Für die Installation eines SSL-Accounts benötigen Sie ein SSL-Zertifikat, welches auf den jeweiligen (Sub-)Domainnamen ausgestellt wurde oder den jeweiligen Namen mit abdeckt (sogenannte Wildcard-Zertifikate). Ein signiertes Zertifikat wird von einer Zertifizierungsstelle (z.B. Thawte) digital unterschrieben. Je nach Zertifikatstyp wird dabei der Domainname und/oder die Identität des Zertifikatsinhabers verifiziert. Ein über Hetzner Online bestelltes Zertifikat wird grundsätzlich von DigiCert, bzw. Thawte Inc. oder Let's Encrypt signiert. Wir bieten kostenlose DigiCert Basic und Let's Encrypt Zertifikate und kostenpflichtige Thawte Business Zertifikate an. Zusätzlich können Sie im SSL Manager auch eigene Zertifikate importieren.
Basic und Let's Encrypt Zertifikate
Wir bieten Ihnen in Zusammenarbeit mit unserem Partner für Sicherheitslösungen DigiCert kostenlose Basic SSL-Zertifikate an. Des Weiteren bieten wir kostenlose Let's Encrypt Zertifikate an. Diese werden von der gemeinnützigen Internet Security Research Group (u. a. Mozilla, Google, Cisco) angeboten.
Ein Basic oder Let's Encrypt Zertifikat beantragen
Ein Basic oder Let's Encrypt Zertifikat kann immer nur für den gerade aktiven Hostingaccount und für existierende Subdomains beantragt werden. Wählen Sie daher zunächst in der Domainübersicht die gewünschte Domain aus und öffnen Sie den SSL Manager (Einstellungen; Extras; SSL Manager).
- Klicken Sie im Abschnitt "SSL-Zertifikate" auf "Neues Zertifikat" und wählen Sie in der folgenden Übersicht das "Basic SSL Zertifikat" oder "Let's Encrypt Zertifikat" aus.
- Nun wählen Sie einfach die gewünschte (Sub-)Domain aus der Auswahlliste und klicken Sie auf Beantragen.
Unter Umständen müssen Sie für die Authentifizierung der Zertifikate eine manuelle Authentifizierung via DNS oder Datei vornehmen. Erfahren Sie mehr hierzu im SSL-Guide.
Wie lange sind die Basic oder Let's Encrypt Zertifikate gültig?
Basic-Zertifikate haben eine Laufzeit von einem Jahr, Let's Encrypt Zertifikate eine Laufzeit von drei Monaten. Unsere kostenlosen Zertifikate werden nach dieser Zeit automatisch für Sie verlängert, sofern Ihr Account nicht gekündigt wurde.
Welche Einschränkungen gibt es bei Basic- oder Let's Encrypt Zertifikaten?
Die Basic- und Let's Encrypt-Zertifikate, die wir bei Hetzner zur Verfügung stellen, sind nur für die Verwendung in Verbindung mit Hetzner-Produkten bestimmt. Sie können sie nicht mit den Hosting-Diensten anderer Provider verwenden. Ansonsten gibt es keine technischen Einschränkungen bei der Verwendung von Basic- und Let's Encrypt-Zertifikaten. Es können jedoch beispielsweise aus markenschutzrechtlichen Gründen nicht für alle Domainnamen Basic und Let's Encrypt Zertifikate ausgestellt werden. Wenn Ihre Domain davon betroffen ist, erhalten Sie bereits bei der Beantragung einen entsprechenden Hinweis. Wir empfehlen in diesen Fällen die Verwendung eines Business-Zertifikats. Bitte beachten Sie zudem, dass wir keinerlei Einfluss darauf haben, ob ein Domainname unter diese Restriktionen fällt oder nicht. Des Weiteren stellt ein Basic oder Let's Encrypt Zertifikat Ihre Identität im Netz nicht sicher. Hier wird in den Zertifikatsinformationen lediglich der Name des Ausstellers angezeigt. Für Shops empfehlen wir daher die Verwendung von adressvalidierten Business-Zertifikaten. Hier wird Ihre Identität im Zertifikat angezeigt (weitere Informationen hierzu finden Sie im Abschnitt über Business-Zertifikate).
Business-Zertifikate
Wie unterscheiden sich die verschiedenen Business-Zertifikate?
