FAQ - Häufig gestellte Fragen

Was ist eine Zertifizierungsstelle (CA)?

Eine Zertifizierungsstelle (englisch: Certificate Authority, kurz CA) ist eine Organisation, die digitale Zertifikate herausgibt.

Ein digitales Zertifikat ist gewissermaßen das Cyberspaceäquivalent eines Personalausweises und dient dazu, einen bestimmten öffentlichen Schlüssel einer Person oder Organisation zuzuordnen.
Diese Zuordnung wird von der Zertifizierungsstelle beglaubigt, indem sie sie mit ihrer eigenen digitalen Unterschrift versieht.

Die Zertifikate enthalten „Schlüssel“ und Zusatzinformationen, die zur Authentifizierung sowie zur Verschlüsselung und Entschlüsselung sensitiver oder vertraulicher Daten dienen, die über das Internet und andere Netze verbreitet werden.

Als Zusatzinformationen sind zum Beispiel Lebensdauer, Verweise auf Zertifikatsperrlisten, etc. enthalten, die durch die CA mit in das Zertifikat eingebracht werden.

Die Aufgabe einer Beglaubigungsinstitution ist es, solche digitalen Zertifikate herauszugeben und zu überprüfen. Sie ist dabei für die Bereitstellung, Zuweisung und Integritätssicherung der von ihr ausgegebenen Zertifikate verantwortlich.

Damit ist sie ein wichtiger Teil der Public-Key-Infrastruktur.

(aus Wikipedia)
Ich habe einen neuen Server oder bin zu einem anderen Provider gewechselt, wie übertrage ich das SSL Zertifikat?

Für den Umzug müssen Sie das Zertifikat sowie den Private Key von Ihrem bisherigen Server laden.

Bitten Sie Ihren (bisherigen) Server Administrator um einen Export des Zertifikates und Private Keys. Damit können Sie das SSL-Zertifikat wieder auf Ihrem neuen Server installieren.

Bitte beachten: Ohne den zugehörigen Private Key gibt es leider keine Möglichkeit, ein SSL-Zertifikat auf einem neuen Server zu installieren.
Was ist ein Certificate Signing Request (CSR)?

Ein CSR ist eine Textzeichenfolge, die von Ihrer Serversoftware erstellt wird. Diese Textzeichenfolge benötigen wir zur Ausstellung Ihres SSL-Zertifikates.

Sollten Sie nicht selbst ein CSR auf Ihrem Server generieren können, steht Ihnen unser CSR-Generator zur Verfügung.

Mit diesem Tool können Sie sich in Echtzeit das notwendige CSR erstellen lassen.

Bitte beachten: Beim Einsatz der Serverplattform IIS ist die Verwendung eines externen CSR Generators nicht möglich.
Benötige ich eine eigene IP-Adresse?

Ja, für die Nutzung eines SSL-Zertifikates benötigen Sie für Ihren Server eine eigene (feste) IP-Adresse.
Kann die IP-Adresse meiner Domain geändert werden wenn ich ein SSL-Zertifikat verwende?

Ja, das Zertifikat ist nicht an eine spezielle IP-Adresse gebunden sondern lediglich an den Hostnamen, z.B. www.europeanssl.eu
Was bedeutet Secure Sockets Layer (SSL)?

Mithilfe von Secure Sockets Layer werden Daten, die per http übertragen werden, durch eine vom SSL-Zertifikat des Servers aktivierte Verschlüsselung geschützt.

Ein SSL-Zertifikat besteht aus einem öffentlichen und einem privaten Schlüssel. Der öffentliche Schlüssel wird für die Verschlüsselung der Informationen verwendet, der private für die Entschlüsselung.

Wenn ein Browser eine gesicherte Domain anzeigt, werden Server und Client durch einen "SSL-Handshake" authentifiziert.
Außerdem wird ein Verschlüsselungsverfahren, sowie ein eindeutiger Sitzungsschlüssel eingerichtet. Damit kann eine sichere Sitzung begonnen werden, bei der Datenschutz und Integrität für Nachrichten garantiert werden kann.
Was versteht man unter Verschlüsselung und warum gibt es mehrere Stufen?

Eine Verschlüsselung ist ein mathematischer Vorgang zur Kodierung und Dekodierung von Informationen.

An der Bitanzahl (40 Bit, 56 Bit, 128 Bit, 256 Bit) können Sie die Größe des Schlüssels ablesen. Wie für ein längeres Passwort gibt es auch für einen längeren Schlüssel mehrere Kombinationen. 128-Bit-Verschlüsselung ist eine Billion Mal so stark wie 40-Bit-Verschlüsselung.

Beim Herstellen einer verschlüsselten Sitzung richtet sich die Stärke nach der Kapazität des Webbrowsers, des SSL-Zertifikats, des Webservers und Betriebssystems des Clients.
Was ist ein Schlüsselpaar aus öffentlichem und privatem Schlüssel?

Eine Verschlüsselung ist ein mathematischer Vorgang zur Kodierung und Dekodierung von Informationen.

Jedes SSL-Zertifikat umfasst ein Schlüsselpaar aus einem öffentlichen und einem privaten Schlüssel.

Ein privater Schlüssel mit dem Code und ein öffentlicher Schlüssel für die Dekodierung. Der private Schlüssel ist auf dem Server installiert und wird unter keinen Umständen weitergegeben.
Der öffentliche Schlüssel ist in das SSL-Zertifikat integriert und wird an die Webbrowser weitergegeben.
Benötige ich ein SSL - Zertifikat für meine Webseite?

Sie haben wahrscheinlich schon von 128 Bit Verschlüsselung gehört, oder die grüne Adressleiste eines EV-SSL-Zertifikats in der Adresszeile einer Webseite gesehen und Sie fragen sich,"Brauche ich ein SSL-Zertifikat auf meiner Seite?"

Die meisten Menschen sind bei Online-Einkäufen sehr vorsichtig und wollen die Gewissheit haben, dass ihre Daten sicher sind. Ein SSL-Zertifikat bietet Ihnen zwei wichtige Dinge:

  • Verschlüsselung von sensiblen Daten wie Kreditkartennummern und persönlichen Informationen.
  • Ein Sicherheitsmerkmal, das Ihren Kunden zeigt, dass Sie vertrauenswürdig sind.

Dies sind sehr wichtige Vorteile. Zwar benötigen nicht alle Webseiten ein SSL-Zertifikat, für bestimmte Arten von Webseiten ist die SSL-Verschlüsselung jedoch ein Muss. Um herauszufinden, ob Sie ein SSL-Zertifikat für Ihre Website benötigen, stellen Sie sich einfach diese Fragen:

- Ist meine Website eine E-Commerce - Webseite, die Kreditkarteninformationen sammelt ?

Die meisten E-Commerce Seiten benötigen zwingend ein SSL-Zertifikat! Als Online-Händler ist es in Ihrer Verantwortung sicherzustellen, dass die von Ihren Kunden gesammelten Informationen geschützt sind.

Erhält ein Dieb Zugriff auf die Kreditkartendaten, kann dies verheerend für Ihre Kunden wie auch Ihr Unternehmen sein. Schützen Sie sich und Ihre Kunden vor Schaden durch Mißbrauch Dritter und setzen Sie ein SSL-Zertifikat ein.


- Verwende ich einen Drittanbieter für die Zahlungsabwicklung?

