Empfehlungen für Vorgehen bei Zertifikatkauf?

https://ssl-trust.com/SSL-Zertifikate/Multi-Domain

Ein Zertifikat mit allen Domains kaufen und jeweils auf den Server installieren.

*** Edit

Geht sogar günstiger -> https://www.psw-group.de/ssl-zertifikate/detail/c44-geotrust-quickssl-premium/

 

@Jaba-Hosting

1) Was kann das Zertifikat? Ich habe dazu keine Informationen gefunden... Mehr als ein kostenloses Zertifikat?

2) "Ein Multi-Domain Zertifikat kann jedoch mit nur einer IP-Adresse völlig unterschiedliche Domains absichern." Und wie soll das mit einem Hoster A und einem Hoster B funktionieren?

 

1) Es muss nicht alle paar Monate aktualisiert werden, sondern man kann das Zertifikat von 1-3 Jahren kaufen und man kann 1 Domain + 3 Subdomains in einem Zertifikat einbauen. So wie ich es verstehe, bietet der Hoster keine Zertifikate an, daher will er ja eins kaufen.

2) Zertifikate sind nicht IP gebunden. Du kannst das Zertifikat auf mehreren Servern betreiben. Zertifikate sind auf den Common Name (CN) gebunden.

 

Auch kostenlose Zertifikate wie beispielsweise das Zertifikat von Let's Encrypt müssen nicht alle paar Monate erneuert werden. Und vor allem verstehe ich nicht, was das Zertifikat beinhaltet. Nur eine Domain Validation?

Auch das verstehe ich nicht... Wenn ein Zertifikat einen Server nicht identifiziert, ist es eigentlich nichts wert. Die Hierarchie ist doch normalerweise Domain Validation (bei kostenlosen Zertifikaten Hoster der Domain) > Organization Validation > Extended Validation, nicht umgekehrt.

 

alle 3 Monate [emoji6]

Du kannst auch ein Multi Domain Zertifikat einsetzen oder halt jeweils ein einzelnes Zertifikat. Nutze aber eine vernünftige CA (nicht z.B. Comodo) z.B Geotrust oder Thawte sind zu empfehlen. Normalerweise würde ich auch Symantec empfehlen, aber da weiß man nicht, wo es in der Zukunft hingehen wird. Falls du ne Händler Empfehlung brauchst, dann kann ich dir auch ne Empfehlung nennen.

 

Dann habe ich Glück gehabt (oder das wird in der Schweiz anders gehandhabt): Bei keinem Hoster, der Let's Encrypt anbietet, muss das Zertifikat alle drei Monate erneuert werden.

Und selber ein Zertifikat zu registrieren, ist eigentlich nirgends nötig.

 

Die Verlängerung geschieht automatisch. Schau dir einfach mal das installierte Lets Encrypt Zertifikat an, dann siehst du, das die tatsächlich nur 3 Monate gültig sind. Des Weiteren bietet Lets Encrypt keine Wildcard Zertifikat an.

 

Okay...

Die andere Sache ist, dass dasselbe Zertifikate offenbar auf verschiedenen Servern und bei verschiedenen Hostern verwendet werden kann. Aus meiner Sicht macht das ein Zertifikat zur Farce. Wie soll ich da wenigstens auch nur annähernd Gewissheit haben, dass es nicht gehackt worden ist?

 

Wie meinste das? Es hat Fälle gegeben, das Zertifikate gefälscht wurden, aber hacken ist eigentlich so ohne weiteres nicht möglich. Wenn der private Key mit den entsprechenden Rechten versehen ist, sollte das eben nicht möglich sein. Wenn man sicher gehen möchte, legt man in der DNS einen RR-Record an, welcher aussagt, welche CA für die betreffende Domain zum Einsatz kommen darf.
Ich empfehle dem TS einfach zwei Zertifikate zu generieren, einmal für www.domain.tld und subdomain.domain.tld

 

Ja, gefälscht wäre das richtige Wort.

Was mir immer noch nicht klar ist: Wie kann eine Wildcard-Domain für eine Hauptdomain bei Hoster A und für eine Subdomain bei Hoster B verwendet werden.

Da braucht es doch zwei Zertifikate, wie Du es vorschlägst. Oder nicht?

 

Ähm nochmal, man braucht keine zwei Zertifikate. Du kannst ein Zertifikat beliebig oft benutzen, wo auch der CN genutzt wird.

Den Request kannst du erstellen wo du willst. Du brauchst nur openssl.

Code:

Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!

Wir kaufen immer bei cheapsslsecurity.com

 

Für ein SSL Zertifikat wird als erstes ein Private Key erstellt. Aus diesem Private Key wird die Zertifikatsignierungsanforderung (CSR) erstellt. Mit dieser CSR erstellt das CA ein Zertifikat (CRT). Zum Einbinden in die Webseite werden der Private Key, das Zertifikat und ggfs das Intermediate Zertifikat benötigt. Da wir ja ein Wildcard Zertifikat *.domain.tld erstellt haben, kann dieses für eine Domain und viele Subdomains eingesetzt werden, egal ob auf einem Server oder auf vielen Servern. Soll es im genannten Fall auf 2 Maschinen eingesetzt werden, kopiere ich auf beide Maschinen den Private Key (.key), das Zertifikat (.crt) und ggfs das Intermediate Zertifikat (.ca-bundle).

@b3317133 hast du einen Zugriff auf beide Server oder kannst ein SSL Zertifikat selber einbinden? Wenn ja, würde ich den Private Key und die Zertifikatsignierungsanforderung selber erstellen und dann bei einer CA das Zertifikat erstellen lassen und einbinden. Gute Preise findest du z.B. hier https://www.hetzner.de/hosting/ssl/zertifikat (z.B. Thawte SSL 123-Zertifikat)

 

Dann lass doch den Hoster die .csr erstellen bzw dir schicken. Du beantragst die Zertifikat Erstellung und schickst dann die .crt und eventuell .ca-bundle dem Hoster.