Ein benutzerdefiniertes SSL-Zertifikat importieren

Diese Anleitung erklärt, wie…

1. … eine CSR und einen privaten Schlüssel erstellen, um einen Drittanbieterzertifikat bei einer Zertifizierungsstelle (CA) zu beantragen
2. … diesen Zertifikat für Ihre Infomaniak-Website importieren, mithilfe der CRT Datei, die Sie von der CA erhalten haben.

Vorbemerkung

• Obwohl Infomaniak alle SSL-Zertifikate anbietet, die Sie benötigen könnten…
  • kostenlose Let's Encrypt Zertifikate für persönliche Websites (nur möglich mit bei Infomaniak gehosteten Websites)
  • DV Zertifikate von Sectigo für berufliche/private Websites, die nicht im Handelsregister eingetragen sind
  • EV Zertifikate von Sectigo für Unternehmen, die im Handelsregister eingetragen sind
• Es ist auch möglich, ein SSL-Zertifikat zu installieren, das woanders erhalten wurde (Zwischenzertifikat/intermediate von einer Zertifizierungsstelle Ihrer Wahl), benutzerdefinierte oder selbstsignierte Zertifikate.

1. Eine CSR (Certificate Signing Request) erstellen

Eine CSR (Certificate Signing Request oder Zertifikatsignieranfrage) ist eine codierte Datei, die die notwendigen Informationen zum Anfordern eines SSL/TLS-Zertifikats enthält. Sie muss auf Ihrer Seite erstellt werden, um sicherzustellen, dass der private Schlüssel unter Ihrer Kontrolle bleibt, z. B. mit OpenSSL.

Passen Sie den folgenden Befehl an und führen Sie ihn in einer Anwendung vom Typ Terminal (Kommandzeilenschnittstelle, CLI / Command Line Interface) auf Ihrem Gerät aus:

openssl req -utf8 -nodes -sha256 -newkey rsa:2048 -keyout domain.xyz.key -out domain.xyz.csr -addext "subjectAltName = DNS:domain.xyz, DNS:www.domain.xyz"

Erläuterungen

• newkey rsa:2048: Erzeugt einen neuen RSA-Schlüssel mit 2048 Bit.
• keyout domain.xyz.key: Gibt die Datei an, in der der private Schlüssel gespeichert wird.
• out domain.xyz.csr: Gibt die Datei an, in der die CSR gespeichert wird.
• addext „subjectAltName = ...“: Fügt zusätzliche Domänen über die Erweiterung SAN (Subject Alternative Name) hinzu, die erforderlich ist, um alle gewünschten Domänen im Zertifikat zu enthalten (die Hauptdomäne domain.xyz + jede andere zugehörige Domäne oder Subdomäne, wie www.domain.xyz).

Nach der Erstellung können Sie den Inhalt der CSR mit dem folgenden Befehl überprüfen:

openssl req -in domain.xyz.csr -noout -text

Das ermöglicht es, zu überprüfen, dass alle in subjectAltName aufgeführten Domänen korrekt enthalten sind.

Sobald die CSR erstellt wurde, können Sie diese an die Zertifizierungsstelle (CA) senden, um Ihr SSL/TLS-Zertifikat zu erhalten.

2. Externes Zertifikat importieren

Sobald die CA validiert ist, stellt sie Ihnen ein Zertifikat (domain.xyz.crt) und manchmal ein Zwischenzertifikat (ca_bundle.crt) aus. Um auf die Verwaltung der SSL-Zertifikate zuzugreifen:

1. Klicken Sie hier, um auf die Verwaltung Ihres Produkts im Infomaniak Manager zuzugreifen (Hilfe benötigen?).
2. Klicken Sie direkt auf den Namen, der dem betreffenden Produkt zugeordnet ist.
3. Klicken Sie auf SSL-Zertifikate im linken Seitenmenü.
4. Klicken Sie auf die blaue Schaltfläche Zertifikat installieren:
   
5. Wählen Sie das benutzerdefinierte Zertifikat aus.
6. Klicken Sie auf die Schaltfläche Weiter:
   
7. Importieren Sie Ihr Zertifikat und den privaten Schlüssel, entweder durch Importieren der Dateien .crt und .key oder durch Kopieren und Einfügen.
8. Klicken Sie auf Abschließen:
   

Alternativer Befehl zum Generieren eines selbstsignierten Zertifikats (optional)

Wenn Sie ein lokales Zertifikat nur für Tests oder ohne eine CA (nicht für die Produktion empfohlen) benötigen, können Sie diesen Befehl verwenden:

openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout domain.xyz.key -out domain.xyz.crt -addext “subjectAltName = DNS:domain.xyz, DNS:www.domain.xyz”

Dies erzeugt sowohl ein selbstsigniertes Zertifikat (domain.xyz.crt) als auch einen privaten Schlüssel (domain.xyz.key). Selbstsignierte Zertifikate werden jedoch von Browsern oder öffentlichen Systemen nicht als gültig anerkannt. Sie eignen sich nur für interne oder Entwicklungsumgebungen.