SSL-Zertifikat Installation nach renewal

  • Hallo zusammen,


    ich habe eine kleine Frage zum Thema Apache nachdem jetzt mein SSL-Zertifikat abgelaufen ist und ich es erneuert habe hab ich nun mein neues erhalten. Es ist jetzt ein Jahr her und ich erinnere mich das ich das damals schon nur mit hängen und würgen installiert bekommen habe. Ich habe jetzt das neue Zertifikat eingefügt, das Intermediate CA ist ja noch weiterhin gültig (weshalb ich mal annehme das dort kein Bedarf zum Austausch besteht). Jetzt stellt sich mir die Frage wie war das jetzt nochmal mit dem Private Zertifikat bleibt das gleich? Ich denke doch mal nein oder? Des weiteren habe ich im CCP unter dem Punkto Log beim SSL folgenden Fehler Registrierungsvorgang gestartet Warnung: ErrorCode: 2007 ErrorField: CSR.sameKey ErrorMessage: We have detected that your CSR contains the same key as the original order. We recommend that you submit a new CSR to be in line with security best practices


    Ich hoffe jemand kann mir hier weiterhelfen.


    EDIT: Ich nutze Ubuntu 16.04LTS und Apache2 als WebServer mein Zertifikat ist dieses.


    Vielen dank vorab ^^




    LG Dominik

  • Hatten wir schonmal, exakt vor einem Jahr. Prozedere ist das Gleiche. Einfach in die Apache Konfiguration gucken:

    https://forum.netcup.de/admini…-installieren/#post101571


    Key bleibt der gleiche, weil das CSR gleich blieb.



    Des weiteren habe ich im CCP unter dem Punkto Log beim SSL folgenden Fehler

    Das ist nur eine Warnung / Empfehlung den private Key auszutauschen und damit auch das CSR neu zu signieren. Kannst du ignorieren.

  • Vorweg eine Alternative:

    Also, was das von Dir genannte RapidSSL anbelangt, wird da nur die Domain validiert. Im Grunde reicht für diesen Zweck auch ein kostenloses Letsencrypt-Zertifikat, dessen Erneuerung automatisiert alle paar Monate (dzt. 3) erfolgt. Das wirst Du also nur einmal einstellen müssen und es läuft dann, wenn der Cronjob richtig arbeitet, ewig.


    Was ein CSR ist, ist hier schön erklärt: https://de.wikipedia.org/wiki/Certificate_Signing_Request

    Da ich über das CCP noch nie ein zu kaufendes Zertifikat erworben habe, weiß ich nicht, wie der Prozess hier abläuft. Im Idealfall passiert es so, wie bei Wikipedia beschrieben. Es gibt aber auch Anbieter, bei denen das Erstellen von Private Key und CSR auf deren Server, respektive in Deinem Browser abläuft. Aufgrund der übermittelten Fehlermeldung nehme ich an, dass Du den CSR erstellt hast.

    Offenbar hast Du den ursprünglichen CSR von damals eingereicht, ohne einen neuen zu erstellen.


    Wie das geht, ist hier beschrieben: https://knowledge.digicert.com/solution/SO13985.html

    Diesen CSR reichst Du wahrscheinlich über das CCP zum Signieren ein, wo vermutlich die RapidSSL API das Weitere übernimmt. Du wirst dann

    verständigt, wenn das Zertifikat vorhanden ist.


    Sollte allerdings der Private Key mit einer Version von OpenSSL erstellt worden sein, in der nachträglich gewisse Unsicherheitsfaktoren offenkundig geworden sind, ist es ratsam auch den Private Key neu zu erstellen. Du tauscht dann alles aus.


    Konkret auf Netcup bezogen beschreibt das Netcup-Wiki die Prozedur: https://www.netcup-wiki.de/wiki/SSL-Zertifikate_CCP


    Wie eingangs erwähnt, würde ich, wenn nicht spezielle Anforderungen dem entgegenstehen, für ein einfaches SSL-Zertifikat auf dem Webserver (auch verwendbar für alle anderen mit SSL/TLS abgesicherten Dienste) eher auf das kostenlose Letsencrypt ausweichen.