Leitet der Online-Shop Ihre Kunden für die Zahlungsabwicklung auf die Seiten eines Drittanbieters, wie beispielsweise Paypal, benötigen Sie kein SSL-Zertifikat, da Ihre Webseite "keinen Kontakt" zu den Kreditkarteninformationen der Kunden hat.
Dies ist natürlich nur dann gültig, wenn Ihr Shop die Daten nicht annimmt, solange sich der Kunde noch auf Ihrer Webseite befindet. Paypal bietet für die Abwicklung der Zahlung beide Varianten an.
Werden die Kreditkarteninformationen noch auf Ihrer Webseite eingetragen, ist der Einsatz eines SSL - Zertifikats zwingend notwendig.


- Verwende ich ein Login Formular ?

Wenn Sie Besuchern Ihrer Webseite die Möglichkeit geben sich als Benutzer zu registrieren, ohne die Login-Seite via SSL zu verschlüsseln, könnte ein Angreifer die Zugangsdaten der Benutzer sehr einfach in Klartext mitlesen und verwenden.
Dies ermöglicht es dem Angreifer nicht nur, den Account des Benutzers zu verwenden, es öffnet ihm ggf. weitere Türen zu anderen Zugängen dieser Person, da viele Menschen leider das gleiche Passwort für verschiedene Accounts verwenden.


Gehen Sie verantwortungsvoll mit den Daten Ihrer User um, auch wenn die Inhalte auf Ihrer Webseite eher unkritisch sein sollten.
Heartbleed Bug und EuropeanSSL - Wie Sie Ihre SSL verschlüsselte Seite wieder sicher machen.

Wie Sie vielleicht wissen, wurde aktuell eine Sicherheitslücke, als "Heartbleed" bekannt, in OpenSSL entdeckt, durch die ein Angreifer theoretisch an die privaten Schlüssel von SSL-Zertifikaten gelangen kann.

Wir empfehlen eine zeitnahe Prüfung des Webservers.

Bitte vergewissern Sie sich, ob die dort eingesetzte OpenSSL Version aktualisiert werden muss. Der Austausch ( REPLACE ) der auf den Servern eingerichteten SSL Zertifikate ist in jedem Fall ratsam, da der Server aktuell zwar nicht von dieser Sicherheitslücke betroffen sein muss, jedoch könnten die Keys der "alten" Zertifikate und auch andere Daten aus dem Speicher ausgelesen werden, wenn die Zertifikate nicht ausgetauscht werden.

Bitte beachten Sie, dass die Sicherheitslücke im Webserver-Tool OpenSSL auftritt, die eingesetzten EuropeanSSL Zertifikate sind natürlich weiterhin absolut vertrauenswürdig.

Ihre aktuellen SSL-Zertifikate können Sie natürlich kostenfrei austauschen. Hierfür gehen Sie wie folgt vor.


  • Aktualisieren Sie OpenSSL und stellen Sie sicher, dass die Sicherheitslücke nicht mehr besteht.
  • Entfernen Sie das Zertifikat komplett von Ihrem Server.
  • Erstellen Sie einen neuen CSR
  • Loggen Sie sich in Ihren EuropeanSSL Account ein und rufen Sie das Zertifikat auf.
  • Klicken Sie auf den Button "Abändern"
  • Es öffnet sich ein kleines popup-Fenster in dem Ihnen der aktuell hinterlegte CSR angezeigt wird. Überschreiben Sie bitte den vorliegenden mit dem neu generierten CSR und bestätigen Sie die Änderungen über den Button "abändern".

Bitte beachten Sie, dass die Validierung des Zertifikats bei einem REPLACE wieder notwendig wird. Nachdem Sie die Approvermail bestätigt haben, wird Ihnen das Zertifikat neu ausgestellt. Gerne sind wir Ihnen hierbei behilflich. Senden Sie uns hierfür bitte den CSR unformatiert per Email an unsere Support Adresse. Gerne stellen wir Ihnen Ihr Zertifikat neu aus.


Weitere Informationen zu dieser Sicherheitslücke finden Sie, zusammen mit weiteren technischen Details auf: http://heartbleed.com/


Mit den nachfolgenden Informationen können Sie schnell und zuverlässig prüfen, ob Ihr Server betroffen ist.

Was ist betroffen?

Betroffene OpenSSL Versionen:

  • 1.0.1 bis einschliesslich 1.0.1f.

Nicht betroffene OpenSSL Versionen:

  • 1.0.1g
  • 1.0.0
  • 0.9.8

Der Release der OpenSSL 1.0.1g vom 7. April 2014 schließt diesen Bug.


Ist meine Seite betroffen?

Ob Ihre Seite betroffen ist, können Sie über diverse zuverlässige Tools, wie beispielsweise http://filippo.io/Heartbleed/ testen.


Wie behebe ich das Problem?

Jedes System das eine der oben genannten betroffenen OpenSSL Versionen einsetzt, muss über einen Patch aktualisiert werden. OpenSSL hat selbst hat einen Patch veröffentlicht, den Sie auf der offiziellen Webseite finden : https://www.openssl.org/

Bitte beachten Sie: Es ist zwingend notwendig, die OpenSSL Software zu aktualisieren, bevor Sie die EuropeanSSL Zertifikate auf dem Server austauschen.
Welche Browser unterstützen die Zertifikate von EuropeanSSL?

99.3% aller aktuell eingesetzten Browser vertrauen auf EuropeanSSL Zertifikate - vergleichbar mit den teureren Zertifikaten von z.B. Versigin oder Thawte!

Browser Kompatibilität:
  • Internet Explorer ab Version 5.01
  • Netscape ab Version 4.77
  • Firefox ab Version 0.1
  • Mozilla ab Version 0.6
  • AOL ab Version 5
  • Opera ab Version 8
  • Safari ab Version 1.2
Warum kosten EuropeanSSL Zertifikate erheblich weniger als bei anderen Certification Authorities?

EuropeanSSL stellt hochwertige SSL-Zertifikate zu geringeren Preisen als bei anderen CAs aus, da wir neue Techniken und Abläufe entwickelt haben, welche die Ausstellung von Zertifikaten bedeutend beschleunigen.
Kann ich verschiedene Subdomains mit einem einzigen Zertifikat schützen?

Ein SSL-Zertifikat wird normalerweise auf einen bestimmten Hostnamen ausgestellt. Das bedeutet, dass ein SSL-Zertifikat für "secure.ihredomain.de" nicht für einen anderen Hostnamen, z.B. "shop.ihredomain.de" verwendet werden kann.

Um diese Beschränkung aufzuheben, bieten wir das EuropeanSSL Wildcard-Zertifikat an. Dieses Zertifikat ermöglicht es Ihnen, unbegrenzt viele Subdomains unter der selben Hauptdomain zu schützen.

Unsere Wildcard-Zertifikate können zudem auf unbegrenzt vielen physikalischen Servern genutzt werden. Es entstehen somit keine weiteren Lizenzgebühren beim Einsatz eines Wildcard-Zertifikats auf mehreren physikalischen Maschinen.

Ein Wildcard-Zertifikat für *.ihredomain.de schützt zum Beispiel:

  • www.ihredomain.de
  • secure.ihredomain.de
  • shop.ihredomain.de
  • xyz.ihredomain.de
Kann ich ein EuropeanSSL-Zertifikat vor dem Kauf testen?

