So verwenden Sie ein STRATO SSL-Zertifikat auf Ihrem Server

In diesem Artikel möchten wir Ihnen zeigen, wie Sie auf Ihrem STRATO Server und unter Plesk ein STRATO SSL-Zertifikat installieren können. Mit dem STRATO SSL-Zertifikat ermöglichen Sie eine verschlüsselte Kommunikation über HTTPS zum Schutz sensibler Daten.
Erfahren Sie mehr über die Zuweisung und Bestellung von STRATO SSL Zertifikaten auf Ihrem Server in diesem FAQ-Artikel.
 

Wie verwende ich ein STRATO SSL-Zertifikat unter Plesk ?

Loggen Sie sich im ersten Schritt mit Hostname und Administrator-Passwort als Administrator für Plesk ein. Wie kann ich mich bei Plesk anmelden?

Nach dem Login klicken Sie bitte zunächst im Menübereich unter Serververwaltung auf den Punkt Tools & Eintellungen und anschließend im Bereich Sicherheit auf die Schaltfläche SSL-Zertifikate.

Um ein Zertifikat einzubinden, zu dem noch kein CSR in der aktuellen Pleskinstallation vorliegt (z. B. weil Sie dieses bereits auf einem anderen Server genutzt haben), klicken Sie bitte auf die Schaltfläche Hinzufügen.

 

Fügen Sie nun die Zertifikatsdaten ein, die Sie aus den Details unter STRATO SSL in den Details des Zertifikats abrufen können. Wenn der CSR und der Private Key nicht in Plesk erstellt wurden, ist es notwendig, auch die beiden Zertifikat-Teile einzutragen.

Haben Sie den CSR und Private Key in Plesk erstellt (z.B. durch den Schritt oben CSR erstellen), reicht es, das Zertifikat und (Root-)CA-Zertifikat hochzuladen.

Werden Ihnen das (Root-)CA-Zertifikat und das Intermediate-Zertifikat getrennt zur Verfügung gestellt, können beide Teile nacheinander in das Textfeld kopiert werden.

Hinweis: Sofern Ihnen das Zertifikat als Datei vorliegt, kann es auch durch einen Dateiupload installiert werden. Klicken Sie hierzu unter Tools & Einstellungen / SSL-Zertifikate auf Durchsuchen, um die betreffende Datei auszuwählen.

Damit die Einbindung des Zertifikates abgeschlossen werden kann, müssen Sie das Zertifikat einer IP-Adresse zuweisen. Hierfür klicken Sie bitte im Menüpunkt Tools & Ressourcen auf die Schaltfläche IP-Adressen.

Klicken Sie auf die IP-Adresse Ihres Servers. Jetzt können Sie aus dem Drop-Down Menü neben SSL-Zertifikat Ihr neu angelegtes Zertifikat auswählen und mit OK bestätigen.

Ihr Zertifikat steht jetzt für die unter der gewählten IP-Adresse erreichbare Domain zur Verfügung und wird beim Aufrufen über eine verschlüsselte Verbindung verwendet.

Sie können nun unter Tools & Einstellungen das neue Zertifikat zum Standard-Zertifikat erklären. Das empfiehlt sich vor allem, wenn es das erste Zertifikat auf dem Server ist.

Um das Zertifikat der Domain in Plesk zuzuordnen, gehen Sie auf Websites & Domains, klappen den Bereich mit der gewünschten Domain auf, gehen auf Hosting und DNS und dort zu den Hosting-Einstellungen.

In den Einstellungen können Sie unter Sicherheit nun das Zertifikat für die Webseite unter dieser Domain auswählen.

Ihre Webseite ist nun mit dem SSL-Zertifikat abgesichert.

Wie kann ich ein STRATO SSL-Zertifikat unter Linux verwenden?

