GlobalSign Blog

07 Mär 2017

Häufige Fehler bei SSL-Zertifikaten und wie Sie diese beheben

Manchmal haben selbst die effektivsten Website-Verantwortlichen Probleme mit den SSL/TLS-Zertifikaten. In vielen Bereichen können Probleme und Fallen auftreten: bei der Bestellung des richtigen Zertifikats, bei der Erstellung eines CSR, beim Download, bei der Installation und beim Testen.

Wir möchten Ihnen helfen den Vorgang von Anfang bis Ende so einfach wie möglich zu gestalten. Deswegen haben wir die 10 Hauptfragen und Probleme, die unsere Kunden während des Installationsvorgangs beschreiben zusammengefasst. Wir hoffen, dass Sie so diese Fallen vermeiden können und die Installation schneller abschließen. Falls Sie aber ein Problem haben, das nicht in diesem Blog beschrieben wird, können Sie natürlich nach wie vor unser Support-Team kontaktieren oder ein Support Ticket über unsere Website aufgeben.

Die richtige Genehmigungsmethode auswählen

Es gibt drei Wege auf die Sie Ihre Domain von uns verifizieren lassen können: über eine Genehmigungs-E-Mail, eine Genehmigungs-URL oder über DNS TXT Dateien.

Bitte beachten Sie: wenn Sie ein SSL-Zertifikat über unser System bestellen, können die Genehmigungsmethoden nach Auswahl nicht mehr geändert werden.

Genehmigungs-E-Mail

Bei der Bestellung können Sie aus den folgenden E-Mail-Adressen zur Verifizierung Ihrer Domain wählen:

  • admin@domain.com
  • administrator@domain.com
  • hostmaster@domain.com
  • postmaster@domain.com
  • webmaster@domain.com

Es wird eine E-Mail an diese Adresse geschickt und bei Erhalt der E-Mail müssen Sie einen Link klicken, um zu zeigen, dass die Domain Ihre ist.

Bitte beachten Sie: Stellen Sie sicher, dass es die richtige ist. Ansonsten müssen Sie die Bestellung stornieren und eine neue Bestellung aufgeben.

Falls Sie keine der obigen E-Mail-Adressen erstellen können, sprechen Sie bitte mit unserem Support, der Ihnen weitere Optionen erklären kann. Diese sind:

  • Ein Update der WHOIS-E-Mail-Adresse (Beispiel einer Website, die GlobalSign nutzt, um Who-Is-Einträge zu prüfen ist networksolutions.com).
  • Anhand von Anweisungen unseres Support-Teams eine Seite auf der Website der Domain erstellen. Dies beweist, dass Sie die Domain besitzen und so kann das Vetting-Team eine Genehmigungs-E-Mail an eine beliebige alternative E-Mail-Adresse schicken.

Genehmigungs-URL

Mit der Genehmigungs-URL-Methode fügen Sie einen Meta-Tag auf der Root-Seite Ihrer Domain hinzu. Unser Verifizierungssystem erkennt den Meta-Tag auf der Seite und verifiziert so den Besitz der Domain.

Bitte beachten Sie: der Meta-Tag muss auf der Root-Seite der Domain eingefügt sein. Unser System kann die Domain nicht verifizieren, wenn es auf eine andere Seite weitergeleitet wird.

Beim DNS TXT Eintrag wird ein Code in den DNS TXT der Website eingefügt. Unter diesem Link können Sie sehen ob ein DNS TXT Eintrag auf Ihrer Website vorhanden ist. Sie können auch einen Steuerungsbefehl durchführen, um zu sehen, ob es einen txt Eintrag gibt: nslookup -type=txt www.domain.com.

Der private Schlüssel fehlt

Der private Schlüssel und CSR muss immer über den gleichen Server erstellt werden, auf dem auch das Zertifikat installiert wird. Nur so kann das Zertifikat ordnungsgemäß installiert werden. Falls der private Schlüssel nicht mehr auf dem Server gespeichert ist (also verloren gegangen ist), muss das Zertifikat mit einem neuen CSR wiederausgestellt werden.