Gerne können Sie unsere Zertifikate für 30 Tage kostenfrei und unverbindlich testen. Bitte bestellen Sie dazu das Produkt "EuropeanSSL Trial".
Das Zertifikat wird von meinem mobilen Endgerät nicht erkannt.

Die Kompatibilität mit Browsern verschiedener mobiler Endgeräte ist ein allgemeines Problem im Bereich der SSL Zertifikate, da es leider keine festen Vorgaben für die Hersteller gibt, welche Root - Zertifikate ab Werk eingerichtet werden.

Aus diesem Grund können wir keine Browserkompatibilität für mobile Endgeräte garantieren.

Der User kann die erforderlichen Zertifikate unter https://secure.europeanssl.eu/de/info/terms manuell herunterladen und installieren.

Folgende Micro Browser /PDAs unterstützen EuropeanSSL Zertifikate:

  • Microsoft Windows Mobile/CE 6.0 +
  • NetFront Browser v3.4 +
  • RIM Blackberry v4.2.1
  • KDDI Openwave v6.2.0.12 +
  • Apple iPhone Opera Mini v3.0
  • Sony Playstation Portable
  • Sony Playstation 3


Leider gibt es aktuell keine andere Lösung um das Problem zu beheben.
Wie erfolgt die Bestellung und Validierung von Domain validierten SSL-Zertifikaten?

Domain validierte SSL-Zertifikate sind alle EuropeanSSL Zertifikate ( Single / Wildcard ), ausser den EuropeanSSL Premium Zertifikaten.


1. Schritt: Erstellen Sie einen CSR (Certificate Signing Request)
Das CSR enthält wichtige Informationen, z.B. den zu schützenden Hostnamen, und wird normalerweise direkt auf Ihrem Server erstellt. Sollten Sie keine Möglichkeit haben das CSR selbst zu generieren können Sie auch unseren CSR-Generator verwenden.

2. Schritt: Bestellen Sie das gewünschte Zertifikat
Nach der Bestellung auf unseren Webseiten erhalten Sie eine E-Mail welche Sie per Aufruf eines Links bestätigen müssen. Anschließend wird das gewünschte Zertifikat erstellt und Ihnen innerhalb weniger Minuten zugesendet.

Nachfolgende E-Mail Adressen können Sie für die Validierung verwenden:

  • admin@sslhostname.xyz
  • administrator@sslhostname.xyz
  • hostmaster@sslhostname.xyz
  • postmaster@sslhostname.xyz
  • sysadmin@sslhostname.xyz
  • webmaster@sslhostname.xyz
Der CSR kann nicht dekodiert werden oder ist ungültig?

Evtl. fehlen in Ihrem CSR erfoderliche Informationen.

Die nachfolgenden Felder müssen im CSR enthalten sein:


  • Organization
  • Organizational Unit
  • Locality (City)
  • State/Province
  • Country (2 character code)
  • Common Name (Fully Qualified Domain Name)


Außerdem wäre es möglich, dass die Angaben in Ihrem CSR ungültige Zeichen enthalten. Lediglich alphanumerisch Zeichen sind erlaubt.

Überprüfen Sie, ob Ihr CSR mit 5 Gedankenstrichen beginnt und endet:

-----BEGIN NEW CERTIFICATE REQUEST-----

-----END NEW CERTIFICATE REQUEST-----


Prüfen Sie weiterhin nach ungültigen Zeichen (z.B. verursacht durch kopieren und einfügen). Zeichen welche normalerweise Probleme bereiten sind '?', '@', '#', '$', '%', '^', '&', '*' . Lediglich alphanumerisch Zeichen und der umgekehrte Schrägstrich '\' sind zulässig.

Beispiel eines fehlerhaften CSR:


-----BEGIN NEW CERTIFICATE REQUEST-----
MIID9zCCA2ACAQAwgZkxIjAgBgNVBAMTGXd3dy5jaGFybWluZ2NyZWF0dXJlcy5j
SNwpzdKDPBvg/6OuXtUhnEswEwYD!VR0lBAwwCgYIKwYBBQUHAwEwgf8GCisGAQQB
kZxM7dGe7oEAck4U9v0adssFO2VlpxOBRpVhCV59Wy8GmiVCs8LCSqxHeHpmv8v0
-----END NEW CERTIFICATE REQUEST-----



Bei weiteren Problemen senden Sie Ihr CSR bitte zur Überprüfung an den Support.
Ich möchte lediglich ein Trial-Zertifikat, warum muss auch dieser Antrag validiert werden?

Die Trial-Zertifikate sind vollfunktionsfähige SSL Zertifikate mit der selben Verschlüsselung und Browser Kompatibilität wie auch unsere anderen Zertifikate.
Aus diesem Grund müssen die "Demo" Zertifikate ebenfalls nach den gleichen Regeln validiert werden.
Kann ich ein SSL-Zertifikat auch auf eine IDN-Domain (Umlautdomain) ausstellen?

Ja, bitte geben Sie dazu beim Generieren des CSR den Domainnamen als ACE-String, wie z.B. xn--zz-viaa.de für die IDN-Domain zääz.de ein.

Bei Verwendung unseres CSR-Generators wird die Konvertierung automatisch vorgenommen.
Wie erfolgt die Bestellung von EuropeanSSL Premium Zertifikaten?

Im ersten Schritt erfolgt die E-Mail Validierung. Hierbei wird eine Validierungsemail (sog. Approvermail) an die hinterlegte Approvermail Adresse gesendet. Wenn Sie auf darin angegebenen Link klicken, stimmen Sie der Bestellung zu und der Bestellvorgang wird fortgesetzt.

Um den Bestellvorgang fortsetzen zu können sind zwei weitere Schritte notwendig.


1.Validierung der Dokumente:

Bitte senden Sie eines der nachfolgenden Dokumente zur manuellen Prüfung des Zertifikatantrages an EuropeanSSL:

  • A) Bei gewerblich genutzten SSL-Zertifikaten:
    Gewerbeanmeldung oder Handelsregisterauszug
    Geschäfts- oder Handelslizenz

  • B) Bei privat genutzten SSL-Zertifikaten:
    Personalausweis oder Reisepass
    Führerschein

Bitte beachten Sie: Die in der Gewerbeanmeldung / Personalausweis angegebenen Daten müssen mit den hinterlegten Informationen Ihrer Bestellung, sowie den im WHOIS Ihrer Domain verwendeten Stammdaten übereinstimmen.

