HowTo: SSL-Zertifikat von StartSSL in ISPConfig einbinden

 

Anleitung: Wie man ein (kostenloses) SSL-Zertifikat von StartSSL bekommt und es im Menü von ISPConfig einrichtet.

Verification Code eingeben

Verification Code eingeben

Registrierung bei StartSSL

Registrierung bei StartSSL

Zuerst muss man sich bei StartSSL registrieren. Wenn Sie bereits registriert sind, dann können Sie diese Schritte natürlich überspringen.
Zur Registrierung rufen Sie die Seite startssl.com auf und klicken auf Sign-Up.

Dann füllen Sie die Anmeldemaske aus. Gefragt wird nach Land und EMail-Adresse. Dies kann eine Mail-Adresse der Domain sein, für die das SSL-Zertifikat bestimmt ist, muss aber nicht.

Nach dem Abschicken erhalten Sie an diese Adresse eine Email mit einem Verification Code, den Sie im entsprechenden Feld eingeben. Nach einem Klick auf „Sign Up“ geht es weiter.

 

Anfordern des Clientzertifikates

Anfordern des Clientzertifikates

Clientzertifikat installieren

Clientzertifikat installieren

Nachdem Sie mit dem Code Ihre Email-Adresse bestätigt haben, fragt der Browser, ob er ein Zertifikat anfordern soll. Dies bestätigen Sie mit „Ja“. Es handelt sich dabei noch nicht um das SSL-Zertifikat für die Domain, sondern um ein Client-Zertifikat, dass Sie in Ihrem Browser installieren. Damit können Sie sich später bei startssl.com anmelden, ohne Benutzername oder Passwort einzugeben.

Der Browser fragt nochmal, ob er das empfangene Zertifikat wirklich installieren soll. Auch dies bestätigen Sie mit „Ja“.

 

 

 

Clientzertifikat installiert

Clientzertifikat installiert

Login bei StartSSL

Login bei StartSSL

Wenn alles geklappt hat, dann sollte das etwa so aussehen wie links abgebildet.

Nun befinden Sie sich auf der Startseite (siehe rechts). Registriert sind Sie nun schon, also klicken Sie hier auf „Authenticate“. Der Browser fragt Sie jetzt, mit welchem Zertifikat Sie sich an der Webseite anmelden möchten. Wählen Sie das eben installierte StartSSL-Zertifikat aus und klicken Sie „OK“.

 

 


Domainvalidierung

Domainvalidierung

Domainvalidierung

Domainvalidierung

Nachdem Sie jetzt angemeldet sind, können Sie mit der Validierung Ihrer Domain beginnen. Hierbei sendet StartSSL eine EMail an eine Adresse dieser Domain, um zu prüfen, ob Sie wirklich der Eigentümer der Domain sind. Das muss nicht die gleiche Adresse sein, die Sie zur Registrierung verwendet haben. Sie können mit einem registrierten Account auch SSL-Zertifikate für mehrere Domains beziehen.

Wählen Sie unter dem Reiter „Validations Wizard“ den Punkt „Domain Validation“ und klicken Sie auf „Continue“. Jetzt werden Sie nach der Domain gefragt, die Sie validieren möchten. Geben Sie die Domain hier ein, ohne Subdomain. Also z.B. astrophotos.de – nicht www.astrophotos.de

 

Domainvalidierung

Domainvalidierung

Es erscheint jetzt eine Auswahlmaske mit drei möglichen Email-Adressen zu Ihrer Domain. Eine davon müssen Sie abrufen können, um fort zu fahren. Falls es keine dieser Adressen gibt, legen Sie jetzt ein Postfach oder eine Weiterleitung an. Nach dem Klick auf „Send Verification Code“ sendet Ihnen das System eine Mail an die ausgewählte Adresse. Diese Mail enthält wieder einen Verification Code, den Sie im entsprechenden Feld eingeben. Beachten Sie, dass Sie dazu nur eine Minute Zeit haben! Dieser Vorgang dient dazu, zu beweisen, dass Sie wirklich der Eigentümer oder Verfügungsberechtigte für die Domain sind.