Die Einbindung auf dem Server geschieht über die shell des Servers. Verbinden Sie sich mit SSH mit Ihrem Server. Bitte prüfen Sie, ob der Befehl openssl zur Verfügung steht. Nutzen Sie dafür den Befehl command -v openssl. Wird nichts ausgegeben, dann fehlt das Kommando. In dem Fall ist es notwendig openssl über die Paketverwaltung Ihrer Distribution nachzuinstallieren.

Für die Verwendung eines STRATO SSL Zertifikats benötigen Sie mehrere Dateien. Einmal das Zertifikat selbst, den privaten Schlüssel (Private Key) und noch das Zwischen- und das Basis-Zertifikat (Intermediate- und Root-CA-Zertifikat).

Haben Sie keine dieser Dateien vorliegen, beginnen Sie mit dem Erzeugen eines CSR (Certificate Signing Request). Liegen diese Dateien bereits vor, können Sie zur Einbindung des SSL-Zertifikats springen.

Erzeugen eines CSR (Certificate Signing Request)

Die Zertifikatsanforderung (CSR) wird auf der Kommandozeile (Shell) erzeugt. Dabei werden zwei Dateien erzeugt. Einmal die Anforderung selbst und dann der Private Schlüssel, der dazu gehört.

Der Befehl, um den CSR und den Private Key zu erzeugen ist der folgende (ersetzen Sie <dateiname> durch den gewünschten Dateinamen z.B. basierend auf der Domain):

openssl req -new -newkey rsa:2048 -nodes -out <dateiname>.csr -keyout <dateiname>.key

Es werden nun einige Fragen gestellt, die beantwortet werden müssen. Der wichtigste Teil ist der Common Name. Hier wird der Domainname, der zertifiziert werden soll, angegeben. Ein optionales Feld (das leer gelassen werden kann) ist “Organizational Unit Name”.

Ein Passwort für den Private Key kann vergeben werden. Dann muss allerdings der Webserver (und jedes andere Programm dass das SSL-Zertifikat verwendet) Zugriff auf das Passwort bekommen. Andernfalls muss das Passwort für das Zertifikat beim Start des Dienstes manuell eingegeben werden. Es ist auch möglich dass Passwort leer zu lassen (wenn auch weniger sicher).

Es werden nun die beiden Dateien mit den Endungen .csr und .key erzeugt. Lassen Sie sich den Inhalt der .csr Datei anzeigen:

cat <dateiname>.csr

Kopieren Sie sich den Inhalt in die Zwischenablage und fügen Sie ihn in das CSR-Eingabefeld ein, dass bei der Zuweisung eines STRATO SSL Zertifikats angezeigt wird.

Einbindung des SSL-Zertifikats

Nach Abschluss der Zertifizierung rufen Sie in STRATO SSL die Details des Zertifikats auf. Kopieren Sie sich jeden Teil (Zertifikat, Intermediate-Zertifikat und Root-CA-Zertifikat) in eine eigene Datei.

• Nutzen Sie den Kopieren-Button unterhalb des Zertifikats, um den Inhalt in die Zwischenablage zu kopieren.
• Öffnen Sie in dem Terminal, mit dem Sie sich per SSH auf den Server verbunden haben einen Texteditor. Beispiel: nano [dateiname].crt. Bei dem Dateinamen verwenden Sie Ihr bevorzugtes Schema, dass zur CSR-Erzeugung passt. Wir empfehlen den Dateinamen für das Root-Zertifikat um “ca-root” und das Intermediate-Zertifikat um “ca-int” zu ergänzen.
• Speichern Sie die Datei und verlassen den Editor

Je nach Programm, dass das Zertifikat verwenden soll, kann es notwendig sein, eine sogenannte fullchain-Datei zu erzeugen. Diese wird recht einfach erzeugt:

cat [dateiname csr].crt [dateiname intermediate].crt [dateiname root].crt >[dateiname fullchain].crt

Man sollte sich auch über die Zugriffsrechte Gedanken machen, sodass die notwendigen Programme auf die Dateien Zugriff haben, aber eben nicht jeder. Ein Vorschlag ist es dafür eine eigene Systemgruppe zu verwenden. Den Gruppennamen können Sie anpassen, sslcert ist lediglich ein Vorschlag.