Ist dies nicht der Fall ist es notwendig erweiterte Dokumente bereit zu stellen. Diese sind:

  • den Gesellschaftsvertrag (mit Adresse)
  • amtlich beglaubigte Gewerbeerlaubnis (mit Adresse)
  • eine Kopie des jüngsten Konto-Auszugs des Unternehmens (die Kontonummer darf geschwärzt werden)
  • eine Kopie der jüngsten Telefonrechnung des Unternehmens
  • eine Kopie der jüngsten Gas-, Wasser-, Stromrechnung oder ein aktueller Miet-/Pachtvertrag des Unternehmens



2.Telefonische Validierung:

Im zweiten Schritt der Validierung benötigen wir bitte folgende Informationen:

  • Vor- und Nachname der Kontaktperson für die telefonische Validierung
  • E-Mail Adresse der Kontaktperson
  • Telefonnummer für die telefonische Validierung
  • Link zu einem öffentlichen Eintrag des Unternehmens/ Ihrer Person in einem der folgenden Online Telefonregister:

    Worldwide Dun & Bradstreet - https://www.dandb.com/
    Worldwide Hoovers - http://www.hoovers.com/
    German / Worldwide - https://www.upik.de
    European web site - https://www.bisnode.com/
    Spain D&B site - http://empresas.informa.es/
    European web site BVD - http://www.bvdinfo.com/en-gb/home/
    European web site - http://www.creditsafe.nl
    US web site BBB - http://www.bbb.org
    Germany Business credit and commercial information only - http://www.firmenwissen.de/index.html
    France only - http://www.aef.cci.fr/
    UK Only - https://www.duedil.com
    Sweden - http://www.allabolag.se
    Japan Teikoku DB - https://cnet.tdb.ne.jp/cnet/ta111p01/ta111pInit.do
    US mainly Rainking - https://my.rainkingonline.com
    Greek - http://www.acci.gr/acci/catalogue/result.jsp
    Russian - Spark - https://www.spark-interfax.ru/promo/en/sources



Im Rahmen der telefonischen Validierung erhält die Kontaktperson eine „EuropeanSSL Callback Request“ E-Mail. Diese E-Mail enthält einen Link sowie einen "email verification code". Damit kann ein telefonischer Rückruf ausgelöst werden kann. Im Telefonat wird dann ein "callback verification code" genannt welcher auf vorgenannter Website eingegeben werden muss. Sind diese Schritte abgeschlossen, wird das Zertifikat ausgestellt.

Alle Dokumente und Informationen aus den Schritten 1 und 2 senden Sie uns bitte als Kopie per Post, Fax oder E-Mail an:

EuropeanSSL
c/o EUNETIC GmbH
Wagnerstr. 25
DE-76448 Durmersheim

Fax national: +49 7245 919 585
Fax international: +49 7245 919 585
E-Mail: docs@europeanssl.eu

Muss ich alle Zertifikate installieren die ich erhalten habe?


Ja, wenn Sie nicht alle Zertifikate installieren wird Ihre Webseite beim Aufruf nicht als vertrauenswürdig eingestuft und der Browser gibt eine Warnmeldung aus.

Installationsbeispiel: Apache & mod_ssl / OpenSSL

Entpacken Sie die im ZIP-File enthaltenen Dateien yourSERVERNAME.ca und yourSERVERNAME.crt in den Ordner /etc/ssl/crt/ und das Keyfile (mit Ihrem private key) yourSERVERNAME.key nach /etc/ssl/key/.

Anschließend setzen Sie bitte die Dateien auf readonly für den Systembenutzer

chmod 400 dateiname.

Nun ändern Sie die httpd.conf für den entsprechenen vhost folgendermaßen ab:

SSLCertificateFile /etc/ssl/crt/yourDOMAINNAME.crt
SSLCertificateKeyFile /etc/ssl/key/yourDOMAINNAME.key
SSLCertificateChainFile /etc/ssl/crt/yourSERVERNAME.ca

Bitte beachten Sie, dass die Pfadangaben von Ihrem System abweichen können.
Installation der Root und Zwischenzertifikate unter Microsoft IIS 5.x/6.x


  • Klicken Sie auf die Schaltfläche "Start", wählen Sie Ausführen, geben Sie mmc ein und wählen Sie OK.
  • Klicken Sie auf Datei und wählen Sie "Hinzufügen / Entfernen Snap in".
  • Wählen Sie "Hinzufügen".
  • Wählen Sie Zertifikate aus dem "Eigenständiges Snap-in Hinzufügen"-Feld und klicken Sie auf "Hinzufügen".
  • Wählen Sie Computer-Konto (HINWEIS: Dieser Schritt ist sehr wichtig. Es muss Computer-Konto und kein anderes Konto ausgewählt werden) und klicken Sie auf "Weiter".
  • Wählen Sie "Lokaler Computer" und wählen Sie "Fertig stellen".
  • Schließen Sie die Snap-in-Box, klicken Sie auf OK in der "Hinzufügen / Entfernen Snap in". Kehren Sie zur MMC zurück.


So installieren Sie das Root-Zertifikat:


  • Rechtsklicken Sie auf "Trusted Root Certification Authorities", wählen Sie "Alle Tasks", und wählen Sie dann "Importieren".
  • Klicken Sie auf "Weiter".
  • Suchen Sie nach dem Root-Zertifikat und klicken Sie auf "Weiter". Wenn der Assistent abgeschlossen ist, klicken Sie auf "Fertig stellen".


So installieren Sie das Zwischenzertifikat:

  • Rechtsklicken Sie auf "Intermediate Certification Authorities", wählen Sie "Alle Aufgaben", wählen Sie "Import".
  • Führen Sie den Import-Assistenten erneut aus, wählen aber dieses Mal das Zwischen-Zertifikat aus, wenn Sie zum Auswählen des Zertifikats aufgefordert werden. (Hinweis: Führen Sie diesen Schritt für alle Zwischen-Zertifikate aus, die Sie erhalten haben.)

    Wichtig:

    Stellen Sie sicher, dass das Root-Zertifikat unter Trusted Root Certification Authorities angezeigt wird.

    Stellen Sie sicher, dass das Zwischenzertifikat unter Intermediate Certification Authorities angezeigt wird.

    Sobald diese installiert sind, starten Sie den Server neu.
Wie erstelle ich einen CSR auf dem eigenen Linux-Server?


  • 1. Erstellung eines Key-Files

    # openssl genrsa -des3 -out domain.key 2048

    Geben Sie dabei ein möglichst langes Passwort ein. Dieses müssen Sie sich unbedingt merken!

  • 2. RSA Schlüssel erstellen

    # openssl rsa -in domain.key -out domain.rsa.key

  • 3. Signierungsanfrage (CSR) erstellen:

    # openssl req -new -key domain.key -out domain.csr

    Sorgfältig ausfüllen und auf Umlaute und Sonderzeichen verzichten. Als Common Name tragen Sie bitte die Domain ein, für die das Zertifikat später genutzt werden soll, z.B. shop.domain.tld.

    Enter pass phrase for domain.key:
    You are about to be asked to enter information that will be incorporated
    into your certificate request.
    What you are about to enter is what is called a Distinguished Name or a DN.
    There are quite a few fields but you can leave some blank
    For some fields there will be a default value,
    If you enter '.', the field will be left blank.
    -----
    Country Name (2 letter code) [AU]:DE
    State or Province Name (full name) [Some-State]:BW
    Locality Name (eg, city) []:Karlsruhe
    Organization Name (eg, company) []:Name Ihrer Firma
    Organizational Unit Name (eg, section) []:Abteilung
    Common Name (eg, YOUR name) []:domain.tld
    Email Address []:webmaster@domain.tld

    Please enter the following 'extra' attributes
    to be sent with your certificate request
    A challenge password []:
    An optional company name []:


    Nach Abschluss aller Angaben finden Sie den CSR als Text in der Datei domain.csr.
Installation eines IIS SSL Zertifikates unter Microsoft IIS 5.x / 6.x


  • Wählen Sie den Punkt Administrative Tools.
  • Starten Sie den Internet Services Manager.
  • Öffnen Sie die Eigenschaften der Webseite per Rechtsklick auf Standardseite (Default website) und durch Auswahl von Eigenschaften.
  • Öffenen Sie den Reiter Verzeichnissicherheit (Directory Security).
  • Klicken Sie auf Serverzertifikat (Server Certificate). Es startet der folgende Assistent.
  • Wählen Sie den Punkt "Mit dem laufenden Antrag fortfahren und das Zertifikat installieren" (Process the pending request and install the certificate).
  • Geben Sie das Verzeichnis Ihres IIS SSL Zertifikates an und klicken Sie auf Weiter.
  • Lesen Sie die angezeigte Zusammenfassung und vergewissern Sie sich, dass es sich um das korrekte Zertifikat handelt. Dann klicken Sie auf Weiter.
  • Sie sehen nun eine Bestätigungsmeldung. Klicken Sie auf Weiter.
  • Das IIS SSL Zertifikat ist nun installiert.


