Zertifikate ausstellen und verwalten
Theorie ist gut – aber als FISI-Azubi wirst du in der Praxis früher oder später tatsächlich Zertifikate ausstellen müssen. Vielleicht richtet ihr einen internen Webserver ein, der HTTPS sprechen soll. Vielleicht braucht ein VPN-Client ein Client-Zertifikat. Oder die Unternehmens-PKI auf Windows Server (ADCS) braucht ein neues Zertifikat für den Exchange-Server. Diese Lektion zeigt den Prozess von Anfang bis Ende.
1) Der CSR-Prozess mit OpenSSL – Schritt für Schritt
OpenSSL ist das universelle Werkzeug für alles rund um Zertifikate auf der Kommandozeile. Es ist auf jedem Linux- und macOS-System vorinstalliert und auf Windows über Git Bash oder WSL verfügbar. Der Ablauf ist immer gleich: Erst einen privaten Schlüssel erzeugen, dann daraus einen CSR erstellen, dann den CSR an die CA schicken. Die CA schickt das fertige Zertifikat zurück. Klicke die Schritte der Reihe nach durch:
2) Zertifikatstypen – was du wann beantragst
Nicht alle Zertifikate sind gleich. Je nach Zweck gibt es verschiedene Typen, die durch die CA-Konfiguration und das Zertifikats-Template gesteuert werden. Das falsche Template zu verwenden führt zu Fehlern – zum Beispiel wenn ein Client-Auth-Zertifikat für einen Server genutzt wird oder umgekehrt.
| Typ | Key Usage | Einsatzbereich |
|---|---|---|
| Server-Zertifikat | Digital Signature, Key Encipherment | HTTPS-Webserver, LDAPS, SMTP-TLS |
| Client-Zertifikat | Digital Signature, Client Auth | VPN-Clients, 802.1X-Authentifizierung, Benutzer-Logins |
| Code-Signing-Zertifikat | Digital Signature, Code Signing | Software signieren damit Windows/Browser sie als vertrauenswürdig erkennt |
| E-Mail (S/MIME) | Digital Signature, Email Protection | E-Mails signieren und verschlüsseln mit S/MIME |
| CA-Zertifikat | Certificate Sign, CRL Sign | Nur für Root- und Intermediate-CAs – darf selbst wieder Zertifikate ausstellen |
3) Ablauf und Erneuerung im Blick behalten
Eine der häufigsten und gleichzeitig vermeidbarsten Ursachen für Produktionsausfälle ist das Ablaufen von Zertifikaten. Der Fehler kündigt sich nicht an – an Tag X zeigt der Browser plötzlich einen fatalen Fehler, Clients verbinden sich nicht mehr, der Dienst ist tot. Deshalb ist ein Monitoring der Ablaufdaten Pflicht in jedem professionellen Betrieb.
Tools dafür: openssl s_client -connect host:443 2>/dev/null | openssl x509 -noout -dates prüft ein Live-Zertifikat. Monitoring-Systeme wie Nagios, Zabbix oder Prometheus haben fertige Plugins für Zertifikats-Ablauf-Checks. Faustregel: Zertifikat 30 Tage vor Ablauf erneuern – nie warten bis zum letzten Tag.
Zusammenfassung
CSR-Prozess: Private Key generieren (bleibt lokal) → CSR mit Hostname und SANs erstellen → an CA einreichen → Zertifikat + Intermediate installieren → Fullchain ausliefern. Zertifikatstypen je nach Key Usage wählen. Ablaufdaten monitoren – ablaufende Zertifikate führen zu Produktionsausfällen.