Bei den SSL Business Zertifikaten von Thawte stehen Ihnen mehrere Möglichkeiten zur Auswahl. Prinzipiell wird zwischen folgenden Validierungsmechanismen unterschieden:
- Domainvalidierte Zertifikate: Hier wird die Domain bzw. die Inhaberschaft der Domain verifiziert. Dies kann durch verschiedene Methoden wie DNS-, E-Mail- oder dateibasierter Authentifizierung geschehen. Das Zertifikat wird lediglich auf Ihre Domain ausgestellt.
- Adressvalidierte Zertifikate: In diesem Fall wird neben der Domaininhaberschaft zusätzlich eine Identitätsprüfung vorgenommen. Dies geschieht üblicherweise über Handelsregisterauszüge und telefonischen Kontakt. Das Zertifikat trägt zusätzlich Ihre Firmenbezeichnung und den Firmensitz.
- Extended Validation (EV): Wird ein solches Zertifikat verwendet, weist ein Klick auf das Schlosssymbol im Browser direkt ersichtlich Ihre Identität auf.
Hinzu kommen Zertifikate die entweder für eine oder mehrere spezielle (Sub-)Domainnamen gültig sind (z. B. ihre-domain.de und www.ihre-domain.de) und sogenannte Wildcard-Zertifikate, welche für alle Subdomains Gültigkeit haben (*.ihre-domain.de).
Ein Business-Zertifikat bestellen
- Wählen Sie in der Domainübersicht die Domain aus, für die Sie ein SSL Zertifikat bestellen möchten und gehen Sie im linken Menü auf "Einstellungen; Extras; SSL Manager"
- Auf dieser Seite sehen Sie alle bereits vorhandenen Business Zertifikate aufgelistet. Ferner auch alle extern importieren Zertifikate. Klicken Sie in der Zertifikatsübersicht auf "Neues Zertifikat" und wählen im Folgenden ein "Business SSL Zertifikat" aus, um den Assistenten für die Erstellung von Thawte Business SSL-Zertifikaten zu öffnen.
- Wählen Sie den gewünschten Zertifikatstyp aus.
- Adress- und domainvalidierte Zertifikate können Sie für mehrere Domains nutzen. Es handelt sich hierbei um sog. Subjekt Alternative Names (SAN) Zertifikate. Geben Sie im Feld „Anzahl Domainname“ an, wie viele Domains Sie absichern möchten.
- Als Nächstes werden die Adressdaten des Zertifikatsinhabers und die gewünschte Validierungsart abgefragt.
- Anschließend erhalten Sie eine Gesamtübersicht mit Preisangabe. Durch klicken auf „Zahlungspflichtig bestellen“ schließen Sie den Bestellprozess ab.
- Ihre Bestellung leiten wir automatisiert an Thawte weiter. Je nach Validierungsart sind weitere Schritte notwendig, über die Sie informiert werden.
- Nach Fertigstellung des Zertifikats erhalten Sie eine Information per E-Mail und finden es in der Liste der Zertifikate mit einer grünen Markierung.
Welche Authentifizierungsmethoden stehen zur Verfügung?
Für domainvalidierte Zertifikate stehen 3 Methoden zur Verfügung:
- DNS-Authentifizierung: Bei dieser Option wird die Authentifizierung über einen Eintrag im Zonefile Ihrer Domain vorgenommen. Dieser Vorgang kann automatisch abgewickelt werden, sofern Ihre Domain die Nameserver der konsoleH auflöst. Kann der DNS-Eintrag nicht automatisch gesetzt werden, wird Ihnen am Ende der Bestellung ein DNS-Eintrag in der Form
domain.de. IN TXT "201601011234561bfs5p5fdum9g8kciot9u3tu4t0e10142zq9wsnutvy2tz844d"
angezeigt. Dieser Eintrag ist unverändert als TXT-Eintrag (A-Records werden nicht akzeptiert) einzutragen.
Hinweis: Bitte beachten Sie, dass Änderungen am DNS üblicherweise einer gewissen Latenzzeit unterliegen. Sollten Sie Nameserver eines Drittanbieters verwenden, überprüfen Sie bitte vorab, ob dieser die Eintragung solcher DNSAuth-Records zulässt.
- Dateibasierte Authentifizierung: Hier erfolgt die Authentifizierung über eine Datei auf Ihrem Webspace. Am Ende des Bestellvorgangs wird Ihnen ein Dateiname sowie der erwartete Inhalt hierzu angezeigt. Bitte legen Sie diese Datei in das Document Root-Verzeichnis der jeweiligen (Sub-)Domain ab. Je nach Serverkonfiguration kann die Datei ggf. bereits automatisch generiert werden. Bitte wundern Sie sich daher nicht, wenn die Datei bereits in Ihrem Webspace liegt.
