Verwaltung benutzerdefinierter SSL-Zertifikate

Avatar
Damon
Folgen

Erfahren Sie, wie Sie benutzerdefinierte SSL-Zertifikate hinzufügen und bearbeiten sowie Kennwörter für private Schlüsseldateien entfernen.

Überblick

Benutzerdefinierte SSL-Zertifikate bieten mehrere Vorteile:

  • Sie werden nicht von mehreren Kundendomains gemeinsam genutzt.
  • Kunden können gültige, vorhandene Ursprungs-SSL-Zertifikate aus dem Cloudflare-Netzwerk bereitstellen.

Domains in Plänen für Business und Enterprise sind zugelassene benutzerdefinierte SSL-Zertifikate, sobald die Domains in Cloudflare aktiv sind. Pro Business-Domain ist nur ein benutzerdefiniertes SSL-Zertifikat zulässig.  Standardmäßig erhalten Enterprise-Kunden ein benutzerdefiniertes SSL-Zertifikat pro Enterprise-Domain, können jedoch zusätzliche benutzerdefinierte SSL-Zertifikate von ihrem Cloudflare-Account-Team anfordern.

Cloudflare ermöglicht das Hochladen mehrerer SSL-Zertifikatstypen:

  • Unified Communications Certificates (UCC)
  • Extended Validation (EV)
  • Organization Validated (OV)
Cloudflare erlaubt nicht das Hochladen von selbstsignierten SSL-Zertifikaten oder Zertifikaten, die innerhalb von 14 Tagen ablaufen.

Stellen Sie vor dem Hochladen eines benutzerdefinierten SSL-Zertifikats zu Cloudflare sicher, dass die private Schlüsseldatei nicht kennwortgeschützt ist.

Voraussetzungen

Es gibt zwei Voraussetzungen, bevor Sie Ihr benutzerdefiniertes SSL-Zertifikat in Cloudflare hochladen können:

Löschen Sie das Kennwort der Schlüsseldatei

Wenn eine hochgeladene Schlüsseldatei kennwortgeschützt ist, generiert die Cloudflare-App SSL/TLS den folgenden Fehler:

Der Schlüssel ist kennwortgeschützt. Bitte löschen Sie das Kennwort und senden Sie es erneut.

Die Lösung zum Entfernen eines Kennworts für die Schlüsseldatei hängt vom verwendeten Betriebssystem ab. Wenn beispielsweise mydomain.com.keydie private Schlüsseldatei ist, kann der Kennwortschutz mit einer der folgenden Methoden entfernt werden:

In Linux:

     1. Öffnen Sie eine Befehlskonsole.

2. Navigieren Sie zu dem Verzeichnis, das die Datei mydomain.com.key enthält.

     3. Kopieren Sie den Originalschlüssel:

          cp mydomain.com.key temp.key

     4. Führen Sie den folgenden Befehl aus:

          openssl rsa -in temp.key -out mydomain.com.key

5. Geben Sie das ursprüngliche Schlüsselkennwort ein, wenn Sie im Konsolenfenster dazu aufgefordert werden.

6. Laden Sie den Inhalt der Datei mydomain.com.key in Cloudflare hoch.

In Windows:

1. Browsen Sie zu http://indy.fulgan.com/SSL/.

2. Laden Sie die neueste Version von OpenSSL für Ihr x86- oder x86_64-Betriebssystem herunter.

     3. Öffnen Sie die .zip-Datei und extrahieren Sie sie.

4. Klicken Sie auf openssl.exe.

     5. Führen Sie im angezeigten Befehlsfenster Folgendes aus:

          rsa -in C:\Path\To\mydomain.com.key -out key.pem

6. Geben Sie das ursprüngliche Schlüsselkennwort ein, wenn Sie im Befehlsfenster openssl.exe dazu aufgefordert werden.

7. Laden Sie den Inhalt der key.pem-Datei und nicht der mydomain.com.key-Datei in Cloudflare hoch.

Konvertieren Sie den privaten Schlüssel und das Zertifikat in PEM-Format

Stellen Sie sicher, dass der private Schlüssel und das Zertifikat in ein Standard-PEM-Format wie PFX konvertiert werden. Cloudflare akzeptiert die folgenden Formate:

  • PEM-codierte Schlüssel und Zertifikate sind in einer Nur-Text-Datei enthalten, die normalerweise mit der Dateierweiterung .pem endet und das unverschlüsselte Zertifikat und/oder den privaten Schlüssel enthält.
  • PKCS # 7-Dateien enden normalerweise mit der Dateierweiterung .p7b oder .p7c im Format „signedData“ (data, envelopeData, signedAndEnvelopedData, digestedData und encryptedData werden nicht unterstützt).
  • PKCS # 12-Dateien enden normalerweise in .pfx oder .p12 und werden mit einem leeren Kennwort verschlüsselt.

