Es gibt viele Zertifizierungsstellen (Certificate Authority, abgekürzt CA), die das Erstellen von Zertifikaten als Dienstleistung anbieten. Diese Zertifizierungsstellen sind in den meisten Browsern von vorneherein als vertrauenswürdig hinterlegt. Damit muss also auf den Clients vor der Nutzung nicht zuerst ein Zertifikat installiert werden.
Zertifizierungsstellen signieren aber nur Zertifikate mit offiziellen, extern erreichbaren DNS-Namen. Es ist also nicht möglich eine Zertifizierungsstelle für lokale DNS-Namen (wie z.B. intra.net.lan) oder IP-Adressen zu nutzen.
Zur Auswahl stehen klassische, kommerzielle Zertifizierungsstellen, bei denen die Beantragung, Prüfung und Ausgabe des Zertifikats über die Webseite des Anbieters stattfindet und für die ein geringer Betrag pro Jahr Gültigkeit fällig wird.
Alternativ bietet der Anbieter Let's Encrypt Zertifikate an, die über das ACME-Protokoll vollautomatisch und kostenlos ausgestellt und verlängert werden. Vor allem wegen der einfacheren Bedienung und automatischen Verlängerung empfehlen wir Let's Encrypt.
Gehen Sie wie folgt vor um ein Zertifikat von Let's Encrypt zu nutzen:
Konfigurieren Sie einen DNS-Namen für die externe IP des Intra2net Systems in einer offiziellen Domain die Ihnen gehört (z.B.
mail.meinedomain.de
). Dies kann normalerweise beim Webspace-Provider, der die eigene Domain verwaltet, kostenlos und zeitnah eingerichtet werden. Wenn eine dynamische IP verwendet wird, richten Sie statt dessen einen dynamischen DNS-Dienst ein, siehe Abschnitt 11.13, „DynDNS“.Tragen Sie den externen DNS-Namen im Menü "
" als Rechnername für Verbindungen aus dem Internet ein.Für die Validierung des Zertifikats ist eine eingehende HTTP-Verbindung erforderlich. Wählen Sie daher im Menü "
" eine Firewall-Regelliste aus, die eingehende HTTP-Verbindungen erlaubt. HTTP-Verbindungen werden vom Intra2net System nur angenommen, während eine Zertifikatsvalidierung ansteht. Ansonsten ist der Port geschlossen.Prüfen Sie, wie das Intra2net System mit dem Internet verbunden ist. Kontrollieren Sie dazu im Menü "
" den Typ des aktiven Providers. Handelt es sich um eine (DSL-)Wahlleitung ist alles in Ordnung und Sie können zum nächsten Schritt weitergehen.Handelt es sich um einen Providertyp mit einem Router, dann prüfen Sie ob dieser Router dem Intra2net System eine unveränderte offizielle IP zuweist, oder ob er per NAT eine IP aus einem privaten Adressbereich zuweist. In letzterem Fall muss auf dem Router ein Portforwarding für TCP Port 80 (http) auf die IP des Intra2net Systems konfiguriert werden.
Legen Sie im Menü "
" ein neues, von Let's Encrypt signiertes Zertifikat an. Prüfung und Ausstellung des Zertifikats laufen vollautomatisch ab.Stellen Sie das für Verbindungen aus dem Internet verwendete Zertifikat auf das neue um. Dies können Sie im Menü "
" auswählen.Ob das neue Zertifikat korrekt ausgestellt und installiert ist, können Sie im Menü "
" testen.
Von Let's Encrypt ausgestellte Zertifikate sind nur wenige Wochen gültig und werden vom Intra2net System automatisch rechtzeitig vor Ablauf verlängert. Daher müssen die oben beschriebenen Firewall-Einstellungen und Portforwardings dauerhaft konfiguriert bleiben.
Gehen Sie wie folgt vor um ein Zertifikat einer klassischen Zertifizierungsstelle zu nutzen:
Konfigurieren Sie einen DNS-Namen für die externe IP des Intra2net Systems in einer offiziellen Domain die Ihnen gehört (z.B.
mail.meinedomain.de
). Dies kann normalerweise beim Webspace-Provider, der die eigene Domain verwaltet, kostenlos und zeitnah eingerichtet werden.Erstellen Sie auf dem Intra2net System ein selbstsigniertes Zertifikat und tragen dabei den externen DNS-Namen unter "
" ein.Wählen Sie eine Zertifizierungsstelle aus. Eine kurze, unvollständige Liste einiger Anbieter (alphabetisch): Comodo, DigiCert, GlobalSign, Go Daddy.
Erfahrungsgemäß sind Zertifikate über Wiederverkäufer günstiger zu beziehen als über die Anbieter direkt. Beispiele für solche Wiederverkäufer sind (alphabetisch) Cheap SSL Shop und GoGetSSL.
Kaufen Sie ein Zertifikat über die Webseite der von Ihnen gewählten Zertifizierungsstelle oder des Wiederverkäufers. Es reicht ein einfaches, Domain-validiertes SSL-Zertifikat für eine einzelne Domain bzw. Webseite. Extended Validation (EV), Organisations-validierte Zertifikate oder ein Wildcard-Zertifikat sind normalerweise nicht notwendig. Stehen bei der Bestellung verschiedene Servertypen zur Auswahl, so wählen Sie
Apache (mod_ssl)
.Im Verlauf der Zertifikatsausstellung werden Sie von der Zertifizierungsstelle aufgefordert, eine Zertifikatsanforderung (Certificate Request oder CSR) zu liefern. Diese können Sie aus dem Intra2net System im Menü System > Schlüssel > Eigene Schlüssel : CA exportieren. Achten Sie darauf, dass Sie die Zertifikatsanforderung nicht durch die Zertifizierungsstelle oder dynamisch im Webbrowser erzeugen lassen, sondern laden Sie unbedingt die vom Intra2net System erzeugte in das System der Zertifizierungsstelle hoch.
Sie bekommen von der Zertifizierungsstelle am Ende 2 Dinge: Ein Zertifikat und eine Zertifikatskette (Certificate Chain, CA bundle oder Intermediate Certificate genannt). Beides importieren Sie im Intra2net System im Menü System > Schlüssel > Eigene Schlüssel : CA.
Stellen Sie das für Verbindungen aus dem Internet verwendete Zertifikat auf das neue um. Dies können Sie im Menü "
" auswählen.Ob das neue Zertifikat korrekt ausgestellt und installiert ist, können Sie im Menü "
" testen.