SSL-Zertifikate

Dieser Artikel befasst sich mit Problemen und Lösungen im Zusammenhang mit SSL-Zertifikaten (Website-Zertifikaten), die für die sichere Kommunikation im Web benötigt werden.

SSL (Secure Sockets Layer) ist ein Protokoll, das eine sichere Verbindung zwischen einem Webserver und einem Browser herstellt. Es verwendet eine kleine Datendatei, das so genannte SSL-Zertifikat, das einen kryptografischen Schlüssel an die Daten eines Unternehmens bindet. Dies ermöglicht sichere Transaktionen, Datenübertragungen und Anmeldungen, indem die Kommunikation verschlüsselt wird, wodurch sichergestellt wird, dass sensible Informationen vertraulich und vor dem Abfangen geschützt bleiben.

Als Kunde wird man in der Regel mit SSL-Zertifikaten konfrontiert, wenn der Browser warnt, dass die Website nicht sicher ist.

Oder Sie sind derjenige, der das SSL-Ablaufdatum überwacht, um sicherzustellen, dass Ihr LMS ohne Unterbrechung oder nicht nur mit eingeschränktem Zugang läuft. Überprüfen Sie in diesem Fall das Ablaufdatum des Zertifikats im Browser, indem Sie auf das Icon vor der Website-Adresse klicken

und das Zertifikat aufrufen,

wo Sie das Ausstellungsdatum und das Ablaufdatum Ihres Zertifikats überprüfen können:

Überprüfen Sie das SSL-Ablaufdatum regelmäßig (Sie oder Ihre IT-Abteilung sollten dies intern tun), um es rechtzeitig aktualisieren zu können und so zu vermeiden, dass der Browser anzeigt, dass Ihre Website nicht sicher ist.

IMC stellt keine SSL-Zertifikate aus. Das SSL-Zertifikat wird für Ihre Domain(s) ausgestellt. Ihre IT-Abteilung oder die Person, die die Domäne verwaltet, sollte Zugang zu den Tools haben, mit denen ein neues Zertifikat erstellt werden kann. IMC aktualisiert das Zertifikat für die vom LMS verwendete Domain, stellt aber kein neues Zertifikat aus.

Nachfolgend finden Sie Informationen zum Umgang mit SSL-Zertifikatsproblemen und erfahren, wie Sie sicherstellen können, dass Sie der IMC die für die Aktualisierung des SSL-Zertifikats erforderlichen Daten zur Verfügung gestellt haben.

Möglichkeiten, um der IMC Zertifikate bereitzustellen

Es gibt drei gängige Möglichkeiten, der IMC Zertifikate zur Verfügung zu stellen. Die Hosting-Abteilung der IMC kann eine CSR-Datei generieren, die Sie für die Zertifikatsgenerierung verwenden können, oder Sie können das Zertifikat im PFX-Format hochladen, einschließlich eines privaten Schlüssels oder unter Angabe eines Passworts. Sie können auch ein Zertifikat mit dem privaten Schlüssel bereitstellen.

CSR (Certificate Signing Request) Datei

Die CSR-Datei ist die Datei, die von der Hosting-Abteilung der IMC generiert wird. Sie enthält alle Informationen, die für eine Zertifikatserstellung auf Kundenseite erforderlich sind.
Beispiel für eine CSR-Datei (Inhalt):

In der Regel wenden sich Kunden über ein Service Desk-Request-Ticket an das Support-Team und fragen die Bereitstellung einer CSR-Datei an, um ein neues Zertifikat zu generieren.

Achten Sie darauf anzugeben, für welches System/welche Domäne das Zertifikat benötigt wird, und übermitteln Sie uns die entsprechenden Links zu diesen (STAGE, PROD, DEV usw.). Ein Zertifikat kann für mehrere Systeme verwendet werden, z. B. für eine Domäne und ihre Unterdomänen (Wildcard-Zertifikat), oder jedes System kann ein eigenes Zertifikat erfordern. Dies hängt von der Erstkonfiguration Ihrer Systeme ab.

Das Support-Team fordert die CSR-Datei bei der Hosting-Abteilung an und stellt sie dem Kunden zur Verfügung. Anschließend kann der Kunde (seine IT-Abteilung oder ein entsprechender Spezialist) diese CSR-Datei zur Zertifikatserstellung nutzen.