Wichtig: Starten Sie den Computer neu, um die Installation des Zertifikates abzuschliessen.
Wo erhalte ich die kostenfreien Websiegel?

Die EuropeanSSL Websiegel sind in der Detailansicht Ihres Zertifikats in Ihrem Kundenbereich erhältlich.
Installation eines verlängerten IIS SSL Zertifikates unter Microsoft IIS 5.x / 6.x


  • ManagementKonsole MMC starten.
  • SnapIn "Zerifikate" hinzufügen.
  • Lokales Computerkonto zuordnen.
  • Unter "Alle Aufgaben" > "Importieren" wählen.


Wichtig: Starten Sie den Server neu, um die Installation des verlängerten Zertifikates abzuschliessen.
Ich erhalte die Fehlermeldung "cert/key mismatch"

Die Gründe für den genannten Fehler können sein:

  • 1. Der eingesetzte Webserver:

    Der IIS beispielsweise erlaubt ausschließlich selbst erstellte CSR. Wenn Sie einen externen Generator zur Erstellung Ihres CSR verwendet haben, kann dies zum Fehler führen.

    So lösen Sie das Problem: Bitte erstellen Sie einen neuen CSR direkt auf Ihrem Webserver und senden Sie uns den neuen CSR unformatiert per E-Mail zu. Wir erstellen das Zertifikat mit dem übermittelten CSR gerne für Sie neu aus.

    Dieser Service ist kostenfrei.


  • 2. Ein falsches CSR / Private Key Pair.

    Bei Verwendung im Zusammenhang mit dem IMAPd prüfen Sie bitte, ob der IMAPd die Permissions hat, auf die Zertifikate/Keys zuzugreifen.


  • 3. Fehler bei der Übermittlung des CSR / Private Key

    Mitunter kann es vorkommen, dass die Datei beim Übertragen von Windows zu UNIX "zerstört" wird, da WIN eine andere Formatierung verwendet.
    Bitte überprüfen Sie im binary mode, ob die Zeilen im CRT / Private Key mit einem ^M enden. Diesen Fehler können Sie mit dem Command dos2unix beheben.
Warum habe ich einen .ZIP Ordner mit mehreren Dateien erhalten?

Nach der erfolgreichen Validierung Ihrer Bestellung erhalten Sie eine E-Mail mit einem .ZIP Ordner im Anhang.

Die darin enthaltene .cert Datei ist das eigentliche Zertifikat, welches Sie wie gewohnt installieren.
Die .ca Datei ist die Datei, die das Root oder auch Stammzertifikat enthält.

Je nach verwendeter Plattform kann der Server eine andere Dateiendung verlangen. Sollte das der Fall sein, können Sie die .ca Dateiendung einfach umbenennen.

Dann installieren Sie die .ca Datei in den Stammzertifikaten und führen, sollten Sie den IIS einsetzen, einen Neustart durch. Danach müssen Sie nur noch überprüfen, ob EuropeanSSL auch wirklich in der Liste der installierten Stammzertifikaten eingetragen ist.
Ich erhalte die Fehlermeldung "Unsupported Keysize"

Die erwähnte Fehlermeldung erscheint aufgrund einer falschen Keylänge des verwendeten CSR.

Aktuell dürfen nur CSR mit einer Keylänge in Höhe von 2048bit verwendet werden. Bitte erstellen Sie den CSR neu und führen Sie die Bestellung erneut durch.
Wie installiere ich mein SSL-Zertifikat auf dem Apache Webserver?


  • Speichern Sie das root- und Zwischenzertifikat zusammen mit dem Private Key in einem Ordner auf dem Webserver.

  • Öffnen Sie die Apache Konfigurationsdatei in einem Text-Editor.
    Apache Konfigurationsdateien werden in der Regel in /etc/httpd abgelegt. Die Haupt-Konfigurationsdatei heißt üblicherweise httpd.conf. In den meisten Fällen finden Sie die Abschnitte am Ende dieser Datei.
    In seltenen Fällen werden die Blöcke in einer separaten Datei in einem Verzeichnis wie z.B. : /etc/httpd/vhosts.d/ oder manchmal auch in /etc/httpd/sites/ oder aber auch in einer Datei namens "ssl.conf" gespeichert.

  • Wenn Ihre Webseite sowohl mit (https) als auch ohne (http) Verschlüsselung erreichbar sein soll, müssen Sie für jede Verbindungsart einen eigenen VirtualHost erstellen. Hierfür erstellen Sie eine Kopie des bereits bestehenden, nicht gesicherten VirtualHosts und ändern in der Konfiguration den Port von 80 auf 443.

  • Fügen Sie die nachfolgenden Zeilen hinzu:


    DocumentRoot /var/www/website
    ServerName www.domain.com
    SSLEngine on
    SSLCertificateFile /etc/ssl/crt/primary.crt
    SSLCertificateKeyFile /etc/ssl/crt/private.key
    SSLCertificateChainFile /etc/ssl/crt/intermediate.crt


  • Ändern Sie die Namen der Dateien und Pfade zu den Zertifikatsdateien entsprechend Ihrer Konfiguration:

    - SSLCertificateFile sollte die Haupt-Zertifikatsdatei für Ihren Domain-Namen sein
    - SSLCertificateKeyFile sollte die Schlüsseldatei sein, die Sie bei der Erstellung des CSR generiert haben.
    - SSLCertificateChainFile sollte die Zwischenzertifikatsdatei sein, die von uns erhalten haben.

  • Speichern Sie die Änderungen und beenden Sie den Text-Editor.

  • Starten Sie den Apache Webserver mit den nachfolgenden Kommandos neu:

    /usr/local/apache/bin/apachectl startssl
    /usr/local/apache/bin/apachectl restart


    Nützliche Links:

    Apache Support: httpd.apache.org/docs/1.3/misc/FAQ.html

    Erstellung eines SSL-Zertifikats mit Apache+mod ssl : http://slacksite.com/apache/certificate.php

    Apache + SSL auf Win32 Systemen HowTo: http://tud.at/programm/apache-ssl-win32-howto.php3
Wie installiere ich mein SSL-Zertifikat auf dem IIS 7 ( Windows Server 2008 )

Microsoft´s Serverplattform, Windows Server 2008 verwendet die Internet Information Services (IIS) 7.0. Die neue Version bringt große Veränderungen mit sich, was die Verwaltung von SSL Zertifikaten betrifft. Speziell im Bezug auf die Einrichtung der Zertifikate, die bei dieser Version viel einfacher geworden ist.