# sudo groupadd -r sslcert

Danach legt man fest, welche Benutzerkennungen zu dieser Gruppe gehören (die Benutzerkennung unter der das Programm läuft).

# sudo usermod -a -G sslcert apache2

Das wiederholen Sie für weitere Programme, die auf die Dateien Zugriff bekommen sollen, z.B. postfix.

Nun können Sie die Rechte und Eigentümerschaft für die Dateien ändern (wiederholgen Sie das für jede der Zertifikats-Dateien).

# sudo chown root:sslcert [dateiname]
# sudo chmod 0640 [dateiname]

Die Dateien sollten nun an zentraler Stelle gespeichert werden und nicht mehr im persönlichen Home-Verzeichnis bleiben. Dies kann ein beliebiger Ort im Dateisystem sein, generell ist aber das Verzeichnis /etc/ssl/ ein guter Ausgangspunkt. Wenn man mehrere Zertifikate für unterschiedliche Domains auf dem Server verwendet kann man sich auch Gedanken über eine Struktur von Unterverzeichnissen Gedanken machen. Haben Sie die oberen Dateirechte vergeben, verwenden Sie sudo mv [dateiname] [zielverzeichnis] zum Verschieben der Datei.

Wie das SSL-Zertifikat eingebunden wird, hängt sehr stark von dem jeweiligen Programm bzw. Dienst ab, in dem das Zertifikat verwendet werden soll. Ein sehr guter Ausgangspunkt ist der SSL Configuration Generator von Mozilla. Wir empfehlen auch die Dokumentation der Dienste zu konsultieren. Wenn man die Optionen und den Aufbau der Konfigurationsdateien versteht, fällt es einem leichter, eigene Anpassungen vorzunehmen.

Wie verwende ich ein STRATO SSL-Zertifikat unter Windows Server 2016, 2019 und 2022?

Um ein SSL-Zertifikat ausgestellt zu bekommen, ist es notwendig, dass Sie vorher eine Zertifikatsanforderung erstellen. In dieser sind die erforderlichen Daten über Ihre Webseite und über Sie als Firma/Person enthalten. Diese Daten werden von der Zertifizierungsstelle überprüft. Erst nach erfolgreicher Prüfung wird Ihr SSL-Zertifikat ausgestellt.

Die folgenden Schritte finden auf dem Server statt. Verbinden Sie sich daher für jeden dieser Schritte mit einer Remote Desktop Verbindung zu Ihrem Windows Server: So einfach verbinden Sie sich mit Ihrem STRATO Windows-Server

Den Webserver (IIS) installieren

Eine Zertifikatsanforderung erstellen

Tragen Sie hier bitte die Daten entsprechend dem in der folgenden Abbildung gezeigten Schema ein.

Einrichtung Ihres Zertifikats auf dem Server

Bei Schwierigkeiten, prüfen Sie am besten, ob das neue Zertifikat im IIS unter Server → »Serverzertifikate« auch aufgelistet wird und den zuvor erzeugten privaten Schlüssel enthält. (mittels WIN-Taste + R für Ausführen der mmc.exe)

→ Zertifikatsmanager in Microsoft Management Console (mmc)
→ Zertifikate im MMC-Snap-In anzeigen

Nun können Sie HTTPS für Ihre Domain aktivieren und das neue SSL-Zertifikat zuweisen. Klicken Sie dazu in der Baumansicht links unterhalb des Eintrages zu Ihrem Host (z.B. H01234) auf Sites, dann in der Liste in der Mitte auf den Domainnamen, im Beispiel wunschname.de und anschließend in der rechten Seitenleiste auf Bindungen…

Klicken Sie auf Hinzufügen, erstellen eine neue HTTPS-Bindung für die entsprechende IP-Adresse und wählen das eingerichtete Zertifikat aus.

Sichere Website mit SSL!

Sichern Sie hier Ihre Website durch die Verwendung von SSL.

SSL verwenden