Beispiele zur Konvertierung finden Sie in der Dokumentation zu Konvertierung mithilfe von OpenSSL.  Wird diese Voraussetzung ignoriert, so führt dies zu einem Fehler beim Hochladen des SSL-Zertifikats: Der Schlüssel konnte nicht analysiert werden.

Ein benutzerdefiniertes SSL-Zertifikat hochladen

Führen Sie die folgenden Schritte aus, um ein benutzerdefiniertes SSL-Zertifikat hochzuladen:

     1. Melden Sie sich im Cloudflare-Dashboard an.

2. Klicken Sie auf das entsprechende Cloudflare-Konto und wählen Sie die entsprechende Domain aus.

3. Klicken Sie auf die SSL/TLS-App.

4. Klicken Sie im Abschnitt Edge-Zertifikate auf Benutzerdefiniertes SSL-Zertifikat hochladen. Das Fenster Benutzerdefiniertes SSL-Zertifikat und Schlüssel hochladen wird angezeigt.

Cloudflare erfordert separate, PEM-codierte Dateien für den privaten SSL-Schlüssel und das Zertifikat. Wenden Sie sich an Ihre Zertifizierungsstelle, um zu überprüfen, ob Ihr aktuelles Zertifikat diese Anforderung erfüllt, oder fordern Sie Ihre Zertifizierungsstelle auf, Sie bei der Konvertierung des Zertifikatformats zu unterstützen.

     5. Öffnen Sie die SSL-Zertifikatdatei.

Klicken Sie alternativ auf den Link Aus Datei einfügen oben rechts in den Textbereichen SSL-Zertifikat und Privater Schlüssel, um zu den entsprechenden SSL-Dateien zu navigieren.

6. Kopieren Sie den Inhalt der SSL-Zertifikatdatei und fügen Sie ihn in den Textbereich SSL-Zertifikat ein.

Fügen Sie die Zeilen ----- BEGIN und ----- END ein, die das SSL-Zertifikat und die privaten Schlüsseldaten umgeben, wie im Beispielinhalt der Textbereiche SSL-Zertifikat und privater Schlüssel dargestellt.

7. Wählen Sie die entsprechendeBündelmethode(siehe Anweisungen unten) aus.

     8. Öffnen Sie die private Schlüsseldatei des SSL-Zertifikats.

9. Kopieren Sie den Inhalt der Datei mit dem privaten Schlüssel und fügen Sie ihn in den Textbereich Privater Schlüssel ein.

10. Wählen Sie den Geo Key Manager (siehe Anweisungen unten).

Beim Hinzufügen eines Schlüsselwerts, der nicht mit dem benutzerdefinierten SSL-Zertifikat übereinstimmt, wird eine Fehlermeldung angezeigt: Der von Ihnen angegebene Schlüssel stimmt nicht mit dem Zertifikat überein. Wenden Sie sich an Ihre Zertifizierungsstelle, um sicherzustellen, dass der private Schlüssel mit dem Zertifikat übereinstimmt.

Sie können auch die Cloudflare v4-API zum Hochladen von Zertifikaten verwenden.

Die Anweisungen zum Aktualisieren eines benutzerdefinierten SSL-Zertifikats sind dem Vorgang zum ursprünglichen Hochladen des Zertifikats sehr ähnlich.