Zusätzlich zu den bereits bekannten Optionen SSL – Zertifikate zu bestellen und zu installieren, beinhaltet der IIS 7 die Möglichkeit:

  • mehr als ein Zertifikat gleichzeitig zu generieren
  • auf einfachem Weg SSL – Zertifikate zu importieren, exportieren und zu verlängern.
  • self-signed Zertifikate zu Testzwecken schnell zu erstellen.


Dieser Artikel führt Sie durch den Bestellvorgang um ein EuropeanSSL-Zertifikat auf einem IIS 7 / Windows Server 2008 einzurichten.


Erstellung des Certificate Signing Requests

Der erste Schritt beginnt bereits vor der eigentlichen Bestellung, bei der Erstellung eines Certificate Signing Request (CSR) . Auf dem IIS7 ist das sehr einfach :

  • 1. Klicken Sie auf das Start-Menue, navigieren Sie dann zu "Administrative Tools" und klicken Sie den Internet Information Services (IIS) Manager an.
  • 2. Klicken Sie im Bereich "Connections" links auf den Namen des Servers und wählen Sie danach die Option "Server Certificates" per Doppelklick aus.
  • 3. Klicken Sie nun bitte in der Spalte "Actions" auf der rechten Seite auf "Create Certificate Request".
  • 4. Tragen Sie nun alle Daten zu Ihrem Unternehmen und dem Hostnamen, für den Sie ein Zertifikat benötigen in die vorgegebenen Felder ein.

    Begriffserklärungen:

    Common Name: der Hostname, für den Sie ein Zertifikat benötigen.

    Organization: Der Name Ihres Unternehmens. Bitte geben Sie hier die genaue Bezeichnung inklusive der Firmenart ( GmbH, AG, etc.. ) an.

    Organizational Unit: Die Abteilung, die das Zertifikat verwaltet und einrichtet.

    City / Locality: Geben Sie hier bitten den Firmensitz des Unternehmens an.

    State / Province: Geben Sie hier das Bundesland an.

    Country / Region: Hier tragen Sie bitte das Länderkürzel ein.

    Nach Eingabe aller Informationen klicken Sie bitte auf "Next"

  • 5. Belassen Sie den voreingestellten Default Cryptographic Service Provider wie er ist und stellen Sie die Bit-Länge auf mindestens 2048 bit oder höher. Klicken Sie danach bitte auf "Next"
  • 6. Im letzten Schritt geben Sie bitte über die Ordnerauswahl ( Button mit 3 Punkten ) an, unter welchem Namen und in welchem Ordner der CSR gespeichert werden soll. Klicken Sie danach bitte auf "Finish".


    Den nun erstellten CSR können Sie jetzt für die Bestellung Ihres EuropeanSSL Zertifikats verwenden.



Installation des SSL - Zertifikats auf dem IIS 7

Um ihr neues EuropeanSSL – Zertifikat auf de IIS 7 einzurichten, kopieren Sie die Datei im ersten Schritt auf Ihren Webserver.

  • 1. Klicken Sie auf das Start-Menue, navigieren Sie dann zu "Administrative Tools" und klicken Sie den Internet Information Services (IIS) Manager an.
  • 2. Klicken Sie im Bereich "Connections" links auf den Namen des Servers und wählen Sie danach die Option "Server Certificates" per Doppelklick aus.
  • 3. Klicken Sie nun bitte in der Spalte "Actions" auf der rechten Seite auf "Complete Certificate Request".
  • 4. Über die Ordnerauswahl ( Button mit 3 Punkten ) navigieren Sie bitte zu der erhaltenen Zertifikats-Datei. Zur Sicherheit wählen Sie "view all Types" bei der Auswahl der Anzeige um sicherzustellen, dass die Datei angezeigt wird.
    Im Feld "Friendly Name" geben Sie bitte einen Namen ein, den Sie sich gut merken können, um das Zertifikat später gut wiederzufinden. Klicken sie danach bitte auf "OK".
  • 5. Wenn alle Eingaben korrekt sind, sehen Sie das neu installierte Zertifikat in der Lister ser Server Certificates.
    Wenn Sie die Meldung erhalten, dass der Private Key nicht gefunden wurde, stellen Sie bitte sicher, dass Sie das Zertifikat auf dem gleichen Server installieren, auf dem Sie auch den CSR erstellt haben.


Anmerkung: Bitte beachten Sie, dass die Verwendung des CSR-Generators im Zusammenhang mit dem Webserver IIS generell nicht möglich ist, da dieser ausschließlich Zertifikate akzeptiert, für die der CSR auf dem Server selbst generiert wurde.

Sollte der Server CSR und Zertifikat nicht annehmen, erstellen Sie bitte einen neuen Request auf dem Server und senden Sie uns den neuen CSR unformatiert per Email zu. Gerne stellen wir Ihnen Ihr Zertifikat mit den neuen CSR nochmals aus. Dieser Service ist kostenfrei.


Das Zertifikat an eine Webseite binden

  • 1. Klicken Sie auf das Start-Menue, navigieren Sie dann zu "Administrative Tools" und klicken Sie den Internet Information Services (IIS) Manager an.
  • 2. Klicken Sie im Bereich "Connections" die Webseite an, die Sie mit dem Zertifikat verknüpfen möchten. Danach klicken Sie in der rechten Spalte auf "Bindings".
  • 3. Klicken Sie nun auf den Button "Add"
  • 4. Das Feld "Type" ändern Sie bitte auf "https" und wählen danach im Feld "SSL Certificate" das Zertifikat aus, das Sie mit der Webseite verknüpfen möchten ( Die Liste zeigt Ihre Zertifikate mit dem zuvor angelegten "Friendly Name" an. ) . Klicke Sie auf "OK".
  • 5. In der Liste der Verknüpfungen sehen Sie nun die Verknüpfung für https mit dem Port 443. Klicken Sie auf "Close".



Ein Zwischenzertifikat auf dem IIS 7 einrichten

Die Installation des mitgelieferten Zwischenzertifikats ist wichtig, wird dieses Zertifikat nicht installiert, ist die Certificate Chain nicht geschlossen und der Browser stuft Ihr Zertifikat als ungültig / nicht vertrauenswürdig ein.

  • 1. Laden Sie das Zwischenzertifikat in einen Ordner auf Ihrem Webserver.
  • 2. Klicken Sie das Zwischenzertifikat per Doppelklick an, um sich die Zertifikats-Details anzeigen zu lassen.
  • 3. Im Reiter "General" klicken Sie dann bitte auf den Button "Install Certificate", um den Import Wizard zu öffnen. Klicken Sie dann bitte auf "Next".
  • 4. Im Certificate Import Wizard wählen Sie die Option "Place all certificates in the following store" und klicken Sie dann auf "Browse...".
  • 5. Aktivieren Sie nun die Option "show physical stores", erweitern Sie den Ordner "Intermediate Certification Authorities" und markieren Sie den Ordner "Local Computer"

    Klicken Sie nun auf "OK", dann auf "Next" und danach auf "Finish", um die Installation des Zwischenzertifikats abzuschließen.


Gegebenenfalls kann es notwendig sein, den IIS 7 neu zu starten. Ob die Installation des Zertifikats wunschgemäß funktioniert hat können Sie einfach überprüfen, indem Sie die Webseite mit https statt wie gewohnt mit http aufrufen.
Wie installiere ich mein SSL-Zertifikat auf dem IIS 5 und 6 ?

