Skip to main content

Best Practice: SSL-Zertifikat bestellen

1. Wissenswertes über die SSL-Zertifizierung

1.1. Preis-Modell der SSL-Zertifizierung

Für das Bereitstellen des SSL-Zertifikates wird eine mtl. Gebühr in Höhe 2,- € netto zzgl. der Kosten des SSL-Zertifikats erhoben.

monatlichen_kosten

Demnach ergeben sich folgende jährliche Kosten je Modell in aufsteigender Reihenfolge:

Zertifikat Berechnung Kosten p.a.

Let’s Encrypt

12*2 + 12*0

24,- €

COMODO 2 Jahre

12*2 + 1*59,50/2

53,75 €

COMODO 1 Jahr

12*2 + 1*35,70

59,70 €

Alle Preise sind in netto angegeben.

1.2. Let’sEncrypt oder COMODO - Welches Zertifikat soll ich nutzen?

1.2.1. Pro Let’sEncrypt

  • Günstigstes SSL-Zertifizierungsmodell

  • Voll automatisierte Verlängerung

1.2.2. Contra Let’sEncrypt

  • Die Vertrauenswürdigkeit wird im Hintergrund von der kleinen Zertifizierungsstelle (Certification Authority - kurz: CA) IdenTrust bescheinigt – es handelt sich um keine traditionelle CA, sondern um ein Zertifikate ausstellendes Bank-Konsortium.

Offizielle Homepage: https://letsencrypt.org/


1.2.3. Pro COMODO

  • Weltweit anerkannte und über Jahre vertrauensvolle CA.

  • Im Falle eines Missbrauchs oder Datenverlustes besteht Garantieanspruch bei der ausstellenden CA.

1.2.4. Contra COMODO

  • Keine automatische Verlängerung

  • Zwingend strikte Einhaltung des Beschriebenen Bestellvorgangs notwendig

  • Das E-Mail-Postfach hostmaster@deineDomain.tld muss angelegt und abrufbar sein

Offizielle Homepage: https://comodosslstore.com/

1.3. Domainvoraussetzungen

Die Domain, für die das SSL-Zertifikat bestellt werden soll, muss eine im Service-Center aktivierte Hauptdomain sein (Handbuch: Systemverknüpfung erstellen).
Siehe Service Center » Systeme » PID » Tab: Domain » Domain-ID » Systemverknüpfung
image::basics/admin-aufgaben/best-practices/assets/systemverknüpfung_hauptdomain.png[systemverknüpfung_hauptdomain]

Die Bestellung eines SSL-Zertifikats ist nicht möglich, wenn für die entsprechende Domain unter dem Menüpunkt Systemverknüpfung die Auswahl externer Server abgespeichert ist.
image::basics/admin-aufgaben/best-practices/assets/externer_server.png[externer_server]

1.3.1. Aktiviertes Autoscaling

Vereinzelt gibt es noch immer Systeme, die nicht auf Autoscaling (kurz: AS) umgestellt wurden. In den meisten Fällen liegt das daran, dass die Domain nicht bei plentymarkets gehostet wird und aus diesem Grund ein manuelles Eingreifen in die DNS-Einstellungen der Domain durch den Domain-Inhaber notwendig ist.
Eine weitere Ursache ist das erstmalige Hinzufügen einer Domain an einen Mandanten-Shop. Diese werden nicht automatisch auf AS umgestellt, sondern müssen von uns im Nachhinein umgestellt werden.

Woran erkenne ich aktiviertes AS?

Ob für das jeweilige System AS aktiviert ist oder nicht erkennt man anhand der dargestellten DNS-Einstellungen im Service-Center an der jeweiligen Domain. Systeme, die auf AS umgestellt wurden, benötigen zwingend einen CNAME-Record. Wenn dieser CNAME-Record im Service-Center nicht dargestellt wird, sondern stattdessen zwei A-Records, ist das System, bei dem zwei A-Records dargestellt werden, nicht auf AS umgestellt.