Hinweis: Bitte beachten Sie, dass ggf. Serverkonfigurationen wie die Verwendung von mod_rewrite
oder Weiterleitungen dafür sorgen können, dass die Datei von extern nicht erreichbar ist. Prüfen Sie bitte daher unter Umständen in Ihrem Browser, ob Sie die Datei über http://ihre-domain.de/.well-known/pki-validation/fileauth.txt erreichen können.
- Approve-E-Mail: Sie erhalten eine sogenannte "Approve-E-Mail" an eine bestimmte E-Mailadresse unterhalb Ihrer (Sub-)Domain. In dieser E-Mail finden Sie einen Bestätigungslink zu Ihrer Bestellung. Üblicherweise können Sie hier zwischen den Mailkonten ‚webmaster‘, ‚admin‘, ‚administrator‘, ‚hostmaster‘ und ‚postmaster‘ wählen. Stellen Sie deshalb bei Verwendung dieser Methode sicher, dass das ausgewählte E-Mailkonto existiert oder legen Sie eine Weiterleitung auf ein existierendes E-Mailkonto an.
Welche Methode Sie wählen, bleibt Ihnen überlassen. Unsere Administrationsoberfläche konsoleH wird automatisch die für Ihr Setup (Nameserver, Webspace etc.) einfachste Methode mit der größtmöglichen automatischen Unterstützung auswählen. Sie können diese Auswahl während des Bestellprozesses jederzeit ändern. Nach Abschluss der Bestellung ist eine Änderung jedoch nicht mehr möglich.
Ein Business-Zertifikat verlängern
Ca. 4 Wochen vor Ablauf des Thawte SSL Business Zertifikats erhalten Sie eine E-Mail von uns mit einer Erinnerung, dass die Gültigkeit des Zertifikats auslaufen wird.
Der Prozess zur Verlängerung eines auslaufenden Zertifikats unterscheidet sich nicht vom üblichen Bestellprozess eines neuen Zertifikats.
- Loggen Sie sich mit Kundennummer und dem dazugehörigen Passwort über Ihre Administrationsoberfläche konsoleH ein.
- Wählen Sie die Domain aus, für die Sie ein SSL Zertifikat verlängern möchten und gehen Sie im linken Menü auf "Einstellungen; Extras; SSL Manager"
- Klicken Sie hinter dem betroffenen Zertifikat auf das Uhrensymbol.
- Kontrollieren Sie auf den folgenden Seiten die Adressdaten und die Validierungsart.
- Anschließend erhalten Sie eine Gesamtübersicht mit Preisangabe. Durch klicken auf „Zahlungspflichtig bestellen“ schließen Sie den Bestellprozess ab.
- Ihre Bestellung leiten wir automatisiert an Thawte weiter. Je nach Validierungsart sind weitere Schritte notwendig, über die Sie informiert werden.
- Nach Fertigstellung des Zertifikats erhalten Sie eine Information per E-Mail und finden es in der Liste der Zertifikate mit einer grünen Markierung.
Eine Neuausstellung beantragen
Innerhalb der Laufzeit Ihres Zertifikates können Sie uns zu jedem Zeitpunkt einen Antrag auf Neuausstellung des Zertifikats zukommen lassen. Dies ist beispielsweise sinnvoll, wenn:
-
Sie die Subdomain(!) Ihres Zertifikats ändern möchten (z. B. sub2.domain.de anstatt sub1.domain.de)
-
Ihr Zertifikat mit einem veralteten "Digital Signature Algorithm" (DSA) ausgestellt oder unterzeichnet wurde (z.B. SHA1)
-
Ihr privater Schlüssel bzw. das gesamte Zertifikat kompromittiert wurde.
Wichtig: Eine Neuausstellung hat keinerlei Auswirkungen auf die Laufzeit Ihres Zertifikats. Sie dient also nicht der Verlängerung und darf nicht mit dem Punkt "Verlängerung" verwechselt werden.
- Loggen Sie sich mit Kundennummer und dem dazugehörigen Passwort über Ihre Administrationsoberfläche konsoleH ein.
- Wählen Sie die Domain aus, für die Sie ein SSL Zertifikat neu ausstellen möchten und gehen Sie im linken Menü auf "Einstellungen; Extras; SSL Manager"
- Klicken Sie hinter dem jeweiligen Zertifikat auf das Stiftsymbol.
- Durch klicken auf „Auftrag absenden“ wird die Neuausstellung automatisch bei Thawte beantragt.
