SSL-/TLS-Zertifikate

Um ein Certificate Signing Request (CSR) zu erstellen, halten Sie bitte folgende Informationen bereit:

• Common Name (CN) − Fully Qualified Domain Name (FQDN) Ihrer abzusichernden Webseite
• Organisation Name (O) − Antragsteller (d. h. die Organisation, die sich selbst und Ihren Webserver zukünftig ausweisen möchte)
• Locality (L) − Stadt (offizieller Firmensitz des Antragstellers)
• State (S) − Bundesland / Kanton (offizieller Firmensitz des Antragstellers lt. HRA / HRB)
• Country (C) − z. B. DE für Deutschland (offizieller Firmensitz des Antragstellers)

Hinweis: Bitte archivieren Sie nach der Erstellung unbedingt Ihre CSR-Datei und Ihren privaten Schlüssel!

Wenn D-TRUST den Antrag freigegeben hat, senden wir Ihnen das Zertifikat per E-Mail zu bzw. stellen Ihnen einen Link zum Download bereit. Jetzt brauchen Sie nur noch die Installation auf Ihrem Webserver durchzuführen.

Hinweis: Unsere Zertifikate sind mit allen gängigen Plattformen kompatibel, die aktuelle Hash-Algorithmen unterstützen. Sollten Sie Fragen zur CSR-Erstellung bzw. Erstellung von Zertifikatsanfragen haben, finden Sie bei den Herstellern Ihrer Hard- und Software umfassende und spezifische Dokumentationen.

Sollten Sie Probleme bei der Installation haben, kann dies folgende Ursachen haben:

• Die Zertifikatsanforderung und / oder der private Schlüssel wurden zwischen dem Zeitpunkt der Request-Erzeugung und der Installation des Zertifikats gelöscht oder auf einem anderen Rechner durchgeführt.
• Die Zertifikatskette auf dem Webserver ist unvollständig. Prüfen Sie bitte, ob das Root-Zertifikat (als Stammzertifizierungsstelle bzw. Root-CA) sowie das ausstellende Zwischenzertifikat (als Zwischenzertifizierungsstelle bzw. Chain- oder Sub-CA) vorhanden sind. Ist eines dieser Zertifikate nicht vorhanden, kann das SSL-Zertifikat nicht importiert werden. Auch kann ein fehlermeldungsfreier Zugriff durch einen Client auf den Server zu einem späteren Zeitpunkt nicht durchgeführt werden. Unsere aktuellen CA-Zertifikate finden Sie auf unserer Zertifikatsdownloadseite.

CAA steht für Certificate Authority Authorization. Mit diesem Ressource Record wird festgelegt, welche CA´s (Certificate Authorities) für die von Ihnen verwaltete Internet-Domain SSL-Zertifikate ausstellen dürfen. 
 
Die Angabe eines CAA Ressource Records ist optional, dient aber Ihrer Sicherheit: Mit dieser Maßnahme soll verhindert werden, dass unautorisiert TLS-Zertifikate für eine Ihrer Internet-Domains ausgestellt werden. Ist kein CAA Ressource Record vorhanden, darf jede CA für Ihre Domain ein TLS-Zertifikat ausstellen.
 
Die Angabe der D-TRUST CA in Ihrem CAA Ressource Record stellt sicher, dass keine unautorisierten TLS-Zertifikate für eine Ihrer Internet-Domains ausgestellt werden können.
 
Beispiele eines CAA Ressource Records, in dem D-TRUST als autorisierte CA angegeben wird:

• Alle TLS-Zertifikatstypen (inkl. Wildcard)
  example.com.        CAA 0 issue "d-trust.net"
• Ausschließlich Wildcard-TLS-Zertifikate
  example.com.        CAA 0 issuewild "d-trust.net"

Der erste Eintrag gilt für alle TLS-Zertifikatstypen, der zweite Eintrag gilt ausschließlich für Wildcard-TLS-Zertifikate. Wollen Sie alle TLS-Zertifikatstypen über eine CA beziehen, genügt der erste Eintrag. Weitergehende Informationen finden Sie im RFC 6844.

Wo wird der Eintrag vorgenommen?

Sie können einen entsprechenden CAA-Record in der DNS Konfiguration Ihres Domain-Providers (z.B. 1und1, Strato etc.) vornehmen.
 
HINWEIS: Bitte beachten Sie, dass die D-TRUST GmbH Ihnen keine TLS-Zertifikate ausstellen kann, wenn in Ihrem CAA Ressource Record eine andere CA als die D-TRUST GmbH aufgeführt ist.