HTTPS mit kostenlosem Zertifikat einrichten

XF1.x HTTPS mit kostenlosem Zertifikat einrichten

Übersicht Rezensionen (3) Diskussion
@netrix es geht um eine andere Seite, ich sende sie dir per pn ... stimmt das das man 24 dollar bezahlen muss um die zu löschen und eine neue zu erstellen ?
 
Lemminator schrieb:
Aber weiterhin wird mit der Fehler angezeigt mit key und crt passen nicht zusammen
Zum Vergrößern anklicken....
Wenn das angezeigt wird heißt dass ganz genau eines: Das die beiden nicht zusammenpassen. :rolleyes:
Also nimmst du wohl entweder einen anderen Private Key oder ein anderes Zertifikat von StartSSL. Also wenn du mehrere Zertifikate erstellt haben solltest (lokal), dann musst du schon das richtige CRT nehmen.

Wenn du das richtige nicht mehr findest, kannst du aber natürlich das ganze nochmal neu machen. Wo wir bei Frage 2 wären:
Lemminator schrieb:
stimmt das das man 24 dollar bezahlen muss um die zu löschen und eine neue zu erstellen ?
Zum Vergrößern anklicken....
Wer oder was ist "die"?
Gut... da ich jetzt mal nicht so sein möchte, nehme ich an, dass ist das Zertifikat. Und ja StartSSL ist tatsächlich so dreist $ 24,90 dafür zu verlangen, wenn du das Zertifikat widerrufen willst - aber nun ja, bei solch einem gratis Angebot kann es schon mal einen Haken geben.
Bei dir ist dass allerdings gar nicht nötig. Solange du den privaten Schlüssel deines Zertifikates nicht bei pastebin öffentlich gestellt hast :)happy:) kannst du das einfach auslaufen lassen. Es ist ja nur ein Jahr gültig. Falls du den passenden privaten Schlüssel noch einmal finden solltest kannst du diesen shreddern (also sicher löschen) und dann ist das Zertifikat nutzlos.
Du solltest einfach in der Lage sein - mit einem neuen lokal erstellen Schlüsselpaar - ein neues Zertifikat anzufordern.

Und übrigens ist der Grund für die schlechte Bewertung bei SSLLabs (nur) dass du eben noch kein Zertifikat importiert hast bzw. dass immer abgelehnt wurde in All Inkl. Deswegen wird dort einfach das Zertifikat von All Inkl genommen und da dass für eine andere Domain ausgestellt ist (kasserver.com), führt dies zu Problemen.
 
Zuletzt bearbeitet:
rugk schrieb:
Also nimmst du wohl entweder einen anderen Private Key oder ein anderes Zertifikat von StartSSL. Also wenn du mehrere Zertifikate erstellt haben solltest (lokal), dann musst du schon das richtige CRT nehmen.
Zum Vergrößern anklicken....
ich hatte glaub ich den Fehler gemacht : ich habe privat key übersprungen (wie in der anderen Anleitung ) und habe danach meine CSR von all-ink. eingegeben. dann alles weiter halt wie in der Anleitung steht.

nun als ich das gelesen habe :
rugk schrieb:
Also du brauchst du dein Zertifikat nicht von All Inkl erstellen lassen, das gleiche hast du schon bei Schritt 2 gemacht.
Zum Vergrößern anklicken....
habe ich alles deaktiviert , neu aktiviert und dann die Zertifikate von sslstart und mein privat key (mit mac erstellt ) eingefügt und seit dem diese Meldung das beides nicht zusammen passt .

laut Faq kann ich aber mit keinem anderem privat key das Zertifikat nutze . ist das korrekt ?
also muss ich ja alles auf zurücksetzte machen, damit ich alles wieder von neu machen kann incl dem privat key erstellen und das dann alles von Startssl in all-inkl einbinden ?
 
Also wenn du das Zertifikat offline mit deinem Mac erstellt hast, dann bekommst du ja zwei Dateien: den privaten Schlüssel (.key) und den öffentlichen (.csr in diesem Fall).
Lemminator schrieb:
ich hatte glaub ich den Fehler gemacht : ich habe privat key übersprungen (wie in der anderen Anleitung ) und habe danach meine CSR von all-ink. eingegeben. dann alles weiter halt wie in der Anleitung steht.
Zum Vergrößern anklicken....
StartSSL bietet dir dann nochmal an ein Schlüsselpaar zu erstellen - dass hast du aber schon gemacht und dementsprechend ist es richtig, diesen Schritt zu überspringen.
Das ALL-Inkl CSR hat damit aber auch wiederrum nichts zu tun - du musst dass CSR, welches du lokal erstellt hast verwenden.
Und ich glaube da hast du ein paar Dateien bzw. Schlüssel durcheinandergebracht.

Prinzipiell musst du verstehen, dass dir 2 Parteien aufdrängeln wollen das Schlüsselpaar für dich zu erstellen und du das auch jeweils machen kannst, aber (zumindest bei letzerer Instanz) nicht unbedingt machen solltest:
  • All Inkl
  • StartSSL
Stattdessen erstellt du es:
  • lokal
und nutzt ab da an immer die lokalen Daten - der Rest brauch dich nicht interessieren. Und selbst wenn All Inkl dir 10x sagt, du kannst das auch bei denen erstellen - du kannst es eben auch ganz einfach bei dir selber erstellen und das ist auch sicherlich sicherer.

Der Weg der Daten ist praktisch so:
Lokal --> CA (StartSSL) --> zurück zu dir --> Hoster bzw. Server (All Inkl)
Sprich All Inkl interessiert dich erst ganz am Ende.

