SSL-Zertifikate

Ein SSL-Zertifikat dient dazu, deine Website zu verschlüsseln und gewährleistet eine sichere Verbindung zu deiner Website und deinem Onlineshop. Du benötigst ein SSL-Zertifikat für bestimmte Marktplätze und zum Beispiel für die Zertifizierung mit Trusted Shops. Dass du ein SSL-Zertifikat verwendest, ist daran erkennbar, dass deine Website über https erreichbar ist.

PlentyONE enthält einen Assistenten, der dir bei der Bestellung und Verwaltung deines SSL-Zertifikats unterstützt. Beachte, dass solche Aufgaben normalerweise von einem Systemadministrator durchgeführt werden. Diese Seite ist recht technisch, da sie als Referenz für Systemadministratoren dient und ihnen hilft, ihre Administratoraufgaben in PlentyONE zu erledigen.

1. Welche SSL-Zertifikate stehen zur Auswahl?

SSL-Zertifikate werden von unabhängigen Zertifizierungsstellen ausgestellt. PlentyONE bietet verschiedene Arten von SSL-Zertifikaten an:

Art Erläuterung

DV

  • DV = Domain Validation (Domain-Überprüfung).

    • DV Zertifikate sind sehr weit verbreitet.

    • Sie werden nur anhand des Domainnamens verifiziert.

  • günstigstes SSL-Zertifizierungsmodell

  • ausgestellt von DigiCert

OV

  • OV = Organizational Validation (Unternehmensüberprüfung).

    • OV Zertifikate sind mit einem umfangreicheren Verifizierungsprozess verbunden, bieten aber auch mehr Vertrauen.

    • Die Zertifizierungsstelle verifiziert das Unternehmen. Dazu werden Details wie Firmenname, Standort und Adresse mit Angaben aus dem Handelsregister verglichen.

  • mittleres Zertifizierungsmodell

  • ausgestellt von CertCenter

EV

  • EV = Extended Validation (erweiterte Überprüfung).

    • EV Zertifikate sind mit einem noch umfangreicheren Verifizierungsprozess verbunden, gelten aber als die sicherste und vertrauenswürdigste Lösung.

    • Die Zertifizierungsstelle führt einen vom CA/Browser Forum festgelegten Verifizierungsprozess durch.

  • sicherste und vertrauenswürdigste Zertifizierungsmodell

  • ausgestellt von CertCenter

Aufschlüsselung der Preise

Comodo InstantSSL
OV		 Comodo Positive
EV		 AlwaysOnSSL
DV		 RapidSSL Standard
DV

Laufzeit

12 Monate

12 Monate

3 Monate

12 Monate

Mtl. Gebühr

2,- €

2,- €

2,- €

2,- €

Kosten des SSL-Zertifikats

118,80 €

348,- €

0,- €

35,70 €

Einmalige Einrichtungsgebühr

29,- €

99,- €

0,- €

0,- €

Alle Preise sind in netto angegeben.

2. Voraussetzungen für das Buchen eines SSL-Zertifikats

2.1. Domain

Die Domain, für die das SSL-Zertifikat bestellt werden soll, muss eine Primärdomain sein. Die Domain muss also im Menü Einrichtung » Einstellungen » Hosting » Domains als Primärdomain genannt werden.

Tipp: Schaue dir deine Domains mit der Tabellenansicht an, um zu erkennen, welche die Primärdomain ist.

hauptdomain
Bild 1. Domain-Assistent in Tabellenansicht

Wenn du ein SSL-Zertifikat für eine andere Domain einrichten möchtest, musst du diese Domain zunächst als Hauptdomain festlegen.

Die Bestellung eines SSL-Zertifikats ist nicht möglich, wenn die entsprechende Domain als extern abgespeichert ist (also auf eine externe IP-Adresse verweist).

extern domain

2.2. Aktiviertes Autoscaling

Vereinzelt gibt es Systeme, die nicht auf Autoscaling (AS) umgestellt wurden. In den meisten Fällen liegt das daran, dass die Domain nicht bei PlentyONE gehostet wird. Aus diesem Grund muss die Person, der die Domain gehört, die DNS-Einstellungen der Domain manuell anpassen. Eine weitere mögliche Ursache ist, dass eine Domain erstmalig zu einem Mandanten hinzugeführt wurde. Diese Mandanten werden dann nicht automatisch auf Autoscaling umgestellt. Der PlentyONE Support muss Autoscaling manuell aktivieren.

Woran erkenne ich aktiviertes AS?

Ob für das jeweilige System AS aktiviert ist oder nicht erkennt man anhand der dargestellten DNS-Einstellungen im Domain Assistenten.