- Nach der Validierung erhalten Sie eine E-Mail über die Fertigstellung
Hinweis: Unter Umständen ist eine erneute manuelle Authentifizierung des Zertifikats nötig.
Zertifikate von Drittanbietern und selbstsignierte Zertifikate
Hinweis: Für die Verwendung von Zertifikaten eines Drittanbieters ist es nicht notwendig, dass der zugehörige CSR in unserer Administrationsoberfläche konsoleH generiert wurde. Wir empfehlen die Zertifikatsdaten aus Sicherheitsgründen auf Ihrem Server oder lokalen Rechner zu generieren und nur den CSR an die Zertifizierungsstelle weiterzugeben. Wie Sie einen CSR erstellen, erfahren Sie u.a. im nächsten Abschnitt oder unter: https://www.digicert.com/kb/csr-creation.htm
Ein existierendes Zertifikat importieren
Bitte beachten Sie: Ein einmal importiertes Zertifikat kann, abgesehen von den zugehörigen Zwischenzertifikaten, nicht mehr verändert werden.
Bitte importieren Sie Zertifikate von Drittanbietern daher erst, wenn diese vollständig fertiggestellt sind.
Um ein externes Zertifikat importieren zu können, müssen Ihnen der Zertifikat Key, der Private Key und alle Zwischenzertifikate im PEM Format vorliegen. Zudem darf der Private Key nicht mit einem Passwort verschlüsselt sein.
- Loggen Sie sich mit Kundennummer und dem dazugehörigen Passwort über Ihre Administrationsoberfläche konsoleH ein.
- Wählen Sie die Domain aus, für die Sie ein externes SSL-Zertifikat hochladen möchten und gehen Sie im linken Menü auf Einstellungen; Extras; SSL Manager.
- Klicken Sie auf "Neues Zertifikat" und wählen Sie im folgenden "Zertifikat importieren".
- Kopieren Sie den Zertifikatsschlüssel in das Feld "Zertifikatsblock" sowie den Private Key in das Feld "Schlüsselblock".
- Fügen Sie alle Zwischenzertifikate (Root und Intermediate) untereinander in das Feld 'CA Blöcke' ein.
- Klicken Sie auf 'Zertifikat Importieren'
- In der Liste der Zertifikate finden Sie es mit einer grünen Markierung
Hinweis: Zur Bestellung eines SSL-Zertifikates benötigen Sie einen Certificate Request Key (CSR). Diesen können Sie auf einem Linux Server sehr einfach mit folgendem Befehl erstellen:
openssl req -new -nodes -newkey rsa:4096 -keyout www_meinedomain_de.key -out www_meinedomain_de.csr
Hierbei wird gleichzeitig der Private Key erstellt. Für den CSR wurde eine Schlüssellänge von 4086 Bit gewählt. Das BSI empfiehlt eine Schlüssellänge von mindestens 3072 Bits (Stand Juni 2024).
Ein verlängertes oder neu ausgestellte Zertifikat aktivieren (Thawte Business Zertifikat oder externes Zertifikat)
Ein verlängertes oder neu ausgestelltes Zertifikat muss noch aktiviert und im Webserver hochgeladen werden.
- Loggen Sie sich mit Kundennummer und dem dazugehörigen Passwort über Ihre Administrationsoberfläche konsoleH ein.
- Wählen Sie die entsprechende Domain aus und gehen Sie im linken Menü auf "Einstellungen; Extras; SSL Manager"
- Wählen Sie hinter der jeweiligen (Sub-)Domain aus der Liste der Zertifikate das neue Zertifikat aus. Klicken Sie dann auf das Symbol mit den zwei runden Pfeilen rechts neben dem Zertifikat. Dadurch wird das verlängerte oder neu ausgestellte Zertifikat dauerhaft in den Webserver geladen und wird sofort bei Aufruf von https:// verwendet.
Ein fertiges Zertifikat herunterladen (Thawte Business Zertifikat oder externes Zertifikat)
- Loggen Sie sich bitte mit Kundennummer und dem dazugehörigen Passwort über die Administrationsoberfläche konsoleH ein.
- Wählen Sie die Domain aus und gehen Sie im linken Menü auf Einstellungen; Extras; SSL Manager.
- Unter SSL-Zertifikate werden u.a. alle bereits vorhandenen Business Zertifikate sowie alle von extern importierten Zertifikate aufgelistet
- Klicken Sie am Ende der Zeile des jeweiligen Zertifikats auf das Downloadsymbol.
- Das Zertifikat wird mit allen Keys als .zip-File geladen und zur Speicherung auf dem lokalen PC zur Verfügung gestellt.