardzertifikat).
• Organization Validation (OV) beinhaltet die Authentifizierung der Identität des Unternehmens, die Überprüfung des Domainnamens und die Überprüfung, dass der Organisationskontakt, der das Zertifikat im Namen des Unternehmens oder der Organisation beantragt, Mitarbeiter dieser Organisation ist.
• Extended Validation (EV) ist die höchste Authentifizierungsstufe und erfordert eine Anerkennung oder eine vom Unternehmen unterzeichnete Vereinbarung.

Zertifikatslaufzeit:

Weitere Unterstützung und Best Practices:

Was ist ein SSL-Zertifikat?
Warum benötige ich ein SSL-Zertifikat?
Best Practices für das Management von SSL-Zertifikaten

CSR-Generierungs- & Decoder-Tools:

• CSR-Generator von SSL Dragon
• CSR-Generator – Open Source (MIT-Lizenz)
• Coder's Tool – CSR-Generator
• CSR- und Zertifikats-Decoder

Konvertieren in .PFX

Manchmal möchten Sie ein selbstinstallierbares Paket des Zertifikats (.PFX) haben, dann müssen Sie den privaten Schlüssel besitzen, sonst ist es nicht möglich.

So geht’s:

• Installieren Sie OpenSSL (https://slproweb.com/products/Win32OpenSSL.html, auch verfügbar für MacOS, https://www.slingacademy.com/article/how-to-install-upgrade-openssl-with-homebrew/)
• Rufen Sie Ihre .pem-Datei ab, die das Zertifikat (.crt) und die Intermediate-Chain enthält. Beachten Sie, dass Sie diese Datei ggf. selbst im .pem-Format erstellen müssen; dazu müssen Sie:
   
  • die .crt-Datei (1) mit einem Texteditor (z. B. Notepad) öffnen
  • Die Datei mit der Intermediate-Chain (2) mit demselben Editor öffnen
  • Ein leeres Dokument (3) mit demselben Editor öffnen
  • In (3) den Inhalt von (1) und dann (2) einfügen (hintereinander, mit einfachem Zeilenumbruch)
  • Das Dokument (3) speichern, z. B. als "IhrZertifikatname.pem"
• Dateien im Benutzerordner Ihres Computers ablegen (Beispiel: C:\Users\JohnDoe):
  • Das zuvor erstellte Zertifikat im .pem-Format ("IhrZertifikatname.pem")
  • und den privaten Schlüssel.
• In Ihrem Texteditor (z. B. Notepad) ein starkes Passwort vorbereiten (mindestens 15 Zeichen, Zahlen und Buchstaben gemischt)
• Starten Sie OpenSSL (für Windows: Klicken Sie unten links auf das Windows-Logo, suchen Sie den OpenSSL-Ordner und starten Sie "Win64 OpenSSL Command Prompt")

• Geben Sie folgenden Befehl ein:

  openssl pkcs12 -export -out IhrDateiname.pfx -inkey IhrPrivatkeyname.key -in IhrZertifikatname.pem

• Nach dem Starten des Befehls werden Sie aufgefordert, das oben vorbereitete Passwort einzugeben: zweimal eingeben (Hinweis: Der Cursor reagiert scheinbar nicht, aber das Passwort wird korrekt übernommen)
  • Tipp: Es ist einfacher, Ihr Passwort in Notepad zu erstellen, zu kopieren und in das Openssl-Fenster einzufügen
• Sobald das Passwort zweimal hintereinander bestätigt wurde, wird die .PFX-Datei erstellt (bewahren Sie dieses Passwort auf, damit Sie Ihre .PFX später verwenden können).
• Holen Sie Ihre .PFX im gleichen Ordner ab, in dem Sie das Zertifikat und den privaten Schlüssel abgelegt haben
• Fertig!

Weitere nützliche Links:

Erstellen Sie ein pkcs12 (.pfx oder .p12) aus OpenSSL-Dateien (.pem, .cer, .crt...) mit TBS: https://www.tbs-certificates.co.uk/FAQ/en/288.html

• SECTIGO SSL Converter – Konvertieren Sie das Format eines beliebigen SSL-Zertifikats: https://sectigostore.com/ssl-tools/ssl-converter.php
• Konvertieren Sie Ihr P7B-Zertifikat in PFX: https://www.veritech.net/convert-p7b-certificate-pfx/
• Sectigo Validierung >> SSL-Validierungs-FAQs
• Sectigo Validierung >> Organisation validierte (OV) Zertifikate
• Sectigos Organisation validiertes (OV) SSL-Zertifikat erklärt
• Sectigo Validierung >> Extended Validation (EV) Zertifikate
• Sectigos Extended Validated (EV) SSL-Zertifikat erklärt
• Sectigo WHOIS Email DCV Abschaffung