  • Beispiel der dargestellten DNS-Einstellungen bei einem System auf AS:

DNS-Einstellungen bei aktiviertem AS
  • Beispiel der dargestellten DNS-Einstellungen bei einem System ohne AS:

DNS-Einstellungen bei nicht aktiviertem AS

1.3.2. Bei Subdomains: Existierende Parent-Domain

Wenn ein SSL-Zertifikat für Sub-Domains bestellt werden soll, muss sichergestellt sein, dass die dazugehörige Parent-Domain ebenfalls im Service-Center existiert und die notwendige Beziehung zueinander korrekt eingetragen ist. Solltet ihr die Parent-Domain bereits aus dem Service-Center entfernt haben, muss diese Parent-Domain erneut angelegt werden und, falls gewünscht, mit einem externen A-Record versehen werden, wenn diese nicht auf plentymarkets zeigen soll, sondern z.B. auf Shopware oder dergleichen (Handbuch: Systemverknüpfung erstellen).
Erläutertes Fallbeispiel im Forum: SSL Verlängerung nicht möglich

1.3.3. DNS-Einstellungen

DNS-Einstellungen gem. Angaben im Service-Center

Die Validierung der SSL-Bestellung erfolgt auf Dateiebene. Das bedeutet, dass die Domain, für die das Zertifikat bestellt werden soll, zwingend korrekt erreichbar sein muss. Dazu müssen die DNS-Einstellungen gem. den Angaben im Service-Center entsprechen.
Siehe dazu Selbsthilfe bei DNS-Problemen / Wie hinterlege ich korrekte DNS-Einstellungen

Kein AAAA-Record

Für die Domain, für die das SSL-Zertifikat bestellt werden soll, darf kein IPv6-Eintrag (AAAA-Record) existieren.

Kein negativer CAA-Record

Für die Domain, für die das SSL-Zertifikat bestellt werden soll, muss sichergestellt werden, dass evtl. vorhandene CAA-Records die Bestellung von COMODO und/oder LetsEncrypt-Zertifikaten zulässt.

1.4. Veröffentlichung / Bereitstellung

Nach Bestellung eines neuen Zertifikats muss dieses durch einen regelmäßig ausgeführten Systemprozess veröffentlicht werden. Dies kann bis zu 60 Minuten dauern.

1.5. Qualitätskontrolle durch die Zertifizierungsstelle

In Einzelfällen führt die Zertifizierungsstelle eine Qualitätskontrolle durch bevor sie SSL-Zertifikate freischaltet. Prüfe daher die auf dem Bildschirm angezeigte Bestätigungsnachricht. Eine Qualitätskontrolle dauert in der Regel bis zu 24 Stunden. Sollte der Status im Service-Center nach 24 Stunden nicht done lauten, melde Dich im Forum unter Angabe der betroffenen Domain.

1.6. Gültigkeitsdauer

1.6.1. Gültigkeitsdauer für Let’sEncrypt-Zertifikate

  • SSL-Zertifikate von Let’sEncrypt sind jeweils 90 Tage gültig.

  • Alle 60 Tage wird das Zertifikat erneuert.

Ausstellungsdatum gültig bis Erneuerungsdatum

01.01.18

01.04.18

02.03.18

02.03.18

31.05.18

01.05.18

01.05.18

30.07.18

30.06.18

30.06.18

28.09.18

29.08.18

29.08.18

27.11.18

28.10.18

28.10.18

26.01.19

27.12.18

27.12.18

27.03.19

25.02.19

Let’sEncrypt kündigen

Die Kündigung des Let’sEncrypt-Zertifikats sorgt dafür, dass keine Erneuerung stattfindet. Die Laufzeit des aktuell ausgestellten Zertifikats wird dadurch nicht beeinflusst.

Ausstellungsdatum gültig bis Erneuerungsdatum

01.01.18

01.04.18

02.03.18

02.03.18

31.05.18

01.05.18

Kündigung am 18.05.2018

Die letzte Erneuerung des SSL-Zertifikats fand am 01.05.2018 statt. Demnach ist das SSL-Zertifikat ab dem Datum 90 Tage gültig. Nach Ablauf der 90 Tage wird die entsprechende Domain nicht mehr per HTTPS ausgeliefert und wird demnach als Nicht sicher eingestuft.

Ausstellungsdatum gültig bis Erneuerungsdatum

01.05.18

30.07.18

entfällt wg. Kündigung

ssl-zertifikat_deaktivieren

1.6.2. Gültigkeitsdauer für COMODO-Zertifikate

Die Gültigkeitsdauer von neu bestellten Zertifikaten beginnt mit dem Datum der Bestätigung der Zertifizierungsstelle. Eine eventuelle Restlaufzeit des vorherigen Zertifikats kann nicht übernommen werden.

