Date: Thu, 28 Mar 2024 18:07:29 +0100 (CET) Message-ID: <1557966628.3719.1711645649423@de.help.internetx.com> Subject: Exported From Confluence MIME-Version: 1.0 Content-Type: multipart/related; boundary="----=_Part_3718_61592848.1711645649419" ------=_Part_3718_61592848.1711645649419 Content-Type: text/html; charset=UTF-8 Content-Transfer-Encoding: quoted-printable Content-Location: file:///C:/exported.html
Bei der Bestellung und der Verl=C3=A4ngerung eines TLS/SSL-Zertifikates = wird immer =C3=BCberpr=C3=BCft, ob der Antragsteller f=C3=BCr das Zertifika= t auch der Inhaber der Domain ist. Vor der Einf=C3=BChrung der DSGVO wurde = dies meist mit einem Abgleich der Whois-Daten gemacht. Da dies durch die DS= GVO nun nicht mehr ohne weiteres bzw. gar nicht mehr m=C3=B6glich ist, habe= n die CAs nun drei neue Authentifizierungs-Methoden eingef=C3=BChrt.
Im SSL Manager w=C3=A4hlst Du die =
Authentifizierungs-Methode w=C3=A4hrend des Bestellprozesses im Formularabs=
chnitt Authentifizierungs-Einstellungen aus. Diese Methode=
n werden f=C3=BCr die Authentifizierung angeboten.
Die CA sendet ein=
e Authentifizierungs-E-Mail an den Antragsteller. Daf=C3=BCr verwendet die =
CA eine der f=C3=BCnf Alias-E-Mail-Adressen, die Du bei der=
Bestellung im SSL Manager ausgew=C3=A4hlt hast. Zur Auswahl stehen:=
Handelt es sich um eine Zertifikatsbestellung f=C3=BCr eine = Subdomain innerhalb des Common Names, z.B. shop.example.com, stehen neben d= en obigen Alias-E-Mail-Adressen identische Postf=C3=A4cher unterhalb der Su= bdomain zur Auswahl:
Die E-Mail, die die CA an die gew=C3=A4hlte E-Mail-Adresse s=
chickt, enth=C3=A4lt einen Link, der Dich zur Best=C3=A4tigungsseite f=C3=
=BChrt. Klicke den Link an und best=C3=A4tige dort die Daten. Damit ist die=
Authentifizierung abgeschlossen.
Bei Zertifikaten mit mehreren Domains (SANs) wi=
rd je FQDN eine E-Mail zur Best=C3=A4tigung versendet. Die Domain Control V=
alidation ist erst mit Best=C3=A4tigung aller im Zertifikat angegebenen Dom=
ains abgeschlossen.
Ein Neuversand der Authentifizierungs-E-Mail ka= nn jederzeit =C3=BCber den SSL-Manager in der Auftragsverwaltung =C3=BCber den Button Tools =E2=86=92 Best= =C3=A4tigungs-E-Mail neu versenden angestossen werden.
Bei dieser Authentifizierungsmethode muss in der Zon= e der Domain ein zus=C3=A4tzlicher DNS-Resource-Record angelegt werden. Die= Werte des Eintrages werden im SSL Manager angezeigt, wenn die Authentifizi= erungsmethode DNS ausgew=C3=A4hlt wurde. Nach dem Abschicken der Zertifikat= santrages fragt die CA die Zone der Domain im Domain Name System auf diesen= speziellen Eintrag hin ab. Ist der Eintrag vorhanden und korrekt, wird die= Authentifizierung abgeschlossen.
Wenn die Domain =C3=BCber von InterNetX verwaltete Nameserver aufgel=C3= =B6st wird und Du Deinen SSL Manager mit dem AutoDNS verkn=C3=BCpft hast, k= ann der zur Authentifizierung notwendige DNS-Eintrag mittels automatischer = Zonenprovisionierung von unserem System automatisch in die Zone eingetragen= werden.
