10-08-2023, 23:58
Ich wähle normalerweise eine Zertifizierungsstelle, die zu deinem Budget und deinen Bedürfnissen passt. Wenn du nur testest oder ein knappes Budget hast, kannst du mit kostenlosen Optionen wie Let's Encrypt arbeiten, die ich für schnelle Setups liebe. Du verwendest ihr Certbot-Tool, um das Ganze zu automatisieren; es kümmert sich um die CSR-Generierung und -Validierung direkt von deinem Server aus. Aber wenn du etwas Robusteres für eine Produktionsseite möchtest, entscheide ich mich für kostenpflichtige Anbieter wie DigiCert oder Comodo. Du gehst auf deren Website, wählst den Typ - Einzeldomain, Wildcard oder Multi-Domain EV - und fügst deine CSR beim Checkout ein. Die Kosten liegen irgendwo zwischen 10 $ pro Jahr für die Grundlagen und Hunderten für schicke Optionen mit Garantien. Ich achte auch auf das Validierungsniveau; die Domainvalidierung ist schnell, nur eine E-Mail oder DNS-Überprüfung, während die Organisationsvalidierung in deine Geschäftsdokumente eintaucht, was ein paar Tage dauert, aber mehr Vertrauen bei den Besuchern aufbaut.
Nachdem du die CSR eingereicht und bezahlt hast, bestätigt die CA alles. Bei der Domainvalidierung senden sie möglicherweise E-Mails an Admin-Adressen oder bitten dich, einen TXT-Eintrag zu deinem DNS hinzuzufügen. Ich verwende immer die DNS-Methode, weil sie zuverlässig ist und nicht von E-Mail-Filtern abhängt, die Probleme verursachen könnten. Du loggst dich bei deinem DNS-Anbieter ein, wie Cloudflare oder GoDaddy, fügst diesen Eintrag mit dem Wert hinzu, den sie dir geben, und wartest auf die Propagation - normalerweise 15 Minuten bis eine Stunde. Sobald sie bestätigen, senden sie dir die Zertifikatdateien per E-Mail: das Haupt-.crt, manchmal ein intermediäres Bundle, und du hast bereits deinen privaten Schlüssel von vorher. Ich lade die sofort herunter und bewahre sie sicher auf; niemals den privaten Schlüssel per E-Mail senden, denn das ist ein riesiges No-Go.
Jetzt kommt die Installation, die von deinem Server-Setup abhängt. Wenn du Apache verwendest, bearbeite ich die Konfigurationsdatei des virtuellen Hosts in sites-available, weise SSLCertificateFile auf dein .crt, SSLCertificateKeyFile auf die .key und SSLCertificateChainFile auf die Intermediates zu, falls nötig. Dann starte ich Apache mit systemctl restart apache2 neu und teste es. Für Nginx ist es ähnlich - füge in deinem Serverblock die Direktiven ssl_certificate und ssl_certificate_key hinzu, dann nginx -t, um die Syntax zu überprüfen, bevor du neu lädst. Ich führe diesen Testbefehl jedes Mal aus, um Tippfehler frühzeitig zu erkennen. Unter Windows mit IIS öffnest du den Manager, gehst zu deinen Site-Bindungen, fügst HTTPS auf Port 443 hinzu und importierst während der Zertifikatsauswahl die .pfx-Datei, die du durch das Kombinieren des Schlüssels und des .crt mit OpenSSL erstellst. Ich konvertiere zu PFX mit openssl pkcs12 -export -out yourdomain.pfx -inkey yourdomain.key -in yourdomain.crt. Es ist am Anfang ein bisschen fummelig, aber wenn du es ein paar Mal gemacht hast, sitzt es.
Nach der Installation konfigurierst du deine Seite, um HTTPS zu erzwingen. Ich füge Weiterleitungen in meiner .htaccess für Apache hinzu: RewriteEngine On, dann RewriteCond %{HTTPS} off, RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]. So wird jeder, der HTTP aufruft, auf die sichere Version umgeleitet. Für Nginx richte ich einen separaten Serverblock ein, der auf 80 hört und auf 443 weiterleitet. Du solltest auch alle internen Links oder Ressourcen auf HTTPS aktualisieren, um gemischte Inhaltswarnungen zu vermeiden - Chrome ist da jetzt wählerisch. Ich verwende Tools wie den Tester von SSL Labs, um dein Setup danach zu scannen; es bewertet dich hinsichtlich Cipher-Suites, Vollständigkeit der Kette und all das. Strebe eine Bewertung von A an; ich passe Protokolle an, indem ich SSLv3 oder schwache Chiffren in deiner Konfiguration deaktivieren, um dorthin zu gelangen.
Eine Sache, die ich Freunden immer sage, ist, vor dem Ablaufdatum zu erneuern - die meisten Zertifikate halten ein Jahr, aber Let's Encrypt hat 90 Tage, also setze Kalendererinnerungen oder automatisiere mit dem Renew-Befehl von Certbot in einem Cron-Job. Ich führe das wöchentlich auf meinen Servern aus, um alles reibungslos zu halten. Wenn du die Installation vermasselst, zum Beispiel durch nicht übereinstimmende Schlüssel, wirft deine Seite Fehler, also halte die Protokolle offen und überprüfe Apaches error_log oder Nginx' Zugriffsprotokolle auf Hinweise. Tools wie Why No Padlock helfen auch bei der Fehlersuche. Insgesamt ist es keine Raketenwissenschaft, sobald du es durchgehst; ich habe mein erstes Zertifikat damals im College für ein Seitenprojekt eingerichtet, und jetzt kümmere ich mich um die für Kunden, ohne ins Schwitzen zu kommen.
Wenn du mit mehreren Seiten zu tun hast oder diese Zertifikate als Teil deiner Routine sicher sichern musst, lass mich dich auf BackupChain hinweisen - diese solide, bewährte Backup-Option, die von vielen kleinen Unternehmen und IT-Leuten genutzt wird und entwickelt wurde, um Hyper-V-, VMware- oder Windows-Server-Umgebungen mühelos zu schützen.