Die Installation eines SSL-Zertifikats auf dem IIS 5 und 6 ist recht einfach. Der IIS Wizard wird Sie durch alle wichtigen Schritte leiten, die für die Erstellung eines CSR und Verknüpfung mit der gewünschten Webseite notwendig sind.

Anmerkung: Bitte beachten Sie, dass die Verwendung des CSR-Generators im Zusammenhang mit dem Webserver IIS generell nicht möglich ist, da dieser ausschließlich Zertifikate akzeptiert, für die der CSR auf dem Server selbst generiert wurde.

Nachdem Sie Ihr SSL – Zertifikat erfolgreich bestellt und erhalten haben, können Sie mit der Installation auf dem Webserver beginnen.


Installation des Server Zertifikats

  • 1. Klicken Sie auf das Start-Menue, navigieren Sie dann zu "Administrative Tools" und klicken Sie den Internet Information Services (IIS) Manager an.
  • 2. Klicken Sie auf "WebSites". Klicken Sie danach mit der rechten Maustaste auf die "Default Web Site" und wählen Sie aus den Optionen den Punkt "Eigenschaften".
  • 3. Im nächsten Fenster rufen Sie bitte den Reiter "Directory Security" auf und klicken dann auf den Button "Server Certificate" im Bereich Secure Communications. Dies wird den Certificate Wizard öffnen. Klicken Sie auf "Next".
  • 4. Im IIS Certificate Wizard aktivieren Sie bitte die Option "Process pending requests and install the certificate". Klicken Sie danach auf "Next".
  • 5. Klicken Sie nun auf "Browse..." und navigieren Sie zu Ihem erhaltenen SSL – Zertifikat. Zur Sicherheit wählen Sie "view all Types" bei der Auswahl der Anzeige um sicherzustellen, dass die Datei angezeigt wird.
  • 6. Klicken Sie auf "Next" und schließen Sie die weiteren Schritte im Wizard ab.


Installation des Zwischenzertifikats


  • 1. Laden Sie das Zwischenzertifikat in einen Ordner auf Ihrem Webserver.
  • 2. Klicken Sie das Zwischenzertifikat per Doppelklick an, um sich die Zertifikats-Details anzeigen zu lassen.
  • 3. Im Reiter "General" klicken Sie dann bitte auf den Button "Install Certificate", um den Import Wizard zu öffnen. Klicken Sie dann bitte auf "Next".
  • 4. Im Certificate Import Wizard wählen Sie die Option "Place all certificates in the following store" und klicken Sie dann auf "Browse...".
  • 5. Aktivieren Sie nun die Option "show physical stores", erweitern Sie den Ordner "Intermediate Certification Authorities" und markieren Sie den Ordner "Local Computer"


Klicken Sie nun auf "OK", dann auf "Next" und danach auf "Finish", um die Installation des Zwischenzertifikats abzuschließen.


Gegebenenfalls kann es notwendig sein, den Server neu zu starten. Ob die Installation des Zertifikats wunschgemäß funktioniert hat können Sie einfach überprüfen, indem Sie die Webseite mit https statt wie gewohnt mit http aufrufen.


Hilfreiche Links:

Implementieren von SSL in IIS : http://support.microsoft.com/kb/299875
Wie transferiere oder kopiere ich ein SSL Zertifikat von einem Windows Server zu einem anderen Windows Server?

Das Kopieren eines SSL Zertifikats von einem auf den anderen Server kann dann notwendig sein, wenn Sie mehrere Server betreiben und ein WildCard Zertifikat einsetzen möchten. Der Export eines SSL Zertifikats ist dann sehr wichtig, wenn Sie Ihren Hosting Anbieter wechseln.

An dieser Stelle gehen wir davon aus, dass Sie Ihr SSL Zertifikat bereits erfolgreich auf einem der Windows Webserver installiert haben. Die nachfolgende Anleitung erklärt Ihnen in 3 Abschnitten, wie Sie das eingerichtete Zertifikat auf einen anderen Server kopieren oder übertragen.

  • Export des SSL-Zertifikats zusammen mit Private Key und allen Zwischenzertifikaten in eine .PFX Datei.
  • Import des SSL-Zertifikats und Private Key auf den neuen Server.
  • Konfiguration der Webseite im Zusammenhang mit Ihrem SSL Zertifikat.


Bitte beachten: Diese Anleitung erklärt Ihnen den Export eines SSL Zertifikats mithilfe der MMC Konsole. Wenn Sie einen Windows Server 2008 (IIS7) verwenden, können Sie das Zertifikat direkt im "Server Certificates" Bereich des IIS exportieren.

Export des Zertifikats über die Windows MMC Konsole


  • Klicken Sie im Start Menue auf "Ausführen".
  • Geben Sie mmc ein und klicken Sie "OK"
  • Klicken Sie auf das Menue "File" und dann auf "Add/Remove Snap-in..."
  • Wenn Sie den Windows Server 2003 verwenden, klicken Sie auf den Button "Add". Danach klicken Sie bitte per Doppelklick auf "Certificates".
  • Markieren Sie die Option "Computer Account" und klicken Sie danach auf "Next".
  • Belassen Sie die voreingestellte Option "Local Computer" und klicken Sie auf "Finish"
  • Wenn Sie den Windows Server 2003 verwenden, klicken Sie bitte auf den Button "Close". Dann "OK".
  • Klicken Sie nun bitte auf den Plus Button im linken Menue neben "Certificates".
  • Klicken Sie nun wieder auf den Plus Button neben "Personal Folder" und klicken Sie dann auf den Ordner "Certificates". Per Rechte Maustaste klicken Sie bitte das Zertifikat an, das Sie exportieren möchten. Wählen Sie dann "All Tasks" und danach die Option "Export...".
  • Im Certificate Export Wizard klicken Sie bitte auf "Next".
  • Wählen Sie nun bitte die Option "Yes, export the private key" und klicken Sie dann auf "Next".
  • Im Bereich "Personal Information Exchange" markieren Sie bitte die Option "Include all Certificates in the certificate path if possible"
  • Legen Sie nun bitte ein Passwort an, das Sie sich gut merken können. Dieses Passwort wird jedes Mal benötigt, wenn Sie das Zertifikat auf einem anderen Server importieren möchten.
  • Klicken Sie auf "Browse" und wählen Sie einen Speicherort für die .pfx Datei. Wählen Sie als Dateinamen einen Namen in der Art "meinedomain.pfx" und klicken Sie danach auf "Next".
  • Klicken Sie auf "Finish". Die .pfx Datei mit Ihrem Zertifikat und dem private key ist nun in dem Ordner abgelegt, den Sie zuvor angegeben haben.


Import eines Zertifikats über die Windows MMC Konsole.

Nachdem Sie Ihr Zertifikat erfolgreich exportiert haben,laden Sie die erstellte .pfx Datei bitte auf den neuen Server.

