SSL-Zertifikate

Last change on 2026-04-13 • Created on 2020-01-20 • ID: MA-D37AB

Für die Installation eines SSL-Accounts benötigst du ein SSL-Zertifikat, welches auf den jeweiligen (Sub-)Domainnamen ausgestellt wurde oder den jeweiligen Namen mit abdeckt (sogenannte Wildcard-Zertifikate).
Ein signiertes Zertifikat wird von einer Zertifizierungsstelle (z.B. Thawte) digital unterschrieben. Je nach Zertifikatstyp wird dabei der Domainname und/oder die Identität des Zertifikatsinhabers verifiziert.
Ein über Hetzner bestelltes Zertifikat wird grundsätzlich von DigiCert, bzw. Thawte Inc. oder Let's Encrypt signiert. Wir bieten kostenlose DigiCert Basic und Let's Encrypt Zertifikate und kostenpflichtige Thawte Business Zertifikate an. Zusätzlich kannst du im SSL Manager auch eigene Zertifikate importieren.

Basic und Let's Encrypt Zertifikate

Wir bieten dir in Zusammenarbeit mit unserem Partner für Sicherheitslösungen DigiCert kostenlose Basic SSL-Zertifikate an. Des Weiteren bieten wir kostenlose Let's Encrypt Zertifikate an. Diese werden von der gemeinnützigen Internet Security Research Group (u. a. Mozilla, Google, Cisco) angeboten.

Ein Basic oder Let's Encrypt Zertifikat beantragen

Ein Basic oder Let's Encrypt Zertifikat kann immer nur für den gerade aktiven Hostingaccount und für existierende Subdomains beantragt werden. Wähle daher zunächst in der Domainübersicht die gewünschte Domain aus und öffne den SSL Manager (Einstellungen; SSL Manager).

  • Klicke im Abschnitt "SSL-Zertifikate" auf "Neues Zertifikat" und wähle in der folgenden Übersicht das "Basic SSL Zertifikat" oder "Let's Encrypt Zertifikat" aus.
  • Nun wähle einfach die gewünschte (Sub-)Domain aus der Auswahlliste und klicke auf Beantragen.

Unter Umständen musst du für die Authentifizierung der Zertifikate eine manuelle Authentifizierung via DNS oder Datei vornehmen. Erfahre mehr hierzu im SSL-Guide.

Wie lange sind die Basic oder Let's Encrypt Zertifikate gültig?

Basic-Zertifikate haben eine Laufzeit von einem Jahr, Let's Encrypt Zertifikate eine Laufzeit von drei Monaten. Unsere kostenlosen Zertifikate werden nach dieser Zeit automatisch für dich verlängert, sofern dein Account nicht gekündigt wurde.

Welche Einschränkungen gibt es bei Basic- oder Let's Encrypt Zertifikaten?

Die Basic- und Let's Encrypt-Zertifikate, die wir bei Hetzner zur Verfügung stellen, sind nur für die Verwendung in Verbindung mit Hetzner-Produkten bestimmt. Du kannst sie nicht mit den Hosting-Diensten anderer Provider verwenden. Ansonsten gibt es keine technischen Einschränkungen bei der Verwendung von Basic- und Let's Encrypt-Zertifikaten. Es können jedoch beispielsweise aus markenschutzrechtlichen Gründen nicht für alle Domainnamen Basic und Let's Encrypt Zertifikate ausgestellt werden. Wenn deine Domain davon betroffen ist, erhältst du bereits bei der Beantragung einen entsprechenden Hinweis. Wir empfehlen in diesen Fällen die Verwendung eines Business-Zertifikats. Bitte beachte zudem, dass wir keinerlei Einfluss darauf haben, ob ein Domainname unter diese Restriktionen fällt oder nicht. Des Weiteren stellt ein Basic oder Let's Encrypt Zertifikat deine Identität im Netz nicht sicher. Hier wird in den Zertifikatsinformationen lediglich der Name des Ausstellers angezeigt. Für Shops empfehlen wir daher die Verwendung von adressvalidierten Business-Zertifikaten. Hier wird deine Identität im Zertifikat angezeigt (weitere Informationen hierzu findest du im Abschnitt über Business-Zertifikate).

Business-Zertifikate – Wie unterscheiden sie sich?

