Zertifikatreihenfolge

Um als gültiges Zertifikat anerkannt zu werden, muss der Webserver nicht nur dein eigenes Zertifikat senden, sondern auch die gesamte Zertifikatskette. Zwar gibt es nur eine gültige Reihenfolge der Zertifikate in der Kette, trotzdem kann es unterscheidet bei Reihenfolge der Installation geben, da diese von Server zu Server unterschiedlich sein kann. Sowohl unsere Downloadseite und in der Zertifikatsemail findest Du die richtige Reihenfolge der Zwischen- und Stammzertifikate. In den meisten Fällen ist es nicht notwendig das Stammzertifikat vom CA zu installieren, da es in der Regel bereits installiert ist und auch von der Klient-Seite vertraut wird.

Apache bis 2.4.8

 SSLCertificateFile /pfad/zum/eigenen-zertifikat.crt
 SSLCertificateChainFile /pfad/zum/zwischenzertifikatbündle.crt

Die Zwischenzertifikatbündledatei kann mit einem Texteditor erstellt werden, wobei es 1 oder 2 Zwischenzertifikate beinhalten kann:

 -----BEGIN CERTIFICATE-----
 Code 1. Zwischenzertifikat
 -----END CERTIFICATE-----
 -----BEGIN CERTIFICATE-----
 Code 2. Zwischenzertifikat (falls notwendig)
 -----END CERTIFICATE-----

Apache ab 2.4.8 und Nginx

Nginx und Apache 2.4.8 oder höher, verwenden das folgende Format für das SSLCertificateFile oder ssl_certificate;

 -----BEGIN CERTIFICATE-----
 Cde deines SSL Zertifikates
 -----END CERTIFICATE-----
 -----BEGIN CERTIFICATE-----
 Code 2. Zwischenzertifikat (falls notwendig)
 -----END CERTIFICATE-----
 -----BEGIN CERTIFICATE-----
 Code 1. Zwischenzertifikat
 -----END CERTIFICATE-----

Diese Datei wird mit dem Befehl cat generiert:

cat www_sslzertifikat_de.crt 2_zwischenzertifikat.crt 1_zwischenzertifikat.crt > zwischenzertifikatbündle.crt

Andere Webserver

Für andere Webserver, z.B. Router oder VPN-Appliances, ist es oft notwendig das man beim Stammzertifikat anfängt und dann jeweils die Zwischenzertifikate importiert, bis man schließlich das eigenes Zertifikat importiert. Dies ermöglicht es, das die Zertifikatskette beim importieren der Zertifikate validiert werden kann.

Windows

Ein Windowsserver kümmert sorgt selbst für die korrekte Reihenfolge, vorausgesetzt, dass die entsprechenden Zwischenzertifikate installiert sind. Dies geschieht automatisch, wenn Du die P7B Datei bei der Installation verwendest, sonst kann man aber auch über den mitgelieferten Rootordner aus der ZIP-Datei die Zertifikate installieren. Unsere Anleitung beschreibt diese Installation.

SSLCheck

SSLCheck überprüft, ob Ihr Zertifikat ordnungsgemäß auf Ihrem Server installiert ist und ob es potenzielle Probleme gibt.