  • Klicken Sie im Start Menue auf "Ausführen".
  • Geben Sie mmc ein und klicken Sie "OK"
  • Klicken Sie auf das Menue "File" und dann auf "Add/Remove Snap-in..."
  • Wenn Sie den Windows Server 2003 verwenden, klicken Sie auf den Button "Add". Danach klicken Sie bitte per Doppelklick auf "Certificates".
  • Markieren Sie die Option "Computer Account" und klicken Sie danach auf "Next".
  • Belassen Sie die voreingestellte Option "Local Computer" und klicken Sie auf "Finish"
  • Wenn Sie den Windows Server 2003 verwenden, klicken Sie bitte auf den Button "Close". Dann "OK".
  • Klicken Sie mit der rechten Maustaste auf den Ordner "Personal", wählen Sie dann bitte die Option "All Tasks" und danach "Import..."
  • Im Certificate Import Wizard klicken Sie bitte auf "Next".
  • Klicken Sie nun bitte auf den "Browse..." Button und ändern Sie den Datei-Typ von "x.509..." auf "Personal Information exchange (*.pfx, *.p12). Suchen Sie nun die importierte .PFX Datei und klicken Sie auf "Open", dann auf "Next".
  • Hier geben Sie bitte das zuvor angelegte Passwort für Ihre .pfx Datei an. Achten Sie darauf die Option "Mark this key as exportable" zu aktivieren. Damit stellen Sie sicher, dass Sie das Zertifikat auch von diesem Server wieder exportieren können. Klicken Sie danach auf "Next".
  • Im nächsten Fenster markieren Sie bitte die Option "Automatically select the certificate store based on the type of certificate" und klicken dann auf "Next".
  • Klicken Sie auf "Finish" um den Import Wizard abzuschließen.
  • Sie können nun den "Resfresh" Button in der Toolbar anklicken, danach sehen Sie das Zertifikat im Ornder Personal / Certificates.
  • Ihre Installation können Sie überprüfen, indem Sie das Zertifikat per Doppelklick anklicken und den Eintrag "You have a private key that corresponds to this certificate" am Ende der Seite suchen.
  • Schließen Sie die MMC Konsole. Ein weiteres speichern ist nicht notwendig.


Das importiere SSL Zertifikat zuweisen.

Nachdem Sie die .pfx Datei erfolgreich importiert haben, muss es im IIS noch zugewiesen werden.

  • rufen Sie im IIS den Hostnamen auf, dem das Zertifikat zugewiesen werden soll.
  • Rufen Sie auf den Reiter "Diretory Security" auf und klicken Sie dort auf den Button "Server Certificate" um den Server Certificate Wzard zu starten.
  • Wenn Sie für diesen Hostnamen bereits ein Zertifikat eingerichtet haben müssen Sie es zuerst entfernen und den Wizard neu starten.
  • Klicken Sie nun auf "Assign an existing Certificate" und danach auf "Next".
  • Wählen Sie das importierte Zertifikat aus und klicken Sie auf "Next".
  • Klicken Sie auf "Finish". Gegebenenfalls kann es notwendig sein, den Server neu zu starten, damit das Zertifikat für den Hostnamen funktioniert.
SSL Einrichtung unter Exim 4.x

Nachfolgend finden Sie eine Beschreibung zur Einrichtung des SSL Zertifikats. Hierbei wird vorausgesetzt, dass das Zertifikat und der private Schlüssel bereits auf dem Server vorhanden sind:

Bitte legen Sie die Daten in den zugehörigen Verzeichnissen ab:

Privater Schlüssel:

/etc/ssl.key/example.com.key

Zertifikat:

/etc/ssl.crt/example.com.crt


Wenn Sie die oben genannen Grundvoraussetzungen erfüllt haben, können Sie mit der Einrichtung beginnen:


  • Loggen Sie sich auf Ihrem Server ein
  • Öffnen sie nun die Konfigurationsdatei /etc/exim4/conf.d/main/01_exim4-config_listmacrosdefs mit einem Editor Ihrer Wahl.
  • Fügen Sie nun folgende Zeile der Konfiguration hinzu.
  • Aktivieren Sie TLS

    MAIN_TLS_ENABLE =
    true

  • Geben Sie den Pfad zum Zertifikat an.

    MAIN_TLS_CERTIFICATE =
    /etc/ssl.crt/example.com.crt

  • Geben Sie den Pfad zum privaten Schlüssel an

    MAIN_TLS_PRIVATEKEY =
    /etc/ssl.key/example.com.key

  • Speichern Sie ab und verlassen Sie den Editor.


  • Aktivieren Sie nun die geänderte Exim4-Konfiguration.

    update-exim4.conf

  • Starten Sie nun den Exim4 Dienst neu.

    /etc/init.d/exim4 restart


Das Zertifikat ist nun installiert und TLS aktiviert.
CSR Einrichtung unter OpenSSL

Nachfolgend finden Sie eine Beschreibung, wie Sie unter OpenSSL einen Certificate Signing Request (CSR) generieren.


Rufen Sie das Programm openssl auf, um die Aufforderung zu erzeugen:

openssl req -nodes -new -newkey rsa:2048 -out csr.pem

Dies erzeugt einen privaten Schlüssel und eine zugehörige Zertifikatsanfrage. Es erscheint nun folgende Ausgabe auf ihrem Bildschirm:

# Generating a 2048 bit RSA private key
# ...............................................++++++
# ............................++++++
# writing new private key to 'privkey.pem'
# -----
# You are about to be asked to enter information that will be incorporated
# into your certificate request.
# What you are about to enter is what is called a Distinguished Name or a DN.
# There are quite a few fields but you can leave some blank
# For some fields there will be a default value,
# If you enter '.', the field will be left blank.
# -----


Im Anschluss werden Ihnen Fragen zu den Registrierungsinformationen gestellt.

  • Tragen Sie den 2-stelligen Ländercode (DE = Deutschland) ein.

    # Country Name (2 letter code) [AU]: DE

  • Geben Sie Ihr Bundesland an.

    # State or Province Name (full name) [Some-State]: Berlin

  • Geben Sie Ihre Stadt an.

    # Locality Name (eg, city) []:Berlin

  • Geben Sie Ihren Namen bzw. Firmennamen an.

    # Organization Name (eg, company) [Musterfirma GmbH]: Beispiel AG.

  • Geben Sie die verantwortliche Abteilung (falls vorhanden) an.

    # Organizational Unit Name (eg, section) []: ---

  • Geben Sie den genauen Domainnamen an, welcher durch das Zertifikat geschützt werden soll. Wichtig: Zertifikat ist dann auch nur für diese Eingabe gültig.

    # Common Name (eg, YOUR name) []:example.com

  • Geben Sie die E-Mailadresse des Verantwortlichen ein.

    # Email Address []: hostmaster@example.org

  • Die nachfolgenden Angaben sind optional.

    # Please enter the following 'extra' attributes
    # to be sent with your certificate request
    # A challenge password []:
    # An optional company name []:


Es wurden nun die Dateien privkey.pem und csr.pem erstellt, welche den privaten Schlüssel und die Zertifikatsanforderung beinhalten.
Wir haben Windows Server 2003 bzw. Windows XP installiert. Leider wird uns dieses mit folgender Fehlermeldung angezeigt: The integrity of this certificate cannot be guaranteed. The certificate may be corrupted or may have been altered.

Im Zuge der Umstellung auf SHA2 muss auf der Plattform Windows Server 2003 zwei Hotfixe installiert werden, die diesen Fehler beheben. Für Windows XP muss ServicePack 3 installiert sein.
Eine nähere Beschreibung des Problems können Sie im Technik-Blog von Microsoft finden ( http://blogs.technet.com/b/germany/archive/2013/04/15/sha1-sha2-und-windows-xp-amp-windows-server-2003.aspx).