Autoscaling-Status prüfen:

  1. Rufe den Domain-Assistenten auf und navigiere zum Schritt Aktuelle DNS Einstellungen.
    Hinweis: Dieser Schritt wird nur angezeigt, wenn du im Schritt Domain Typ die Option Neue, extern gehostete, Domain hinterlegen gewählt hast.

  2. Prüfe in der Spalte DNS Record Type, ob für die Domain ein CNAME-Eintrag vorhanden ist.
    → Wenn ein CNAME-Eintrag vorhanden ist, ist Autoscaling aktiviert. Ein SSL-Zertifikat kann bestellt werden.
    → Wenn kein CNAME-Eintrag vorhanden ist, sondern nur zwei A-Records, ist Autoscaling nicht aktiviert.

  3. Wenn Autoscaling nicht aktiviert ist, bitte den PlentyONE Support über den PlentyONE Service Desk, Autoscaling zu aktivieren.

Beispiel der dargestellten DNS-Einstellungen bei einem System auf AS:

cname entry de

2.3. Bei Subdomains: Vorhandene Parent-Domain

Wenn du ein SSL-Zertifikat für eine Subdomain bestellen möchtest, muss auch die Parent-Domain im Assistenten existieren. Auch die Beziehung zwischen Domain und Subdomain muss im Assistenten korrekt eingetragen sein. Prüfe zunächst die Einstellungen im Assistenten.

Falls die Parent-Domain aus dem Assistenten entfernt wurde, lege die Parent-Domain erneut an. Wenn diese Parent-Domain nicht auf PlentyONE zeigen soll, sondern z.B. auf Shopware, versehe die Parent-Domain mit einem externen A-Record, indem du eine Systemverknüpfung erstellst.

2.4. Bei externen Domains: DNS-Einstellungen

Die Validierung der SSL-Bestellung erfolgt auf Dateiebene. Das bedeutet, dass die Domain, für die das Zertifikat bestellt werden soll, zwingend korrekt erreichbar sein muss.

  • Die beim externen Provider gespeicherten DNS-Einstellungen müssen mit den DNS-Einstellungen im Assistenten identisch sein.
    → Prüfe die Einstellungen im Service-Bereich deines Domain-Providers.

  • Für die Domain, für die das SSL-Zertifikat bestellt werden soll, darf kein IPv6-Eintrag (AAAA-Record) existieren.
    → Prüfe die Einstellungen im Service-Bereich deines Domain-Providers.

  • Für die Domain, für die das SSL-Zertifikat bestellt werden soll, müssen eventuell vorhandene CAA-Records die Bestellung des gewünschten Zertifikats zulassen.
    → Prüfe die Einstellungen im Service-Bereich deines Domain-Providers. Der notwendige CAA-Record lautet wie folgt:

DNS Source DNS Record Type DNS Target

@

CAA

issue digicert.com

2.5. 301-Weiterleitungen für '/' entfernen

Im Domain-Assistent der jeweiligen Domain darf keine 301-Weiterleitung für die Startseite angelegt sein, wie sie im nachfolgenden Beispiel dargestellt ist:

/;Ziel-URL;301;L

/*;Ziel-URL;301;L

^/*;Ziel-URL;301;L

2.6. Keine manuell angelegte Sub-Domain für www.

Eine manuell angelegte Sub-Domain für www.deineDomain.tld verhindert die Auslieferung des SSL-Zertifikats, da sie einen doppelten DNS-Eintrag für www erzeugen würde. Falls eine solche Sub-Domain manuell angelegt wurde, muss diese gelöscht werden.

2.7. Checkliste

Bereit, ein SSL-Zertifikat zu bestellen? Gehe diese Checkliste durch, um sicherzustellen, dass du alle Voraussetzungen erfüllt hast.

  • Domain ist nicht gekündigt

  • Domain ist Hauptdomain

  • Domain ist auf AutoScaling (AS) umgestellt

  • Bei Sub-Domains: existierende Parent-Domain

  • DNS-Einstellungen gem. Angaben im Domain-Assistenten

  • Kein AAAA-Record für die Domain, für die das Zertifikat bestellt werden soll

  • Kein negativer CAA-Record

  • Keine 301-Weiterleitung auf der Startseite

  • Keine manuell angelegte Sub-Domain für www.

3. Bestellen eines SSL-Zertifikats

Nachdem du alle Voraussetzungen erfüllt hast, kannst du ein SSL-Zertifikat bestellen. Die Bestellung bei der Zertifizierungsstelle führt PlentyONE in deinem Auftrag durch und stellt dir den Kaufbetrag und die monatlichen Bereitstellungskosten in Rechnung.