Eine Verkn=C3=BCpfung von AutoDNS und SSL Manager Account kannst Du in d= er bisherigen SSL Manager Oberfl=C3=A4che via "Benutzereinstellungen" durch= f=C3=BChren.
Bei Zertifikaten mit mehreren Domains (SANs) muss je FQDN der im SSL Man= ager angezeigte DNS-Resource-Record in der jeweiligen Zone hinterlegt werde= n. Die Domain Control Validation ist erst mit der Authentifizierung aller i= m Zertifikat angegebenen Domains abgeschlossen.
Beispiel DigiCert:
300 IN = TXT "2020022813545049ntlwc1jhic911eicvqn0fk6q2zv4huzexz8si5p4jrj7jtst"
Beispiel Comodo:
300 IN = CNAME 98ece627031af27a45fa3551cc060a57.da0f1240b6e3744e87b2182b56d98aeb.3p1= e6w2n.comodoca.com.
Die Pr=C3=BCfung des DNS-Resource-Records durch die CA erfolgt intervall= m=C3=A4=C3=9Fig und mehrmals innerhalb 24 Stunden nach Auftragsstart. Um di= e Authentifizierung m=C3=B6glichst z=C3=BCgig abzuschlie=C3=9Fen empfehlen = wir, den Zoneneintrag bestenfalls direkt mit dem Absetzen des Zertifikatsau= ftrags zu hinterlegen. Bei Nutzung unserer SSL-API hilft Dir unsere Echtzeitausstellung.
Bei dieser Authentifizierungsmethode wird auf dem Webserver im Verzeichn= is der Domain eine Datei gespeichert, mit der die CA die Inhaberschaft eine= r Domain pr=C3=BCft.
Bestelle hierzu wie =C3=BCblich ein Zertifikat. Nachdem der Auftrag von =
der CA angenommen wurde, wechsel in die Auftragsverwal=
tung. W=C3=A4hle den entsprechenden Auftrag aus. In den Status unter dem Punkt Authentifizierung di=
e Informationen zu Name, Pfad und Inhalt =
der ben=C3=B6tigten Datei.
Erstelle mit diesen Werten auf dem Webserver im Verzeichnis der Domain dies=
e Datei. Rufe die Datei anschlie=C3=9Fend im Browser auf, um zu pr=C3=
=BCfen, ob alles korrekt erstellt wurde. Die CA pr=C3=BCft nun mehrfach, ob=
die Datei korrekt gesetzt wurde. Die Authentifizierung ist mit erfolgreich=
er Pr=C3=BCfung der Datei abgeschlossen. Die Datei kann anschlie=C3=9Fend w=
ieder gel=C3=B6scht werden.
Lege den Eintrag ausschl=
ie=C3=9Flich f=C3=BCr die Domain an, die Dir in den Auftragsdetails angezei=
gt wird. Bitte beachte au=C3=9Ferdem, dass serverseitig keine automatische =
URL-Weiterleitung auf die www-Subdomain f=C3=BCr den angezeigten Pfad erfol=
gen darf.
Beispiel DigiCert:
FILENAM= E:=20 /.well-known/pki-validation/fileauth.txt FILE CONTENT: 2018112007555401i23owspz4su5ry9q31j6rlhw89e4wwd2tz8jt9a0rpl36u1n
Beispiel Sectigo:
FILENAM= E: /.well=E2=80=90known/pki=E2=80=90validation/7B01CAC706906D6B85AB18XE73307BA= B.txt FILE CONTENT: be7c69cc03k36c69fd5e4f91256327487500bd4a507f14ab765d7fa2c8e1ebc7 comodoca.com
Beachte, dass der Dateiname bei Sectigo immer dynamisch generiert wird u= nd somit jedesmal neu angelegt werden muss. Die Datei muss =C3=BCber "http:= //" aufrufbar sein.
Beachte, dass keine Weiterleitung aktiv ist und die Datei unterhalb der = von der CA genannten URL abrufbar ist.