Wir empfehlen Ihnen dringend, ein neu erstelltes Zertifikat zu überprüfen und sicherzustellen, dass es eine korrekte Gültigkeitsdauer und Domäne hat. Auf Windows-Systemen können Sie einfach auf die .cer-Datei klicken, sie öffnen und die entsprechenden Informationen überprüfen:

Der Kunde schickt eine neue Zertifikatsdatei (in der Regel im .cer-Format), das Support-Team leitet sie an das Hosting-Team weiter, das das aktualisierte Zertifikat auf einem Server hinterlegt. Danach ist das Zertifikat installiert und seine Gültigkeit kann direkt in einem Browser überprüft werden:

Sie können dieselbe CSR-Datei verwenden, die für die Erstellung eines alten Zertifikats verwendet wurde, wenn keine Änderungen an der CSR erforderlich sind. In diesem Fall können Sie ein neues Zertifikat mit der alten CSR-Datei erstellen (falls Sie eine haben), wenn sich nichts geändert hat.

Wir beziehen uns auf die folgenden Felder, die sich nicht ändern, wenn Sie das abgelaufene Zertifikat lediglich aktualisieren:

• Country (C)

• State or Province Name (ST)

• Locality (L)

• Organization Name (O)

• Common Name (CN)

• Root Length

• Signature Algorithm

• Country (C)

• State or Province Name (ST)

• Locality (L)

• Organization Name (O)

• Common Name (CN)

• Root Length

• Signature Algorithm

PFX (Personal Information Exchange) Datei mit Passwort

Die Bereitstellung eines Zertifikats im PFX-Format ist eine weitere Möglichkeit, das aktualisierte Zertifikat bereitzustellen. Diese Art der Bereitstellung des Zertifikats kann als schneller angesehen werden, da Sie sich nicht zuerst an das Support-Team wenden müssen, das sich mit dem Hosting-Team in Verbindung setzt, um eine CSR-Datei zu erhalten, die für die Erstellung eines Zertifikats erforderlich ist. Gleichzeitig ist sie weniger sicher, da Sie ein Passwort für die PFX-Datei bereitstellen müssen. Sie können einfach ein Zertifikat im PFX-Format zusammen mit dem Passwort bereitstellen und unser Hosting-Team wird das Zertifikat auf dem Server aktualisieren. Die PFX-Datei sollte von Ihrem IT-Administrator oder der zuständigen Person, die in Ihrem Unternehmen Domänen/Zertifikate verwaltet, erstellt werden.

Achten Sie darauf anzugeben, für welches System/welche Domäne das Zertifikat benötigt wird, und übermitteln Sie uns die entsprechenden Links zu diesen (STAGE, PROD, DEV usw.). Ein Zertifikat kann für mehrere Systeme verwendet werden, z. B. für eine Domäne und ihre Unterdomänen (Wildcard-Zertifikat), oder jedes System kann ein eigenes Zertifikat erfordern. Dies hängt von der Erstkonfiguration Ihrer Systeme ab.

Wir empfehlen Ihnen dringend, ein neu erstelltes Zertifikat zu überprüfen und sicherzustellen, dass es eine korrekte Gültigkeitsdauer und Domäne hat. Unter Windows/Linux/macOS können Sie die Datei mit der Software Keystore Explorer überprüfen, die PFX-Datei mit dem entsprechenden Passwort öffnen und die relevanten Informationen überprüfen:

Nachdem unser Hosting-Team ein neues Zertifikat auf dem Server hinterlegt hat, kann die Gültigkeit des Zertifikats direkt im Browser überprüft werden:

Zertifikatsdateien mit privaten Schlüsseln

In diesem Fall stellt der Kunde (die IT-Abteilung des Kunden oder die zuständige Person) dem Support-Team die Zertifikatsdateien mit den für dieses Zertifikat erforderlichen privaten Schlüsseln über ein Service-Desk- Request-Ticket zur Verfügung. Danach wird der Request an das Hosting-Team weitergeleitet, das für die Installation der aktualisierten Zertifikate verantwortlich ist. In der Regel senden die Kunden mehrere Dateien in einer gezippten Datei. Die Struktur/Dateinamen können unterschiedlich sein, jedoch sollte mindestens eine Datei ein Zertifikat und eine andere Datei einen privaten Schlüssel enthalten.
Beispiele für Dateien innerhalb einer Zip-Datei:

In der Regel kann die Datei mit dem Zertifikat und dem privaten Schlüssel in einem Texteditor geöffnet werden, mit dem man sicherstellen kann, dass der erforderliche Satz an Dateien vorhanden ist. Die Datei mit dem Zertifikat sollte mit dem Abschnitt BEGIN CERTIFICATE oder Ähnlichem beginnen,

während die Datei mit dem privaten Schlüssel in der Regel mit BEGIN PRIVATE KEY oder Ähnlichem beginnen sollte (begin RSA private key, etc.):

Wir empfehlen Ihnen dringend, ein neu erstelltes Zertifikat zu überprüfen und sicherzustellen, dass es eine korrekte Gültigkeitsdauer und Domäne hat. Unter Windows/Linux/macOS können Sie die Datei mit dem Zertifikat mit der Software Keystore Explorer überprüfen, die entsprechende Datei mit dem Zertifikat öffnen und deren Daten überprüfen:

Typische Probleme mit Zertifikaten

• Das SSL-Zertifikat ist abgelaufen, und der Browser zeigt eine entsprechende Warnung an:

  

  Sie können das SSL-Ablaufdatum direkt im Browser überprüfen, indem Sie die Informationen verwenden, die wir am Anfang dieses Artikels angegeben haben.