Nur ein SSL-Zertifikat für die Domain

Eine Domain kann nur ein SSL-Zertifikat haben. Beispiel: Wenn deine Domain bereits ein SSL-Zertifikat besitzt, und du dann ein neues Zertifikat bestellst, wird das bestehende Zertifikat durch das neue überschrieben.

3.1. SSL-Assistent durchlaufen

  1. Öffne das Menü Einrichtung » Einstellungen » Hosting » SSL Verwaltung.
    → Deine SSL-Konfigurationen werden hier angezeigt.

  2. Klicke auf eine der SSL-Konfigurationen, um ihre Einstellungen zu öffnen.

  3. Gehe die einzelnen Schritte des Assistenten durch. Beachte Tabelle 1.

  4. OV und EV Zertifikate: Nachdem du die Bestellung im Assistenten aufgegeben hast, musst du noch einen Validierungsprozess abschließen.

ssl assistent
Tabelle 1. Schritte des SSL-Assistenten
Einstellung Erläuterung

Schritt: Zertifikat

Aktuelles SSL

Dieser Bereich ist rein informativ. Hier siehst du z.B., welches Zertifikat du aktuell verwendest und wann es abläuft.

Wählen Sie ein Zertifikat aus

Wähle das gewünschte SSL-Zertifikat aus.

Automatische Verlängerung

Aktiviere diese Option (), wenn das SSL-Zertifikat am Ende seiner Laufzeit automatisch verlängert werden soll.

Hinweis: OV- und EV-Zertifikate können nicht automatisch verlängert werden. Kurz vor Ablauf deines Zertifikats erhältst du eine Benachrichtigung, die dich daran erinnert, ein neues Zertifikat zu bestellen.

Schritt: Kontaktdaten

Kontaktperson

Gib Informationen zu einer Kontaktperson ein. Diese Person muss zur Durchführung des Validierungsprozesses berechtigt sein, z.B. CIO oder CEO.

Unternehmenskontakt

Gib Informationen zu deiner Firma ein. Die Firmendaten müssen mit den Angaben im Handelsregister übereinstimmen.

Schritt: Bestätigung

Lese eine Zusammenfassung deiner gewählten Dienstleistungen. Beim Abschließen des Assistenten bestätigst du, dass du diese kostenpflichtigen Leistungen buchen möchtest.

Schritt: Zusammenfassung

Dieser Schritt ist rein informativ.

3.2. OV und EV Zertifikate: Validierungsprozess nach der Bestellung

OV und EV Zertifikate sind mit einem umfangreicheren Verifizierungsprozess verbunden. Nach der Bestellung erhältst du eine Bestätigungs-E-Mail (SSL Subscriber Agreement) von Sectigo. Folge den Anweisungen in der E-Mail, um den Validierungsprozess abzuschließen.

Grundsätzlich gibt es zwei Vorgehensweisen:

  • Folge dem Link in der E-Mail. Du wirst auf die Sectigo Website weitergeleitet. Gib dort den "verification code" ein, den du in der E-Mail erhalten hast. Folge den restlichen Schritten auf dem Bildschirm. Während des Validierungsprozesses wirst du einen Anruf von Sectigo erhalten.

  • Lade die in der E-Mail aufgeführten Dokumente herunter (Certificate Request Form & SSL Subscriber Agreement). Drucke die Dokumente aus, unterschreibe sie und schicke sie an Sectigo zurück. Während des Validierungsprozesses wirst du einen Anruf von Sectigo erhalten.

Beachte, dass es einige Zeit dauern kann, bis alle Schritte abgeschlossen sind. Lass dir also genug Zeit, um die Formulare zu unterschreiben, an Sectigo zurückzuschicken, einen Anruf von Sectigo zu erhalten und den Validierungsprozess abzuschließen.

Bist du befugt, den Prozess abzuschließen?

Der Validierungsprozess muss von einer berechtigten Person abgeschlossen werden, z.B. CIO oder CEO. Rechtlich bindende Dokumente müssen während des Prozesses von einer zeichnungsberechtigten Person unterschrieben werden.

4. Verlängern eines SSL-Zertifikats

Du wirst kurz vor Ablauf deines SSL-Zertifikats benachrichtigt. Die Benachrichtigung enthält weitere Informationen und Handlungsanweisungen. Du kannst aber auch jederzeit selbst schauen, wann dein SSL-Zertifikat abläuft und ob dein Zertifikat automatisch verlängert wird.

  1. Öffne das Menü Einrichtung » Einstellungen » Hosting » SSL Verwaltung.
    → Deine SSL-Konfigurationen werden hier angezeigt.

