CA-Zertifikate bekommen Sie vom SSLmarket komfortabel

18.12.2015 | Petra Alm

Im Zusammenhang mit der beendeten Unterstützung von der Apache-Funktion SSLCertificateChainFile haben wir die Art der Zusendung von den ausgestellten SSL-Zertifikaten ein wenig verändert. In diesem Artikel möchten wir Ihnen diese Neuheit vorstellen und gleichzeitig das, was gleich geblieben ist, in Erinnerung zurückrufen.

CA-Zertifikate müssen Sie nicht suchen

Einleitend würden wir gerne erwähnen, dass wir in jeder E-Mail mit dem ausgestellten SSL-Zertifikat die richtigen CA-Zertifikate absenden, Sie müssen nach ihnen also nicht suchen. Bei jedem abzusendenden Zertifikat lesen wir Ihnen das Intermediate-Zertifikat über die API der Zertifizierungsstelle ein. Somit ist seine Richtigkeit und aktueller Zustand sichergestellt. Sie müssen nicht fürchten, dass die Intermediate-Zertifikate in unserer Datenbank fest gespeichert sind.

Neues SSL-Zertifikat vom SSLmarket

Die SSL-Zertifikate können Sie in Ihrem Kundenkonto mit SHA-1 oder SHA-2 kostenlos neuausstellen lassen. Neu können Sie auch eine komplette SHA-2-Kette (Chain) samt dem Root CA-Zertifikat ausnutzen. Bei jeder solchen Neuausstellung des Zertifikats ändern sich die ausstellende CA und die Kette des Zertifikats. Sie müssen aber keine Sorge haben, denn von uns erhalten Sie immer die richtigen CA-Zertifikate.

Bei Apache 2.4 ist Ihr Zertifikat und CA-Zertifikat in einer Datei

In einem selbständigen Artikel Apache und SSLCertificateChainFile-Direktive haben wir erklärt, zur welchen Veränderung es bei Apache gekommen ist und was das Ende der Unterstützung von der Direktive SSLCertificateChainFile bedeutet. Da es sich vonseiten Apache um eine Vereinfachung handelt (Zertifikat und Intermediate sind in einer Datei), haben wir für Sie die Lieferung der ausgestellten Zertifikate entsprechend angepasst.

Früher haben Sie das Zertifikat in einer Textform erhalten (als PEM in Base64 gemeint) und die Intermediate-Zertifikate z.B. für Linux in PEM und für Windows in P7B. Da aber Apache nicht mehr eine gesonderte Installation des Intermediate Zertifikats erfordert (also eine gesonderte Direktive und eine gesonderte Datei mit dem CA-Zertifikat), senden wir Ihnen der Einfachheit halber das ausgestellte Zertifikat zusammen mit dem Intermediate zu. Mit dieser Neuheit möchten wir Ihnen die Arbeit mit der Implementierung des Zertifikats auf Apache erleichtern – Sie brauchen jetzt nur unsere Datei linux_cert+ca.pem zu verwenden. In dieser Datei ist Ihr neues Zertifikat und das Intermediate so gespeichert, wie es Apache bevorzugt, und Sie müssen nichts mehr einstellen.

CA-Zertifikate für Windows senden wir in einer binären Form ab, in der Datei P7B. Die Endung indiziert das Format PKCS#7, das Sie als einen Briefumschlag vorstellen können, in dem beide CA-Zertifikate gespeichert sind (also das Intermediate- und das Root-Zertifikat). Das Format benötigen Sie für den Import des Intermediate-Zertifikats auf den Windows Server.

Auch die Arbeit mit älteren Versionen wird erleichtert

Vielleicht arbeiten Sie noch immer mit einer älteren Version des Servers, z.B. mit Apache 2.2 in Debian 6 oder 7. Falls Sie Ihren Server auf Debian 8 und Apache 2.4 noch nicht aktualisiert haben, müssen Sie auf ihm beide Direktiven verwenden: SSLCertificateFile für die Datei mit dem Zertifikat und SSLCertificateChainFile für die Datei mit dem CA-Zertifikat.

Unsere Datei linux_cert+ca.pem können Sie aber in beiden Direktiven ausnutzen und Ihre Zeit bei der Installation sparen. In beiden Direktiven (in SSLCertificateFile und SSLCertificateChainFile) verweisen Sie einfach auf die Datei linux_cert+ca.pem.

In allen Apache-Versionen kann das Intermediate auch in der Direktive SSLCACertificateFile eingestellt werden. Diese ist zwar für die Klient-Zertifikate bestimmt, aber funktioniert auch hier.

Wir hoffen, dass dank dieser kleinen Veränderung Ihre Arbeit mit den SSL-Zertifikaten noch mehr komfortabel wird.

 


Petra Alm
Spezialistin für TLS-Zertifikate
DigiCert TLS/SSL Professional
e-mail: info(at)sslmarket.de