Lemminator schrieb:
laut Faq kann ich aber mit keinem anderem privat key das Zertifikat nutze . ist das korrekt ?
also muss ich ja alles auf zurücksetzte machen, damit ich alles wieder von neu machen kann incl dem privat key erstellen und das dann alles von Startssl in all-inkl einbinden ?
Zum Vergrößern anklicken....
1. Ja, dass versuchen wir dir ja die ganze Zeit zu erklären... :D
2. Nein, du musst nicht direkt was zurücksetzen (also wenn du damit den Widerruf des Zertifikates für 25 $ meinst), sondern du kannst einfach von vorne anfangen. Eben nur drauf aufpassen, dass das richtige Schlüsselpaar (dass heißt nicht uimsonst so:D) verwendest.

Falls du dich vorher noch ein bisschen informieren willst, empfiehlt sich diese Lektüre: https://de.wikipedia.org/wiki/Asymmetrisches_Kryptosystem
Auf dem Prinzip basiert SSL/TLS und damit auch HTTPS.
 
rugk schrieb:
1. Ja, dass versuchen wir dir ja die ganze Zeit zu erklären... :D
2. Nein, du musst nicht direkt was zurücksetzen (also wenn du damit den Widerruf des Zertifikates für 25 $ meinst), sondern du kannst einfach von vorne anfangen. Eben nur drauf aufpassen, dass das richtige Schlüsselpaar (dass heißt nicht uimsonst so:D) verwendest.
Zum Vergrößern anklicken....

zu 1 ja das ist mir schon klar nur zu2 wie soll das gehen das ich das neue Schlüsselpaar dem Zertifikat zuweise ?
 
rugk schrieb:
Du kannst das neue Schlüsselpaar keinem Zertifikat "zuweisen". Das musst du neu machen.
Also bei StartSSL mit dem neuen Schlüsselpaar ein neues Zertifikat anfordern. So wie du es eben auch schon vorher gemacht hast.
Zum Vergrößern anklicken....
dies geht aber nicht weil er dann sagt das auf die domain schon ein Zertifikat besteht:(
 
error.png

  • A certificate with domain www.xxx.de already exists at Class 1 level.
  • Please try it again and choose a different (sub) domain, upgrade your validation status to a higher level or request revocation of the existing certificate at the Tool Box.
Zum Vergrößern anklicken....
 
Zuletzt bearbeitet:
Ach tatsächlich? Das macht StartSSL - auch wenn du das gleiche Konto nutzt...
Also ich habe es noch nicht ausprobiert, dementsprechend kann ich da nicht viel dazu sagen, aber in diesem Fall hast du dann wohl nur drei Möglichkeiten:
  1. Du sucht nochmal nach dem (richtigen, passenden) Schlüsselpaar und downloadest dir das Zertifikat von StartSSL nochmal.
  2. Du gibt's eine andere Subdomain ein. (also dann statt www zum Beispiel test oder so irgendeine Subdomain für die das Zertifikat auch noch gelten soll)
    Für die Hauptdomain ist das Zertifikat immer gültig. Beachten musst du in diesem Fall natürlich, dass du dann alle Besucher von www.domain.example zu domain.example umleiten musst sonst funktioniert die Verbindung dann nicht.
  3. Du lässt es das alte eben kostenpflichtig widerrufen und erstellst dann das neue.
 
jetzt funktioniert alles :) hab meinen key und Car vom mac eingeben und alles nach deiner Anleitung gemacht und es funzt :)
 
Für das HTTP Strict Transport Secruity hab ich folgendes in meine htaccess dabei geschrieben . nur bekomme ich dann ein 500 error

RewriteCond %{HTTP:X-Forwarded-Proto} !https
RewriteCond %{HTTPS} off
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R01,NE]
Header add Strict-Transport-Security "max-age7680000; includeSubDomains"
 
Nutzt du php als Modul?
Sonst geht das nicht.
 
wohl zu früh gefreut obwohl nun alles bei all-inkl geht schient ssllabs nicht zufrieden zu sein ich hab immer noch ein t
 
Lemminator schrieb:
max-age7680000
Zum Vergrößern anklicken....
Hier fehlt ein =... :happy:

Lemminator schrieb:
R01
Zum Vergrößern anklicken....
Hier auch... :D

Und was diese Zeile soll ich mir nicht so ganz klar:
RewriteCond %{HTTP:X-Forwarded-Proto} !https
Zum Vergrößern anklicken....
Lass die einfach weg. Du nutzt Apache ja sicher nicht als Proxy oder so...

Und übrigens sind in der Ressource auch Beispiele für HSTS und Umleitung zu HTTPS - die könntest du auch nutzen.

Lemminator schrieb:
ssllabs nicht zufrieden zu sein ich hab immer noch ein t
Zum Vergrößern anklicken....
T bedeuted "untrusted". Unter der Bewertung steht übrigens noch die Bewertung, wenn diese "Vertrauensfehler" ignoriert werden ("If trust issues are ignored" ).

Und dass bedeutet du hast immer noch die gleichen Fehler - zumindest behauptet SSLLabs das. Aber ich habe mal deine Seite direkt mit https:// aufgerufen und es funktioniert - das Zertifikat und die Intermediate-Zertifikate und co sind auch richtig und es klappt eigentlich alles.
Also ich denke mal hier liegt irgendein Fehler beim SSLLabs vor. Du kannst dass ja mal bei https://community.qualys.com reporten, die können dir da sicher helfen. (Auch in der Development-Version von SSLLabs tritt dieser Fehler auf)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben