SSL-Zertifikat: einzelne Dateien hochladen [GELÖST]

[Don R. Wetter]

Grüßt euch und ein fohes neues Jahr euch allen!

Mein erster Post hier, deswegen kurz gefasst: ich bin Norbert, stamme aus Duisburg und bin Ü50.
Ich nutze einen vS von Dogado, wo mein Onlineshop liegt, der vS wird natürlich mit Keyhelp verwaltet.
Im Gegensatz zu vielen anderen ACPs komme ich damit am besten klar.
Die eigentliche Verwaltung des vS liegt in der Hand meines Sohnes, der aber noch bis Mitte Jänner im Ausland ist.

Kurz zum Problem:

mein SSL ist Mitte November ausgelaufen, bis dato habe ich dann zwischenzeitlich LetsEncrypt genutzt.
Heute nun ein neues bestellt, die Dateien alle per Mail bekommen und diese wollte ich im ACP hochladen.
Vorher hatte ich nur drei Dateien immer bekommen die ich zuordnen konnte, jetzt sind es vier Stück.

Welche Datei kommt im Backend nun in welches Feld zwecks hochladen?
Ich habe, glaube ich, alle Varianten versucht, jedoch erhalte ich immer die Meldung oben "Ungültige SSL/TLS-Komponente Privater Schlüssel" nach dem Klick auf speichern.

Könnte mir jemand kurz erklären welche Datei des Zertifikates wo hochgeladen weren muss?

Insgesamt habe ich folgende Dateien erhalten:


Root CA Certificate - AAACertificateServices.crt
Intermediate CA Certificate - USERTrustRSAAAACA.crt
Intermediate CA Certificate - SectigoRSADomainValidationSecureServerCA.crt
Your PositiveSSL Certificate - www_meinedomain_de.crt


Beste Grüße

[Henning]

Hallo Norbert,

ein gutes neues Jahr dir.

Ist da nicht eigentlich noch eine Datei dabei, die mit *.ca-bundle endet? Dies würde in letzteres Feld eingefügt werden und beinhaltet alle notwendigen Zertifikate bis zum root des Ausstellers.

Im mittleren Teil kommt dann dein domain.crt rein, im ersten Teil dein zuvor generierter privater Schlüssel.

[Don R. Wetter]

Nein, da war in der Mail und dem ZIP keine Datei namens *.ca-bundle dabei.

Ich erinnere mich aber dass dies vor gut drei Jahren, wo ich das letzte gekauft habe, so war. Wie gesagt da waren es drei Dateien, jetzt vier.

Und aus der Mail bzw. auch der Hilfeseite des Anbieters werde ich nicht schlau.

Das stand alles in der Mail:

Your PositiveSSL Certificate for www.meine-domain.de is attached!


Dear user@meine-domain.de,

Thank you for placing your order. We are pleased to announce that your PositiveSSL Certificate for www.meine-domain.de has been issued.

To help reduce domain name mismatch warnings, we have also included the domain name meine-domain.de in your certificate.

We strongly recommend that you click here for instructions to ensure that your certificate is installed and your webserver is configured correctly.

Attached to this email you should find a .zip file containing:

Root CA Certificate - AAACertificateServices.crt
Intermediate CA Certificate - USERTrustRSAAAACA.crt
Intermediate CA Certificate - SectigoRSADomainValidationSecureServerCA.crt
Your PositiveSSL Certificate - www_meine-domain_de.crt

You can also find your PositiveSSL Certificate for www.meine-domain.de in text format at the bottom of this email.

Should you have any questions or issues you would like to discuss, please do not hesitate to contact us.

Thank you for being a valued Sectigo customer.

[Alexander]

Ich nehme an, dein aktuelles Zertifikat ist noch im KeyHelp hinterlegt, das heißt dein Private Key muss nicht aktualisiert werden, korrekt?

1) Wenn ja, dann rufe dieses Zertifikat zum Bearbeiten auf.
2) Kopiere "Your PositiveSSL Certificate" in das Feld Zertifikat
3) Kopiere alle 3 CA-Zertifikate: Intermediate CA Certificate (#1), Intermediate CA Certificate (#2) und Root CA Certificate in das CA-Zertifikat Feld. Also den Text-Inhalt der Zertifikate alle hintereinander in das Feld kopieren, so dass es dann so aussieht:

Code: Select all

-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----

---

Falls du deinen Private Key nicht mehr hast, brauchst du diesen auch noch. Dann müsstest du ein neues Zertifikat hinzufügen. Der Private Key hängt aber (verständlicher Weise) nicht als Anhang an der Email deines Zertifikatsanbieters.

[Don R. Wetter]

Okay, ich hänge wohl etwas.

Das letzte Zertifikat ist nicht mehr hinterlegt bzw. sehe ich das nicht. In der Liste steht nur das default mit Besitzer root.
Ich bin mir jetzt auch wirklich nicht mehr sicher ob ich das eventuell selber gelöscht bzw. entfernt habe.

Wir rufe ich den Privaten Schlüssel auf bzw wie aktualisiere ich den?
Ich hab für Putty das .ppk, also das File welchs mein Sohn nimmt um sich auf dem Server einzuloggen.
Auf den Server einlggen kann ich mich auch, kein roblem, aber ab da habe ich neben Updates selber noh nie etwas gemacht.

Wie öffne ich die Zertifikate zum bearbeiten?
Und ich gehe davon aus du meinst mit #1, #2 und #3 die Zertifikate in der Reihenfolge wie sie in der Mail angegeben sind?

[Alexander]

Normalerweise erstellst du auf deinem Server einen Private Key und ein CSR (Certificate Signing Request).

(Im KeyHelp unter "SSL/TLS Zertifikat hinzufügen" -> "Aktion: Generiere CSR")

Mit diesem CSR geht man dann zu seiner Zertifizierungsstelle und beantragt das Zertifikat. Der Private Key verlässt hierbei nicht deinen Server.

Du erhälst dann von der Zertifizierungsstelle die Zertifikatsdatei und etwaige CA-Zertifikate. Die du dann im KeyHelp hinterlegen kannst.

---

Im Falle einer Verlängerung eines Zertifikats schickt dir die Zertifizierungsstelle einfach nur die neuen Zertifikatsdateien, ohne das du nochmal einen CSR generieren musst. Du würdest dann einfach beim abgelaufenen Zertifikat die Komponenten "Zertifikat" und "CA-Zertifikat" austauschen. Dein Private Key bleibt unverändert.

---

In deinem Fall gibt es nun scheinbar das Problem, das du keinen Private Key mehr hast, da der Datensatz aus deinem KeyHelp gelöscht wurde.
Der Private Key für das Zertifikat gilt auch nur für dieses. Er kann nicht für andere Zertifikate oder anderes genutzt werden. (Das erwähnte .pkk kannst du also auch nicht dafür nutzen)

-> Wenn du keinen Zugriff mehr auf den alten Private Key bekommen kannst (ggf. gibt es ein Backup?), müsstest du einen neuen CSR generieren (siehe ersten Teil meines Beitrags) und bei der Zertifizierungsstelle erneut beantragen, dass man dir das Zertifikat erneut ausstellt.

Wie öffne ich die Zertifikate zum bearbeiten?

Du meinst sicher, wie kann ich mir den Inhalt der Zertifikatsdateien ansehen? Hierzu öffnest du einfach eine Zertifikatsdatei mit einem Text-Editor. Ein Zertifikat besteht quasi aus nichts anderem als Text.

[Don R. Wetter]

Super, nach langer Arbeit und einigen grauen Haaren hab ich das endlich hinbekommen.
Für den Private Key, da ich nicht wusste wo ich den finde, habe ich mir Hilfe von jemanden geholt der wusste wo sich der versteckt haben könnte.

Dann wie es Alexander hervorragend beschrieben hat die einzelnen Zertifikate in das Textfeld kopiert und et vóila, das Zertifikat wurde installiert und ist nutzbar.

Vielen Dank für eure Hilfe!