Die Laufzeit des SSL-Zertifikats wird während des Bestellprozesses zur Auswahl gestellt:

  • 1 Jahr

  • 2 Jahre

1.7. Verlängerung des SSL-Zertifikats

1.7.1. Verlängerung für Let’sEncrypt-Zertifikate

Die Verlängerung der Let’sEncrypt-SSL-Zertifikate findet vollautomatisch statt, bis es im Service-Center durch das Entfernen des Hakens gekündigt wird.

1.7.2. Verlängerung für COMODO-Zertifikate

Ein von COMODO ausgestelltes SSL-Zertifikat verlängert sich nicht automatisch → Es muss nach Ende der Laufzeit (mindestens 1 Jahr) neu geordert werden.

14 Tage vor offiziellem Ablaufdatum des Zertifikats (siehe Service-Center) wird eine Erinnerungs-E-Mail an die Hostmaster-Adresse gesendet.

Zusätzlich besteht die Möglichkeit, sich per E-Mail erinnern zu lassen. Eine kostenfreie Möglichkeit stellt der Dienst http://letsmonitor.org/ dar.

1.8. Gekündigte Domains und Testdomains

Für bereits gekündigte Domains, sowie für Startup-Domains bzw. Test-Subdomains (d.h. Domains mit den Bestandteilen plenty-test-drive.eu, plentymarkets-x1.com, plentymarkets-cloud01/02.com etc.,) können keine SSL-Zertifikate bestellt werden*.

1.9. Domainvalidierte/-bezogene Zertifikate

SSL-Zertifikate sind domaingebunden. Das bedeutet, dass beispielsweise bei Umstellung der Hauptdomain das aktuelle Zertifikat inaktiv geschaltet wird, da eine neue Hauptdomain ohne bestelltes Zertifikat vorliegt. Inaktiv bedeutet nicht gelöscht - Sollte die Hauptdomain erneut auf die Domain umgestellt werden, die bereits ein SSL-Zertifikat besaß, kann dieses im Service Center wieder aktiviert werden, sofern das SSL-Zertifikat noch gültig ist.

1.10. Domainumzug, PKI, SSL-Zertifikat verschieben / transferieren

SSL-Zertifikate können bei einem Domainumzug zu plentymarkets nicht mitgenommen werden. Aufgrund der technischen Gegebenheiten ist die Bestellung nur innerhalb unserer Public-Key-Infrastruktur möglich.

Dies gilt für beide Richtungen. Sowohl von extern zu plentymarkets, als auch von plentymarkets zu extern. Ein über plentymarkets gebuchtes SSL-Zertifikat muss systemnah liegen und kann bei einem Domaintransfer nicht mitgenommen werden. Ein Export der Zertifikatsdaten (geheimer Private-Key) ist nicht möglich. Auch ein “Transfer” eines SSL-Zertifikats von einer Domain(-ID) auf eine andere ist nicht möglich (siehe Punkt Section 1.4).

Um die gewünschte Domain mit einem gültigen SSL-Zertifikat auszuliefern, siehe ab Section 2.

1.11. Wildcard-Zertifikate

Das Ausstellen von sogenannten Wildcard-SSL-Zertifikaten ist in unserer Infrastruktur nicht möglich.

2. Schritt für Schritt zum SSL-Zertifikat

2.1. SSL-Zertifikat von Let’sEncrypt

2.1.1. Wie gelange ich zum Bestellvorgang?

Logge Dich über dein Backend oder den folgenden Link in Dein Service-Center ein: https://www.plentymarkets.eu/my-account/

Für den Login benötigst Du die E-Mail-Adresse, die Du auf Deiner Rechnung findest und das dazugehörige Passwort. Wenn Du das Passwort nicht (mehr) kennst, benutze die Funktion zum Zurücksetzen des Passworts.