 

 

 


SSL-Zertifikat anfordern

SSL-Zertifikat anfordern

ISPConfig SSL Zertifikat anfordern

ISPConfig SSL Zertifikat anfordern

Da Sie jetzt bewiesen haben, dass Sie der Besitzer der Domain sind, können Sie jetzt endlich ein SSL-Zertifikat für die Domain anfordern. Dazu öffnen Sie den Reiter „Certificates Wizard“ und wählen „Web Server SSL/TLS Certificate“ aus. Nach dem Klick auf „Continue“ können Sie bis zu fünf Subdomains angeben, für die das Zertifikat gültig sein soll. Es empfiehlt sich, hier die „nackte“ Domain (ohne Subdomain) und die Sobdomain www. anzugeben. Aber das hängt von Ihrem Verwendungszweck ab.

Als zweites müssen Sie ein Certificat Signing Request (CSR) eingeben. Dieses erstellen Sie im ISPConfig-Kundenmenü unter „Webseiten“ im Reiter „SSL“. Befüllen Sie die Felder Bundesland, Ort, Firma, Abteilung und Land mit sinnvollen Werten und wählen Sie die Domain aus. Unten bei „SSL-Aktion“ wählen Sie „Zertifikat erstellen“ aus und klicken auf „Speichern“.

Dieser Vorgang kann jetzt bis zu zwei Minuten dauern. Bitte haben Sie Geduld und klicken Sie in dieser Zeit nicht nochmal auf „Speichern“.

ISPConfig SSL-Zertifikat Request

ISPConfig SSL-Zertifikat Request

SSL-Zertifikat CSR Request

SSL-Zertifikat CSR Request

Laden Sie die Seite neu, indem Sie im linken Menü auf den Punkt „Webseite“ klicken und die entsprechende Webseite auswählen. ISPConfig hat jetzt einen SSL-Key (privater Schlüssel), ein SSL-Request (Certificate Signing Request, CSR) und ein selbstsigniertes SSL-Zertifikat erstellt. Ihre Webseite kann somit bereits via HTTPS aufgerufen werden. Das dabei verwendete Zertifikat ist aber nur vom Webserver selbst signiert, nicht von einer vertrauenswürdigen Stelle. Die meisten Webbrowser präsentieren deswegen eine Warnmeldung, wenn man sie Seite besuchen möchte.

Um das SSL-Zertifikat von StartSSL einzubinden kopieren Sie den Inhalt des Feldes SSL-Request (komplett von Anfang bis Ende) in das Eingabefeld „CSR“ im „Certificates Wizard“. Klicken Sie dann auf „Submit“.

 

SSL-Zertifikat herunterladen

SSL-Zertifikat herunterladen

SSL-Zertifikat in ISPConfig einbinden

SSL-Zertifikat in ISPConfig einbinden

Nach einem Moment Ladezeit erscheint eine grüne Erfolgsmeldung mit einem Download-Link. Hier laden Sie die ZIP-Datei mit Ihrem SSL-Zertifikat herunter. Heben Sie diese Datei gut auf und machen Sie Sicherungskopien!

Öffnen Sie die ZIP-Datei (vorsichtige Menschen wie ich schicken sie vorher durch den Virenscanner – wie alles, was aus dem Internet geladen wird). Sie enthält vier ZIP-Archive für Apache-, IIS-, Nginx- und andere Webserver. Bei SECO EDV-Systeme ist ein Apache Webserver im Einsatz, also öffnen Sie die Datei ApacheServer.zip.

Darin sind zwei Dateien enthalten: root_bundle.crt und domain.crt. Diese öffnen Sie in einem Texteditor und kopieren den Inhalt von root_bundle.crt in das Feld SSL-Bundle im ISPConfig-Kundenmenü. Den Inhalt von domain.crt kopieren Sie in das Feld SSL-Zertifikat. Die bestehenden Inhalte der beiden Eingabefelder werden dabei nicht beibehalten sondern gelöscht bzw. überschrieben. Denn das selbstsignierte SSL-Zertifikat soll ja nicht mehr verwendet werden.

Die Felder SSL-Key und SSL-Request bleiben unverändert. Bei SSL-Aktion wählen Sie „Zertifikat speichern“ aus und klicken auf den Button „Speichern“.

Seitenaufruf via HTTPS

Seitenaufruf via HTTPS

Webseite mit gültigem SSL-Zertifikat

Webseite mit gültigem SSL-Zertifikat

Dieser Vorgang kann wieder zwei Minuten dauern. Danach öffnen Sie die Domain in einem Webbrowser und kontrollieren das Ergebnis. Wenn alles geklappt hat, dann ist die Domain jetzt via HTTPS erreichbar und mit einem gültigen, vertrauenswürdigen Zertifikat ausgestattet.