Bei den SSL Business Zertifikaten von Thawte stehen Ihnen mehrere Möglichkeiten zur Auswahl. Prinzipiell wird zwischen folgenden Validierungsmechanismen unterschieden:

  • Domainvalidierte Zertifikate: Hier wird die Domain bzw. die Inhaberschaft der Domain verifiziert. Dies kann durch verschiedene Methoden wie DNS-, E-Mail- oder dateibasierter Authentifizierung geschehen. Das Zertifikat wird lediglich auf deine Domain ausgestellt.
  • Adressvalidierte Zertifikate: In diesem Fall wird neben der Domaininhaberschaft zusätzlich eine Identitätsprüfung vorgenommen. Dies geschieht üblicherweise über Handelsregisterauszüge und telefonischen Kontakt. Das Zertifikat trägt zusätzlich deine Firmenbezeichnung und den Firmensitz.
  • Extended Validation (EV): Wird ein solches Zertifikat verwendet, weist ein Klick auf das Schlosssymbol im Browser direkt ersichtlich deine Identität auf.

Hinzu kommen Zertifikate die entweder für eine oder mehrere spezielle (Sub-)Domainnamen gültig sind (z. B. ihre-domain.de und www.ihre-domain.de) und sogenannte Wildcard-Zertifikate, welche für alle Subdomains Gültigkeit haben (*.ihre-domain.de).

Ein Business-Zertifikat bestellen

  • Wähle in der Domainübersicht die Domain aus, für die du ein SSL Zertifikat bestellen möchtest und gehe im linken Menü auf "Einstellungen; SSL Manager"
  • Auf dieser Seite siehst du alle bereits vorhandenen Business Zertifikate aufgelistet. Ferner auch alle extern importierten Zertifikate. Klicke in der Zertifikatsübersicht auf "Neues Zertifikat" und wählen im Folgenden ein "Business SSL Zertifikat" aus, um den Assistenten für die Erstellung von Thawte Business SSL-Zertifikaten zu öffnen.
  • Wähle den gewünschten Zertifikatstyp aus.
  • Adress- und domainvalidierte Zertifikate kannst du für mehrere Domains nutzen. Es handelt sich hierbei um sog. Subjekt Alternative Names (SAN) Zertifikate. Gib im Feld „Anzahl Domainname“ an, wie viele Domains du absichern möchtest.
  • Als Nächstes werden die Adressdaten des Zertifikatsinhabers und die gewünschte Validierungsart abgefragt.
  • Anschließend erhältst du eine Gesamtübersicht mit Preisangabe. Durch klicken auf „Zahlungspflichtig bestellen“ schließen du den Bestellprozess ab.
  • Deine Bestellung leiten wir automatisiert an Thawte weiter. Je nach Validierungsart sind weitere Schritte notwendig, über die du informiert wirst.
  • Nach Fertigstellung des Zertifikats erhältst du eine Information per E-Mail und findest es in der Liste der Zertifikate mit einer grünen Markierung.

Welche Authentifizierungsmethoden stehen zur Verfügung?

Für domainvalidierte Zertifikate stehen 3 Methoden zur Verfügung:

  • DNS-Authentifizierung: Bei dieser Option wird die Authentifizierung über einen Eintrag im Zonefile deiner Domain vorgenommen. Dieser Vorgang kann automatisch abgewickelt werden, sofern deine Domain die Nameserver der konsoleH auflöst. Kann der DNS-Eintrag nicht automatisch gesetzt werden, wird dir am Ende der Bestellung ein DNS-Eintrag in der Form domain.de. IN TXT "201601011234561bfs5p5fdum9g8kciot9u3tu4t0e10142zq9wsnutvy2tz844d" angezeigt. Dieser Eintrag ist unverändert als TXT-Eintrag (A-Records werden nicht akzeptiert) einzutragen.

Hinweis: Bitte beachte, dass Änderungen am DNS üblicherweise einer gewissen Latenzzeit unterliegen. Solltest du Nameserver eines Drittanbieters verwenden, überprüfe bitte vorab, ob dieser die Eintragung solcher DNSAuth-Records zulässt.

  • Dateibasierte Authentifizierung: Hier erfolgt die Authentifizierung über eine Datei auf deinem Webspace. Am Ende des Bestellvorgangs wird Ihnen ein Dateiname sowie der erwartete Inhalt hierzu angezeigt. Bitte lege diese Datei in das Dokument Root-Verzeichnis der jeweiligen (Sub-)Domain ab. Je nach Serverkonfiguration kann die Datei ggf. bereits automatisch generiert werden. Bitte wundere dich daher nicht, wenn die Datei bereits in deinem Webspace liegt.

Hinweis: Bitte beachte, dass ggf. Serverkonfigurationen wie die Verwendung von mod_rewrite oder Weiterleitungen dafür sorgen können, dass die Datei von extern nicht erreichbar ist. Prüfe bitte daher unter Umständen in deinem Browser, ob du die Datei über http://ihre-domain.de/.well-known/pki-validation/fileauth.txt erreichen kannst.

