Meine Werkzeuge
User menu

Zertifikatsverlängerung

Aus Domain-Offensive - Wiki

Wechseln zu: Navigation, Suche

Wie funktioniert bei Ihnen die Zertifikatsverlängerung?

Sie erhalten von uns vor Ablauf Ihres bei uns erworbenen SSL-Zertifikats eine Benachrichtigung über dessen Ablauf und das Angebot, Ihr Zertifikat bei uns zu verlängern. Der Prozess der Verlängerung ist identisch zu dem einer Neubestellung, eine erneute Einreichung eines Identitätsnachweises ist natürlich nicht erforderlich. Wenn Sie sich bei der Verlängerung für die gleiche Produktlinie entscheiden, erhalten Sie die Restlaufzeit Ihres aktuellen Zertifikats gutgeschrieben. Eine Verlängerung kann frühestens 90 Tage vor Ablauf des alten Zertifikates beantragt werden. Eine automatische Verlängerung ist leider aus technischen Gründen nicht möglich, wäre aber auch aus Sicherheitsgründen nicht zu empfehlen.

Wichtig: Eine Verlängerung eines domainvalidierten Zertifikates ist beim IIS leider nicht durch einfache Erzeugung einer Verlängerungsanforderung möglich, da der IIS hierbei nur die Daten aus dem Zertifikat in die Verlängerung aufnimmt, die bekanntlich bei domainvalidierten Zertifikaten nur die Domain umfasst. Daher gehen Sie hier gemäß unserer Anleitung (weiter unten) vor, die den offiziellen Workaround von Microsoft beschreibt.

Unser CSR zur Verlängerung des Zertifikates kann nicht verwendet werden! (IIS)

Bei der Erzeugung einer Verlängerungsanforderung (eines Verlängerungs-CSR) verwendet der Internet Information Server (IIS) nicht die Angaben der ursprünglichen Anforderung sondern die Daten, die im Zertifikat stehen. Bei domainvalidierten Zertifikaten wirft dieses Vorgehen leider das Problem auf, daß die in der Ursprungsanforderung ausgefüllten Felder Ort, Land, Bundesland und E-Mailadresse geleert worden sind, jedoch bei dem Einreichen einer neuen Anforderung bei uns zwingend erforderlich sind. Die Organisation ist mit dem Domainnamen überschrieben und in der Unterorganisation steht häufig ein Hinweis auf die Domainvalidierung, ggf. sogar eine Internetadresse der ausstellenden Zertifizierungsstelle.

Ein solches CSR kann leider zur Verlängerung nicht verwandt werden. Microsoft ist das Problem bekannt, jedoch hat man noch keine Lösung, aber einen Workaround (eine Umgehung des Problems) vorgestellt. Hierzu nimmt man eine andere virtuelle Site auf dem Server, an der noch kein SSL konfiguriert ist (notfalls erstellt man vorübergehend eine temporäre Site) und erstellt an dieser eine neue Anforderung. Diese speichert man ausstehend und installiert anschließend an dieser auch das Zertifikat. Nachdem das Zertifikat sich auf dem Server befindet, kann man es von der virtuellen Site wieder entfernen, es bleibt trotzdem im Zertifikatsspeicher des Servers erhalten. Nun wählt man die Site, an der das Zertifikat tatsächlich laufen soll, entfernt das laufende Zertifikat und ersetzt es durch das neu ausgestellte, welches man anschließend aus dem Zertifikatsspeicher wählen kann.

Alternativ kann man natürlich auch auf der laufenden Site das Zertifikat zunächst entfernen und eine neue Anforderung erstellen, jedoch hat man dann für eine gewisse Übergangszeit kein Zertifikat an dieser Site konfiguriert und damit auch vorübergehend keine SSL-Funktionalität.