Serverzertifikat manuell beantragen

Der private Schlüssel und die Zertifizierungsanfrage (Certificate Signing Request - CSR) werden vom Serveradministrator selbst generiert werden. Anschließend lädt der Administrator die Zertifizierungsanfrage (*.csr Datei) auf den Server von Sectigo. Das Rechenzentrum prüft die Anfrage. Wenn der Antrag genehmigt wurde, stellt Sectigo das Zertifikat aus und schickt dem Administrator eine E-Mail mit Downloadlinks zu unterschiedlichen Zertifikatsformaten.
Kurzanleitung


1.   Privaten Schlüssel (RSA-4096 oder ECC-384) und CSR erzeugen
  - mit OpenSSL
  - mit IIS-Manager

2.  CSR auf den Sectigo Webserver laden.
   2.1.  BTU E-Mail-Adresse eingeben.

   2.2.  Sectigo schickt eine E-Mail mit einem Zugangslink.
   2.3.  Wird der Link angeklickt, öffnet sich der Sectigo Certificate Manager. Bis der Inhalt der Seite komplett geladen ist, kann es etwas länger dauern.
   2.4.  Mit dem Button "Enroll Certificate", kann ein neues Zertifikat beantragt werden.

   2.5.  Im nächsten Fenster muss der Access Code eingegeben werden. Wenn Sie kein Access Code erhalten haben, kann dieser über ca-btu(at)b-tu.de abgefragt werden.

   2.8.  Auf der Seite "SSL Certificate Enrollment" kann nun die erstellte Zertifikatsdatei hochgeladen werden ("Upload CSR").
   2.9.  Der „Common Name“ des Servers wird aus der CSR-Datei ausgelesen und kann nicht geändert werden.
   2.10.  Unter "Subject Alternative Names" können weitere Namen (Alias) angegeben werden [Optional]
   2.11. Bei "External Requesters" können weitere E-Mail-Adressen angegeben werden, die ebenfalls Benachrichtigungen erhalten. [Optional]
   2.12.  Wenn "Auto Renew" aktiviert wird, kann festgelegt werden wieviel Tage vor Ablauf des Zertifikats ein neues Zertifikat generiert und automatisch per Mail zugeschickt werden soll.

3.    Wenn das Rechenzentrum den Antrag geprüft und bestätigt hat, erstellt Sectigo das Zertifikat und schickt eine E-Mail mit den Downloadlinks.
Linux-User wollen in Regel das "Certificate (w/ issuer after), PEM encoded" während Windows-User das Format "PKCS#7" bevorzugen.

Wichtig!

Wird ein Zertifikat nicht mehr benötigt, zum Beispiel, weil der Server oder die Webseite abgeschaltet wird, muss das Zertifikat selbstständig zurückgezogen werden (https://cert-manager.com/customer/DFN/ssl „Certificate revocation“). Dafür wird die „Certificate ID“, die in der der Mail von Sectigo enthalten ist, und die „Annual Renewal Passphrase“ benötigt.


Bitte richten Sie Fragen und Hinweise direkt per E-Mail an ca-btu(at)b-tu.de