Howto: Zertifikate für mehrere Server/Hosts erneuern
Wie tauscht man am effizientesten ein Zertifikat?
Howto:
Um zwischen zwei Netzwerkknoten Daten auszutauschen, ohne dass alle Welt diese einfach im Klartext mitlesen kann, ist eine verschlüsselte Verbindung erforderlich. Besonders wichtig ist so eine verschlüsselte Verbindung für Webseiten, bei denen Login-Daten oder ähnlich sensible Daten abgefragt werden. Man erkennt solche verschlüsselten Verbindungen an dem https-Protokoll dessen Bezeichnung in der Web-Adresse (URL) vorne angestellt ist.
So eine verschlüsselte Verbindung wird mittels eines sogenannten Zertifikats gesichert. Ist das Zertifikat nicht vertrauenswürdig, ist dies in der Adressleiste des Browsers deutlich gekennzeichnet mit dem Hinweis das die Verbindung möglicherweise nicht vertrauensvoll ist, z.B. bei selbst ausgegebenen Zertifikaten. Die bedeutet nicht, dass die Verbindung nicht gesichert ist, sondern nur das dem Zertifikat, oder dem bereitstellenden Server/Host nicht vertraut wird. Gründe dafür können unter anderem zeitlich abgelaufene Zertifikate oder nicht als vertrauenswürdig eingestufte Zertifizierungsstellen sein.
Gesicherte Verbindungen werden von z.B. Netzwerk von Synology, Mailservern von Kerio oder von Firewalls für ihre VPN-Tunnel verwendet.
Bevor das Zertifikat abgelaufen ist, sollte es ersetzt werden, weil einige Browser oder Endgeräte, wie z.B. Apples iPhone solche unvertrauten Verbindungen gar nicht erst zulassen, z.B. zu Email-Servern.
Um ein neues Zertifikat zu beschaffen muss man zunächst eine Zertifikats-Anfrage (CSR) erzeugen, mit der man das Zertifikat bei der Zertifizierungsstelle beantragt. Mit diesem CSR zusammen erzeugt der Server, auf dem der CSR erstellt wird auch gleich den privaten Schlüssel (*.key). Sehr wichtig!!! Diesen sollte man bei sich speichern und nicht an unautorisierte Dritte übergeben. Man benötigt den privaten Schlüssel später beim hinterlegen des Zertifikats auf den Servern, für die das Zertifikat gilt. Das sind alle Server/Host deren (Sub)Domain im Zertifikat unter (alternativer)Antragsteller steht. Ja, man kann mit einem Zertifikat auch mehrere (Sub)Domains absichern. Bei mehreren (Sub)Domains ist es oft sinnvoll gleich eine sogenanntes Wildcard-Zertifikat (*.meine-Domain.Endung) zu bestellen.
Die Zertifizierungsstelle stellt das neue Zertifikat in wenigen Minuten bereit, nachdem die Inhaberschaft der Domain meist durch eine Email an
Nun lädt man das Zertifikat beim Zertifikate-Anbieter deines Vertrauens herunter. Es besteht aus dem Zertifikat (*.cer,*crt), dem Stamm-Zertifikat und dem Zwischen-Zertifikat. Die letzten beiden sind übergeordnet und sollten für eine intakte Zertifikats-Kette auf den Clients installiert sein, z.B. per Gruppenrichtlinie (GPO).
Sollte ein anderer Zertifikats-Typ benötigt werden, kann dieser einfach mit dem Programm OpenSSL erzeugt werden. Den neuesten Installer findest du im OpenSSL-Wiki und hier für Windows.
Quellen s. weiter unten
Stand: 11/2023
Diese Tipps dienen als knowledgebase zur internen Nutzung. Es steht natürlich jedem frei, dieses Wissen auf eigene Gefahr anzuwenden. Wir empfehlen, den Rat Ihres Netzwerk-Administrators einzuholen, oder uns mit der Lösung Ihres Problems zu beauftragen. Verwendete Markennamen und Warenzeichen sind Namen/Eigentum der jeweiligen Firmen/Hersteller.
Über ein paar liebe Worte und ⭐️⭐️⭐️⭐️⭐️ in unserer Google-Bewertung freuen wir uns, wenn Dir dieser Beitrag gefällt und vielleicht sogar weiterhilft. Einfach hier klicken.