Folgende Beispiele von Fehlermeldungen lassen vermuten, dass es keinen privaten Schlüssel mehr gibt:

  • ‘Private key missing’ erscheint während der Installation.
  • Fehlermeldung ‘Bad tag value’ erscheint während der Installation.
  • Nachdem das Zertifikat in IIS importiert wurde, verschwindet es wieder aus der Liste, wenn diese aktualisiert wird.
  • Wenn Sie auf Ihre Website gehen, wird https:// nicht geladen

SAN-Kompatibilität

Mit einem SAN (Subject Alternative Name) Zertifikat müssen ein paar Dinge vor der Bestellung beachtet werden.

  • Domain Validated (DV) SSL Zertifikate sichern nur Sub-Domains und nicht den Common Name.
  • Organization Validated (OV) und Extended Validation (EV) SSL Zertifikate sichern Multi-Domain Names (FQDNs).
  • Es können bis zu 100 SANs gleichzeitig in einem Zertifikat gesichert werden; nach dem Ausstellen können mehr hinzugefügt werden.
  • Wildcard SSL Zertifikate können eine unbegrenzte Anzahl an Sub-Domains sichern; diese werden mit einem Sternchen hervorgehoben.

Weitere Informationen zur SAN-Kompatibilität zeigt die folgende Grafik.

SAN Compatability

Falls Sie eine SAN aus Ihrem Zertifikat löschen wollen, nachdem es ausgestellt wurde, folgen Sie den Schritten im Link.

Ungültiger CSR

Falls Sie einen CSR zur Erneuerung des Zertifikats erstellen, müssen Sie sicherstellen, dass die Informationen immer noch gleich wie im ursprünglichen CSR sind. Der neue CSR gleicht nicht dem alten, weil der private Schlüssel anders ist.

Ein weiterer Grund für einen ungültigen CSR ist, wenn ein CSR-Ablauf im IIS7 Server erstellt wurde. Es ist bekannt, dass dabei ein Programmierungsfehler den CSR zu lang macht. Am besten erstellen Sie eine komplett neue Zertifikatsanfrage, anstatt diese nur zu erneuern.

Sie können einen CSR testen, indem Sie einen Decoder der unten genannten Websites nutzen. Auch falls extra Leerzeichen oder zu viele oder zu wenige Bindestriche am Anfang/Ende des Zertifikatsantrags eingefügt wurden, ist der CSR ungültig.

-----BEGIN CERTIFICATE REQUEST-----

-----END CERTIFICATE REQUEST-----

Der eingegebene Common Name stimmt nicht mit der Base Option überein

Dieser Fehler wird angezeigt, wenn Sie ein Wildcard SSL Zertifikat bestellt haben, aber das Sternchen im Common Name (z.B. *.domain.com) nicht hinzugefügt wurde. Oder falls Sie umgekehrt *.domain.com angegeben haben, aber kein Wildcard Zertifikat ausgewählt haben.

Das [*] repräsentiert alle Sub-Domains, die mit dieser Art von Zertifikat gesichert werden können. Falls Sie zum Beispiel www.domain.com, mail.domain.com und secure.domain.com sichern wollen, müssen Sie als Common Name im CSR *.domain.com angeben.

Bitte beachten Sie: Sie können keine Wildcard für eine Sub-Domain vor dem Sternchen erstellen, also z.B. mail.*.domain.com oder doppelte Wildcards, wie *.*.domain.com.

Fehlermeldung: doppelter Schlüssel

Diese Fehlermeldung erscheint, wenn Sie einen schon genutzten privaten Schlüssel nochmal nutzen. Ein privater Schlüssel und CSR können jeweils nur EINMAL genutzt werden.

Sie müssen einen neuen privaten Schlüssel und CSR auf dem Server erstellen und den neuen CSR wieder einreichen.

Bestellstatus wurde bereits geändert

Order state has already been changed SSL

Diese Fehlermeldung erscheint wenn Ihre Bestellung nicht innerhalb eines Zeitlimits fertiggestellt wurde. Sie müssen den Bestellvorgang erneut beginnen und uns mitteilen, falls diese Fehlermeldung weiterhin auftritt. Falls dies der Fall ist, müssen wir weitere Checks in Ihrem Account durchführen.