• Ein neues Zertifikat funktioniert auf einem PROD-System, auf dem das Zertifikat kürzlich aktualisiert wurde, aber nicht auf einem STAGE/DEV/QA-System. Ein solches Problem kann auftreten, wenn ein Zertifikat für die Domäne und die Subdomäne ausgestellt wurde, der Kunde uns jedoch nicht darüber informiert hat, dass es auf beiden Systemen aktualisiert werden sollte. Dieses Problem kann durch die Angabe der erforderlichen Informationen bei einem Service-Desk-Request vermieden werden.

• Verwechslung von Zertifikaten. Der Kunde kann Zertifikate für jede Domäne bereitstellen (z. B. für PROD- und STAGE-Systeme), sie können aber auch beide auf eine Domäne verweisen. Durch die Überprüfung des Domänennamens jedes Zertifikats wird das Risiko eines solchen Problems gemindert.

• Bereitstellen einer PFX-Datei ohne Passwort. Eine PFX-Datei ist ohne Passwort nicht verwendbar. Sie können eine PFX-Datei mit der Frage, wie Sie ein Kennwort sicher übermitteln können, an den Service Desk schicken und erhalten in der Antwort die entsprechenden Informationen.

• Das Zertifikat wurde für einen falschen Domänennamen/ein falsches System erstellt. Bitte überprüfen Sie ein neues Zertifikat und stellen Sie sicher, dass es einen korrekten Domänennamen und ein korrektes Ablaufdatum hat. Manchmal kommt es zu Konflikten, weil die Systeme PROD, STAGE, DEV, QA usw. verwechselt werden.

• Kontaktieren der IMC, um ein aktualisiertes Zertifikat zu erstellen. IMC liefert die für die Zertifikatserstellung erforderlichen Informationen (CSR-Datei), aber IMC aktualisiert oder verlängert keine Zertifikate. Solche Handlungen werden vom Domänenadministrator durchgeführt. Normalerweise macht das die IT-Abteilung des Kunden oder die zuständige Person in dem Unternehmen. Was IMC tut, ist, das aktualisierte Zertifikat auf den von IMC verwalteten Server zu legen (Cloud-Systeme). Der Kunde sollte also ein neues Zertifikat generieren, es dem Service Desk zur Verfügung stellen und das Zertifikat wird von unserem Hosting-Team aktualisiert.
  Kontaktieren der IMC zur Aktualisierung des Zertifikats für On-Premise-Kunden (von Kunden verwaltet). IMC hat keinen Zugriff auf On-Premise-Server. Solche Server werden häufig von den IT-Abteilungen der entsprechenden Organisationen verwaltet.

Zusammenfassung: Das SSL-Protokoll (Secure Sockets Layer) gewährleistet sichere Webverbindungen durch Verschlüsselung mit SSL-Zertifikaten für Ihre LMS-Website/Domäne.

• SSL-Zertifikate verschlüsseln die Kommunikation für sichere Transaktionen, Datenübertragungen und Anmeldungen.

• Es ist wichtig, das Ablaufdatum von SSL-Zertifikaten im Auge zu behalten, um sie rechtzeitig zu aktualisieren und Sicherheitswarnungen zu vermeiden.

• Es gibt drei Möglichkeiten, der IMC SSL-Zertifikate zur Verfügung zu stellen: CSR-Datei, PFX-Datei mit einem Passwort oder Zertifikatsdateien mit privaten Schlüsseln.

• Zu den häufigsten Problemen gehören abgelaufene Zertifikate, die fehlende Angabe von Domänen, in denen Zertifikate aktualisiert werden sollen, und die Bereitstellung von PFX-Dateien ohne Passwörter.

• Die IMC stellt keine SSL-Zertifikate aus, sondern aktualisiert sie nur auf den Servern, so dass die Kunden neue Zertifikate erstellen und bereitstellen müssen.

• Kontaktieren Sie IMC über ein Service-Desk-Ticket, wenn Sie Fragen haben oder neue/aktualisierte Zertifikate bereitstellen möchten.