2.1.2. Wie bestelle ich erfolgreich ein SSL-Zertifikat von Let’sEncrypt?

Es ist zwingend notwendig, dass die DNS-Einstellungen der Domain, für die das SSL-Zertifikat bestellt werden soll, den Angaben in Deinem Service-Center entsprechen - siehe auch Selbsthilfe bei DNS-Problemen / Wie hinterlege ich korrekte DNS-Einstellungen.
ssl-zertifikat_bestellen

2.1.3. Wann ist die Bestellung erfolgreich abgeschlossen?

Die Bestellung des LetsEncrypt-Zertifikates ist erst abgeschlossen, wenn der Status im Service Center auf “done” steht. Alle Meldungen, die “challenge…” beinhalten bedeuten, dass der Bestellvorgang noch bearbeitet wird.

2.2. SSL-Zertifikat von COMODO

2.2.1. Wie gelange ich zum Bestellvorgang?

Wenn Du sichergestellt hast, dass sämtliche in §1.3 genannten Voraussetzungen erfüllt sind, kannst Du mit der Bestellung des SSL-Zertifikats fortfahren.

Logge Dich dazu in Dein Backend ein und navigiere zu:
Einrichtung » Mandant » [Mandant, für den das SSL-Zertifikat bestellt werden soll] » SSL

Dort angekommen siehst Du nun die nachfolgende Übersicht:

Backend_navigate_to_ssl_order1

Klicke auf Neues SSL bestellen für Domain: [deineDomain.tld], um die Bestellauswahl anzuzeigen:

Backend_navigate_to_ssl_order2
  1. SSL bestellen klicken

  2. nach ca. 1 - 2 Stunden sollte das Zertifikat korrekt installiert sein

  3. Browser- und ggf. DNS-Cache leeren: Löschen des lokalen Browser- und/oder DNS-Cache

3. Was kann bei der Bestellung schiefgehen?

3.1. Der Status der Bestellung steckt fest bei challengeSolved

Bitte unbedingt überprüfen, ob alle genannten Voraussetzungen zum erfolgreichen Bestellen eines SSL-Zertifikats erfüllt sind.

Wenn die Voraussetzungen alle erfüllt sind und der Status der Bestellung dennoch festhängt im Status challengeSolved, bitte ich darum euch in dem nachfolgenden Beitrag zu melden, damit wir den Sachverhalt auf unserer Seite überprüfen können: Link zum plentymarkets Forum

4. Häufig gestellte Fragen (FAQ)

  1. Ich habe LetsEncrypt bereits vor mehreren Stunden bestellt, meine Seite wird aber noch immer nicht als sicher eingestuft - Was kann ich machen?

    1. Option 1: Nachdem die Bestellung im Service-Center der Status “done” erhalten hat muss der lokale Browser-Cache geleert werden (Löschen des lokalen Browser- und/oder DNS-Cache), damit das zwischengespeicherte Zertifikat aktualisiert wird.

    2. Option 2: Evtl. liegt bei der Erreichbarkeit Deiner Domain ein Problem vor und das Zertifikat kann deswegen nicht korrekt ausgeliefert werden. Du kannst auf der nachfolgenden Seite prüfen, ob eine Installation von LetsEncrypt für Deine Domain möglich ist: https://letsdebug.net/ >> Validation method: HTTP-01. Falls dort eine Fehlermeldung ausgegeben wird kannst Du uns diese gern im Forum mitteilen, damit wir den Sachverhalt prüfen können.

  2. Ich möchte von COMODO auf LetsEncrypt umsteigen - was ist zu beachten?

    1. Im Falle einer Bestellung von Let’sEncrypt bei einem bereits aktiven SSL-Zertifikat von COMODO (alias RapidSSL), wird das COMODO-Zertifikat durch das von Let’sEncrypt ersetzt! Das “alte” Zertifikat wird jedoch nicht gelöscht, sondern auf inaktiv geschaltet. Eine Reaktivierung innerhalb des Gültigkeitszeitraums ist durch @plenty-Cloud möglich. Es kann sein, dass die Domain für maximal 1h als “nicht sicher” eingestuft wird, wenn das LetsEncrypt-Zertifikat gerade erst bestellt wurde, da dies nach der Bestellung angefordert, generiert und installiert werden muss. Nachdem die Bestellung im Service-Center der Status “done” erhalten hat muss der lokale Browser-Cache geleert werden, damit das zwischengespeicherte Zertifikat aktualisiert wird.

Zum Seitenanfang