Bitte beachten Sie: die Fehlermeldung kann auch bei falsch eingegebenen SANs auftreten. Falls zum Beispiel der Common Name „www.domain.com” ist und Sie als Sub-Domain „domain.domain2.com“ angeben, obwohl dies FQDN anzeigt.

Die angegebenen SAN Optionen stimmen nicht mit den SAN Optionen des ursprünglichen Zertifikats überein

Dieses Problem kann aus mehreren Gründen auftreten:

  • Sie haben ein Leerzeichen nach dem SAN eingegeben, was von unserem System als Fehler angezeigt wird.
  • Es befindet sich ein Tippfehler in den eingegebenen Informationen.
  • Sie geben den Common Name (CN) des Zertifikats als SAN ein. Das System kann so nicht erkennen, ob es bereits vom Zertifikat gesichert ist.
  • Sie haben die SAN fälschlicherweise als Sub-Domain, Multi-Domain Name, interne SAN oder IP eingegeben. Sie müssen die richtige Art von SAN auswählen, die zu der SAN gehört.

Zertifikat wird vom Browser nicht als vertrauenswürdig anerkannt

Nach der Installation des Zertifikats zeigen manche Browser immer noch Fehler bei der Vertrauenswürdigkeit an. Dies kommt vor, wenn das Intermediate Zertifikat nicht installiert wurde.

Sie können einen SSL-Check für die Domain durchführen, um diesen Fehler aufgezeigt zu bekommen.

Falls das Intermediate Zertifikat fehlt, können Sie über diesen Link erfahren, welches Intermediate Zertifikat Sie brauchen, je nach Art Ihres Zertifikats (DomainSSL, OrganisationSSL, ExtendedSSL, AlphaSSL usw).

Mehr Informationen zu Intermediate Zertifikaten und warum Sie diese nutzen sollten, erfahren Sie in diesem Artikel

Fehlermeldung ‘Wechsel von anderem Anbieter’

Wenn Sie die Option ‚Wechsel von anderem Anbieter‘ in unserem Bestellsystem wählen, kann es sein, dass die folgende Fehlermeldung angezeigt wird:

Der Server, der Ihr derzeitiges Zertifikat anzeigt, kann nicht kontaktiert werden, um die Gültigkeit zu bestätigen. Bitte besorgen Sie sich eine Kopie Ihres Zertifikats und kopieren Sie es in den Kasten unterhalb. Alle Wechsel von Mitbewerbern werden vom GlobalSign Vetting Team auf vertrauenswürdige Anbieter geprüft. Falls Ihr Zertifikat ohne gültiges Root CA Zertifikat ausgestellt wurde, wird es storniert oder zurückgezogen.

Diese Fehlermeldung tritt auf, wenn Ihr derzeitiges Zertifikat nicht länger gültig ist. Wählen Sie diese Option nur, falls Sie vor dem Ablauf Ihres Zertifikats von einem anderen Anbieter wechseln.

Diese Fehlermeldung kann auch auftreten, falls Ihr derzeitiges Zertifikat nicht auf der Domain installiert ist. Unser System kann so die Gültigkeit nicht erkennen. In diesem Fall sollten Sie diese Option nicht wählen und den Bestellvorgang ganz normal durchführen.

Falls Sie ein gültiges Zertifikat von einem anderen Anbieter haben, das nicht auf dem Server installiert ist, kopieren Sie bitte den CSR in das Textfeld der Option ‘Wechsel von einem anderen Anbieter’. Die folgende Abbildung zeigt diese Option.

Switch from competitor

Diese Fehlermeldung kann zu guter Letzt auch auftreten, wenn Sie ein Zertifikat auf Ihrem Server installiert haben, aber der CN nicht der gleiche wie der Domainname ist. Dies kann zum Beispiel bei einem SAN Zertifikat der Fall sein. In diesem Fall sollten Sie diese Option nicht auswählen und den Bestellvorgang ganz normal durchführen.

Mehr Informationen zu allgemeinen SSL Zertifikatsproblemen finden Sie im SSL-Bereich unserer Supportseite.

Artikel teilen

Jetzt Blog abonnieren