  2. Klicke auf eine der SSL-Konfigurationen, um ihre Einstellungen zu öffnen.

  3. Navigiere zum Schritt Zusammenfassung.

  4. Klappe das Feld Zertifikat auf ().

  5. In der Zeile Aktiv bis findest du das Datum, an dem das Zertifikat abläuft.

  6. In der Zeile Zertifikat automatisch verlängern siehst du Ja oder Nein.

  7. Bestelle das Zertifikat bei Bedarf neu.

SSL-Zertifikate werden neu bestellt statt verlängert

Technisch gesehen wirst du das SSL-Zertifikat nicht verlängern. Du bestellst das SSL-Zertifikat neu, kurz bevor es abläuft. Wenn deine Domain bereits ein SSL-Zertifikat besitzt, und du dann ein neues Zertifikat bestellst, wird das bestehende Zertifikat durch das neue überschrieben.
assistent zusammenfassung

5. Fragen und Antworten

Für welche Domain wird ein SSL-Zertifikat bestellt?

Du bestellst das SSL-Zertifikat für deine Primärdomain, also die Domain, die im Menü Einrichtung » Einstellungen » Hosting » Domains als Primärdomain eingestellt ist. Wenn du ein SSL-Zertifikat für eine andere Domain einrichten möchtest, musst du diese Domain zunächst als Hauptdomain festlegen.

Eine externe Domain kannst du beim externen Hoster belassen und die DNS-Einstellungen bei diesem externen Hoster speichern. Das SSL-Zertifikat muss jedoch systemnah liegen, also auch wenn die Domain bei einem anderen Hoster liegt, erfolgt die Verschlüsselung erst nach der Weiterleitung über die IP-Adresse bei PlentyONE im System. Daher muss das SSL-Zertifikat bei PlentyONE gebucht werden, da PlentyONE aus Sicherheitsgründen keine externen Zertifikate zulässt.

Für gekündigte Domains sowie für Start-up-Domains und Testdomains, also Domains mit den Bestandteilen plenty-testdrive.eu, plentymarkets-x1.com usw., können keine SSL-Zertifikate bestellt werden.

Was passiert, wenn ich die Hauptdomain ändere?

SSL-Zertifikate sind domaingebunden. Das bedeutet, dass beispielsweise bei Umstellung der Hauptdomain das aktuelle Zertifikat inaktiv geschaltet wird, da eine neue Hauptdomain ohne bestelltes Zertifikat vorliegt. Inaktiv bedeutet nicht gelöscht - Sollte die Hauptdomain erneut auf die Domain umgestellt werden, die bereits ein SSL-Zertifikat besaß, kann dieses wieder aktiviert werden, sofern das SSL-Zertifikat noch gültig ist.

Kann ich das SSL-Zertifikat bei einem Domain-Umzug mitnehmen?

SSL-Zertifikate können bei einem Domainumzug zu PlentyONE nicht mitgenommen werden. Aufgrund der technischen Gegebenheiten ist die Bestellung nur innerhalb unserer Public-Key-Infrastruktur möglich. Dies gilt für beide Richtungen. Sowohl von extern zu PlentyONE, als auch von PlentyONE zu extern. Ein über PlentyONE gebuchtes SSL-Zertifikat muss systemnah liegen und kann bei einem Domaintransfer nicht mitgenommen werden. Ein Export der Zertifikatsdaten (geheimer Private-Key) ist nicht möglich. Auch ein "Transfer" eines SSL-Zertifikats von einer Domain(-ID) auf eine andere ist nicht möglich.

Brauche ich ein Hostmaster-Postfach?

Nein, für die Bestellung eines SSL-Zertifikats über das Backend wird kein Postfach hostmaster@deineDomain.tld vorausgesetzt.

Können Wildcard-SSL-Zertifikate ausgestellt werden?

Nein, das Ausstellen von sogenannten Wildcard-SSL-Zertifikaten ist in unserer Infrastruktur nicht möglich.

Wie lange dauert es, bis mein SSL-Zertifikat ausgestellt wird?

Wenn dein SSL-Zertifikat erfolgreich bestellt wurde, erhältst du eine Erfolgsmeldung:

assistent abgeschlossen

DV Zertifikate werden nach ca. 2-3 Minuten aktiv.

Mein SSL-Zertifikat wird nicht ausgestellt oder ich erhalte eine Fehlermeldung im Assistenten. Was soll ich tun?

Wenn dein DV Zertifikat nach ca. 2-3 Minuten nicht ausgestellt wird, dann:

  • öffne das Notification-Center () im PlentyONE Backend. In manchen Situationen erhältst du eine Nachricht, die dir die Ursache des Problems nennt. Zum Beispiel, dass du keine Telefonnummer eingegeben hast.

  • Wenn du das Problem nicht selbst lösen kannst oder wenn du eine Fehlermeldung im Assistenten erhalten hast, dann wende dich an das plenty-Core-Team im Service Desk.