Die Bündelmethode auswählen

Die Bündelmethode bestimmt, wie das SSL-Zertifikat mit Zwischenzertifikaten gebündelt wird, um die Zertifikatskette zu vervollständigen. Mit der Bündelmethode können Kunden ihre bevorzugte SSL-Zertifikatskette auswählen:

  • Kompatibel ermöglicht die größtmögliche Kompatibilität mit älteren Browsern und Clients.
  • Modern optimiert die Zertifikatskette im Hinblick auf Effizienz, indem neuere und weniger Zwischenzertifikate verwendet werden, die einige ältere Browser nicht berücksichtigen.
  • Mit Benutzerdefiniert können Kunden ihre eigene Zertifikatskette bereitstellen.

Die Einschränkungen für private Schlüssel in Geo Key Manager wählen

Mit dem Geo Key Manager wird begrenzt, in welchen Cloudflare-Rechenzentren der private SSL-Schlüssel gespeichert wird.  Die geografische Entfernung zwischen der Region des Rechenzentrums, in der sich die privaten Schlüssel befinden, und dem Ort der HTTPS-Anfrage eines Besuchers kann bei Erstanfragen zu Wartezeiten führen.  Besuchen Sie den Cloudflare-Blogeintrag, in dem der Geo Key Manager vorgestellt wird, um mehr zu erfahren.

Löschen Sie ein benutzerdefiniertes SSL-Zertifikat und fügen Sie es erneut hinzu, um die Einstellung Geo Key Manager zu aktualisieren.

Legacy-Client-Unterstützung aktivieren

Legacy-Client-Unterstützung aktiviert bzw. deaktiviert die Unterstützung der Server Name Indication (SNI).  Die Optionen sind:

  • Modern: Nur SNI
  • Legacy: unterstützt Nicht-SNI

Modern ist das Standardverhalten und wird von Cloudflare empfohlen.  Verwenden Sie Legacy, wenn ein spezifischer Client Nicht-SNI-Unterstützung verlangt.  Zurzeit behandelt die Cloudflare-API alle benutzerdefinierten SSL-Zertifikate als Legacy.  

Ein benutzerdefiniertes SSL-Zertifikat aktualisieren

Jedes SSL-Zertifikat hat ein Ablaufdatum. Benutzerdefinierte SSL-Zertifikate werden von Cloudflare nicht automatisch erneuert. Daher sollten Sie Ihr benutzerdefiniertes SSL-Ablaufdatum überwachen und aktualisierte SSL-Zertifikate vom Zertifikatanbieter beziehen.

Cloudflare stellt nicht automatisch ein universelles SSL- oder dediziertes SSL-Zertifikat für Domains bereit, bei denen das benutzerdefinierte SSL-Zertifikat abgelaufen ist. Löschen Sie das abgelaufene benutzerdefinierte SSL-Zertifikat manuell aus der Cloudflare-App SSL/TLS, um die Bereitstellung der universellen oder dedizierten SSL-Zertifikate zu starten.

Aktualisieren Sie ein zuvor hochgeladenes benutzerdefiniertes SSL-Zertifikat mithilfe der folgenden Schritte:

     1. Melden Sie sich im Cloudflare-Dashboard an.

2. Klicken Sie auf das entsprechende Cloudflare-Konto für die Domain und wählen Sie die richtige Domain aus.

3. Klicken Sie auf die SSL/TLS-App.

4. Klicken Sie unter Edge-Zertifikate für das benutzerdefinierte SSL-Zertifikat auf Verwalten, wobei Typ für Hochgeladen steht.

5. Klicken Sie auf das Schraubenschlüsselsymbol. Das Fenster SSL-Zertifikat und Schlüssel ersetzen wird angezeigt.

6. Befolgen Sie die ursprünglichen Anweisungen ab Schritt 5 im Abschnitt Ein benutzerdefiniertes SSL-Zertifikat hochladen dieses Handbuchs.

Cloudflare überprüft automatisch die Gültigkeit des Zertifikats und des privaten Schlüssels, um zu verhindern, dass ein vorhandenes gültiges Zertifikat überschrieben wird.

Verwandte Ressourcen

War dieser Beitrag hilfreich?
6 von 22 fanden dies hilfreich
Not finding what you need?
Fragen Sie die Community   Einen Antrag stellen

95% of questions can be answered using the search tool. This is the quickest way to get a response.

Popular questions: Warum ist meine Website so langsam?, Fehler 522, Ich erwarte einen Anstieg des Datenverkehrs.

Powered by Zendesk