Zertifikate in der Praxis: HTTPS, VPN, E-Mail
Zertifikate sind in der IT-Praxis allgegenwärtig – aber die meisten Azubis sehen sie nur als graue Theorie. Diese Lektion zeigt konkret: Wo begegnen dir Zertifikate im Arbeitsalltag, was prüfst du, wie diagnostizierst du Fehler und was konfigurierst du? Wir schauen uns die drei wichtigsten Einsatzgebiete an: HTTPS auf Webservern, Zertifikate in VPN-Verbindungen und S/MIME für E-Mail-Signatur und -Verschlüsselung.
1) Drei Anwendungsbereiche – wähle einen aus
Klicke auf einen Bereich um zu sehen wie Zertifikate dort konkret eingesetzt werden: welches Zertifikatsformat genutzt wird, wie die Konfiguration aussieht, welche Fehler typischerweise auftreten und wie du sie diagnostizierst.
2) Häufige Zertifikatsfehler und ihre Ursachen
Als Azubi wirst du öfter vor dem Problem stehen dass ein Dienst plötzlich mit einer Zertifikatsmeldung versagt. Die folgende Tabelle zeigt die häufigsten Fehlermeldungen, ihre Ursachen und was zu tun ist. Mit dieser Tabelle lässt sich der Großteil aller Zertifikatsprobleme in der Praxis eingrenzen.
| Fehlermeldung | Ursache | Lösung |
|---|---|---|
| NET::ERR_CERT_AUTHORITY_INVALID | CA nicht vertrauenswürdig, Intermediate fehlt | Fullchain prüfen; bei interner CA: Root CA im Browser vertrauen |
| NET::ERR_CERT_DATE_INVALID | Zertifikat abgelaufen oder Systemuhr falsch | Zertifikat erneuern; Systemzeit prüfen |
| NET::ERR_CERT_COMMON_NAME_INVALID | Hostname stimmt nicht mit SAN überein | Neues Zertifikat mit korrektem SAN beantragen |
| SSL_ERROR_RX_RECORD_TOO_LONG | HTTP statt HTTPS auf Port 443 | Server-Konfiguration prüfen – läuft TLS auf Port 443? |
| UNABLE_TO_VERIFY_LEAF_SIGNATURE | Intermediate-Zertifikat fehlt in der Kette | Fullchain statt nur cert.pem verwenden |
| certificate has expired | Abgelaufenes Zertifikat (curl/API-Fehler) | Zertifikat erneuern, Monitoring einrichten |
Zusammenfassung
HTTPS: nginx mit fullchain.pem + privkey.pem, OCSP Stapling, TLSv1.2+. VPN: Zertifikate statt PSK ermöglichen selektiven Widerruf einzelner Clients. S/MIME: E-Mail-Signatur und -Verschlüsselung per X.509-Zertifikat. Häufigste Fehler: abgelaufenes Zertifikat, fehlende Intermediate-CA, falscher SAN.