  • Approve-E-Mail: Du erhältst eine sogenannte "Approve-E-Mail" an eine bestimmte E-Mailadresse unterhalb deiner (Sub-)Domain. In dieser E-Mail findest du einen Bestätigungslink zu deiner Bestellung. Üblicherweise köannst du hier zwischen den Mailkonten ‚webmaster‘, ‚admin‘, ‚administrator‘, ‚hostmaster‘ und ‚postmaster‘ wählen. Stelle deshalb bei Verwendung dieser Methode sicher, dass das ausgewählte E-Mailkonto existiert oder lege eine Weiterleitung auf ein existierendes E-Mailkonto an.

Welche Methode du wählst, bleibt dir überlassen. Unsere Administrationsoberfläche konsoleH wird automatisch die für dein Setup (Nameserver, Webspace etc.) einfachste Methode mit der größtmöglichen automatischen Unterstützung auswählt. Du kannst diese Auswahl während des Bestellprozesses jederzeit ändern. Nach Abschluss der Bestellung ist eine Änderung jedoch nicht mehr möglich.

Ein Business-Zertifikat verlängern

Ca. 4 Wochen vor Ablauf des Thawte SSL Business Zertifikats erhaltst du eine E-Mail von uns mit einer Erinnerung, dass die Gültigkeit des Zertifikats auslaufen wird.

Der Prozess zur Verlängerung eines auslaufenden Zertifikats unterscheidet sich nicht vom üblichen Bestellprozess eines neuen Zertifikats.

  • Logge dich mit Kundennummer und dem dazugehörigen Passwort über deine Administrationsoberfläche konsoleH ein.
  • Wähle die Domain aus, für die du ein SSL Zertifikat verlängern möchtest und gehe im linken Menü auf EinstellungenSSL Manager
  • Klicke hinter dem betroffenen Zertifikat auf das Uhrensymbol.
  • Kontrolliere auf den folgenden Seiten die Adressdaten und die Validierungsart.
  • Anschließend erhältst du eine Gesamtübersicht mit Preisangabe. Durch klicken auf Zahlungspflichtig bestellen schließt du den Bestellprozess ab.
  • Deine Bestellung leiten wir automatisiert an Thawte weiter. Je nach Validierungsart sind weitere Schritte notwendig, über die du informierst wirst.
  • Nach Fertigstellung des Zertifikats erhählst du eine Information per E-Mail und findest es in der Liste der Zertifikate mit einer grünen Markierung.

Eine Neuausstellung beantragen

Innerhalb der Laufzeit deiner Zertifikates kannst du uns zu jedem Zeitpunkt einen Antrag auf Neuausstellung des Zertifikats zukommen lassen. Dies ist beispielsweise sinnvoll, wenn:

  • du die Subdomain(!) deines Zertifikats ändern möchtest (z. B. sub2.domain.de anstatt sub1.domain.de)

  • dein Zertifikat mit einem veralteten "Digital Signature Algorithm" (DSA) ausgestellt oder unterzeichnet wurde (z.B. SHA1)

  • dein privater Schlüssel bzw. das gesamte Zertifikat kompromittiert wurde.

Wichtig: Eine Neuausstellung hat keinerlei Auswirkungen auf die Laufzeit deines Zertifikats. Sie dient also nicht der Verlängerung und darf nicht mit dem Punkt "Verlängerung" verwechselt werden.

  • Logge dich mit Kundennummer und dem dazugehörigen Passwort über deine Administrationsoberfläche konsoleH ein.
  • Wähle die Domain aus, für die du ein SSL Zertifikat neu ausstellen möchtest und gehe im linken Menü auf EinstellungenSSL Manager
  • Klicke hinter dem jeweiligen Zertifikat auf das Stiftsymbol.
  • Durch klicken auf „Auftrag absenden“ wird die Neuausstellung automatisch bei Thawte beantragt.
  • Nach der Validierung erhältst eine E-Mail über die Fertigstellung

Hinweis: Unter Umständen ist eine erneute manuelle Authentifizierung des Zertifikats nötig.

Zertifikate von Drittanbietern und selbstsignierte Zertifikate

Hinweis: Für die Verwendung von Zertifikaten eines Drittanbieters ist es nicht notwendig, dass der zugehörige CSR in unserer Administrationsoberfläche konsoleH generiert wurde. Wir empfehlen die Zertifikatsdaten aus Sicherheitsgründen auf dein Server oder lokalen Rechner zu generieren und nur den CSR an die Zertifizierungsstelle weiterzugeben. Wie du einen CSR erstellst, erfährst du u.a. im nächsten Abschnitt oder unter: https://www.digicert.com/kb/csr-creation.htm

Ein existierendes Zertifikat importieren

Bitte beachte: Ein einmal importiertes Zertifikat kann, abgesehen von den zugehörigen Zwischenzertifikaten, nicht mehr verändert werden.

Bitte importiere Zertifikate von Drittanbietern daher erst, wenn diese vollständig fertiggestellt sind.

Um ein externes Zertifikat importieren zu können, muss der Zertifikat Key, der Private Key und alle Zwischenzertifikate im PEM Format vorliegen. Zudem darf der Private Key nicht mit einem Passwort verschlüsselt sein.

  • Logge dich mit Kundennummer und dem dazugehörigen Passwort über die Administrationsoberfläche konsoleH ein.
  • Wähle die Domain aus, für die du ein externes SSL-Zertifikat hochladen möchtest und gehe im linken Menü auf EinstellungenSSL Manager.
  • Klicke auf Neues Zertifikat und wähle im folgenden Zertifikat importieren.
  • Kopiere den Zertifikatsschlüssel in das Feld "Zertifikatsblock" sowie den Private Key in das Feld "Schlüsselblock".
  • Füge alle Zwischenzertifikate (Root und Intermediate) untereinander in das Feld 'CA Blöcke' ein.
  • Klicke auf Zertifikat Importieren
  • In der Liste der Zertifikate findest du es mit einer grünen Markierung

Hinweis: Zur Bestellung eines SSL-Zertifikates benötigst du einen Certificate Request Key (CSR). Diesen köannst du auf einem Linux Server sehr einfach mit folgendem Befehl erstellen:

openssl req -new -nodes -newkey rsa:4096 -keyout  www_meinedomain_de.key -out www_meinedomain_de.csr

Hierbei wird gleichzeitig der Private Key erstellt. Für den CSR wurde eine Schlüssellänge von 4086 Bit gewählt. Das BSI empfiehlt eine Schlüssellänge von mindestens 3072 Bits (Stand Juni 2024).

Ein verlängertes oder neu ausgestellte Zertifikat aktivieren (Thawte Business Zertifikat oder externes Zertifikat)

Ein verlängertes oder neu ausgestelltes Zertifikat muss noch aktiviert und im Webserver hochgeladen werden.

  • Logge dich mit Kundennummer und dem dazugehörigen Passwort über die Administrationsoberfläche konsoleH ein.
  • Wähle die entsprechende Domain aus und gehe im linken Menü auf "Einstellungen; SSL Manager"
  • Wähle hinter der jeweiligen (Sub-)Domain aus der Liste der Zertifikate das neue Zertifikat aus. Klicke dann auf das Symbol mit den zwei runden Pfeilen rechts neben dem Zertifikat. Dadurch wird das verlängerte oder neu ausgestellte Zertifikat dauerhaft in den Webserver geladen und wird sofort bei Aufruf von https:// verwendet.

Ein fertiges Zertifikat herunterladen (Thawte Business Zertifikat oder externes Zertifikat)

  • Logge dich bitte mit Kundennummer und dem dazugehörigen Passwort über die Administrationsoberfläche konsoleH ein.
  • Wähle die Domain aus und gehe im linken Menü auf EinstellungenSSL Manager.
  • Unter SSL-Zertifikate werden u.a. alle bereits vorhandenen Business Zertifikate sowie alle von extern importierten Zertifikate aufgelistet
  • Klicke am Ende der Zeile des jeweiligen Zertifikats auf das Downloadsymbol.
  • Das Zertifikat wird mit allen Keys als .zip-File geladen und zur Speicherung auf dem lokalen PC zur Verfügung gestellt.

Hinweis zum Support bei der Einrichtung von SSL-Zertifikaten

Bitte beachte, dass wir für die Einrichtung, Beantragung und Fehleranalyse von SSL-Zertifikaten keinen telefonischen Support anbieten. Die Unterstützung erfolgt ausschließlich über ein autorisiertes Support-Ticket.

Der Hintergrund ist, dass die Einrichtung von SSL-Zertifikaten in vielen Fällen eine genaue Prüfung von Domains, DNS-Einträgen, Zertifikatsstatus und Validierungsschritten erfordert. Diese Informationen lassen sich im Ticketsystem vollständig und nachvollziehbar dokumentieren und effizient bearbeiten.

Erstelle bei Fragen oder Problemen daher bitte ein entsprechendes Ticket über Verwaltung im Bereich Support-Anfrage, indem du das betreffende Webhosting und dann SSL auswähhlst. Achte darauf, die betroffene Domain sowie das betreffende Zertifikat anzugeben.

Warum kann ich nur die Anmeldeseite der KonsoleH sehen, aber nicht meine Website?

Bitte installiere ein SSL Zertifikat für deine Domain. Unseren SSL Guide findest du hier: https://docs.hetzner.com/de/managed/ssl/ssl-guide

Table of Contents