Zertifikate: NET::ERR_CERT_DATE_INVALID - erneut verlängern ...

[tarifa]

Hallo Community,


ich setze ein Zertifikat ein - von Schlund -


https://www.schlundtech.de/ssl-zertifikate/
Gratis – Basic SSL für all Ihre Domains!

"Encryption Everywhere" – in Kooperation mit DigiCert möchte Schlund Technologies mit dieser Initiative Website-Betreiber dazu anzuregen, ihre Internetseiten mit SSL-Zertifikaten zu verschlüsseln und so den Datentransfer im Web besser zu sichern.
Daher können Sie über das SchlundTech Web-Interface alle Ihre Domains bei Schlund Technologies KOSTENLOS mit einem Basis SSL-Zertifikat1 von GeoTrust verschlüsseln!

DNS-basierte Domain-Validierung
Nahezu 100% Browser-Kompatibilität
Ausstellung der Zertifikate in Echtzeit

Frage; - wenn dies nach einem Jahr abgelaufen ist - kann man das dann auf einfache Weise wieder "verlängern"?

NET::ERR_CERT_DATE_INVALID
Subject: www.my-page.org
Issuer: Encryption Everywhere DV TLS CA - G1
Expires on: 09.04.2021
Current date: 16.04.2021

Ich denke, dass das sicher verlängerbar ist - hoffe dass die hierfür notwendigen Einträge unkompliziert sind.

 

[rg88]

Brauchst halt ein neues Zertifikat und musst es am Server austauschen.
Das vorhanden kann man so gesehen nicht "verlängern" es muss natürlich ausgetauscht werden, durch ein neues mit längerer Gültigkeit

 

[Fenugi]

Wie das bei Schlund genau abläuft, weiß ich nicht, aber die Web-Maske zum "Verlängern", also zur Ausstellung eines neuen Gratis-Zertifikats für deine Domain, sollte hoffentlich selbsterklärend sein. Wo genau klemmts denn?

Für die Zukunft: Vielleicht existiert ja eine Option für die automatische Verlängerung, damit du dich nicht Jahr für Jahr händisch darum kümmern musst.

 

[KillerCow]

Für gewöhnlich bedeutet "gratis Zertifikat", dass es zum gebuchten Tarif dazugehört und entsprechend der Lebenszeit des Pakets auch immer genutzt werden kann. Ein passender Mechanismus sollte sich in der Verwaltung des Anbieters finden. Meist gibts da einfach einen Knopf "Verlängern" oder "Neu ausstellen". Um wirklich sicher zu gehen, müsstest du den Anbieter anfragen.

Seit einiger Zeit akzeptieren vor allem die großen Browser nur noch "globale" Zertifikate, die nicht länger als ich glaube 13 Monate gültig sind. Aus diesem Grund werden eben nur noch End-Zertifikate mit ~1 Jahr Gültigkeit ausgestellt (im Kontext von Webseiten). Hat auch den Vorteil, dass man sich halbwegs regelmäßig mit dem Prozess des Verlängerns auseinandersetzen muss

 

[blackbirdone]

Alternativ lets encrypt nutzen

 

[KillerCow]

Alternativ lets encrypt nutzen

Nur als Anmerkung, da muss man dann spätestens alle 90 Tage ran. Mit den diversen offiziellen und 3rd Party Tools lässt sich das aber sehr bequem automatisieren und an die eigene Konstellation anpassen.
Nachteil: man muss in der Lage sein, Zertifikat (und Key) auf dem Zielsystem austauschen zu können, was z.B. bei shared-Webhostern in der Regel nicht möglich ist.

 

[tarifa]

hallo rg88, Fenugi, KillerCow, Blackbirdone,

vorweg - vielen Dank für Eure Rückmeldungen.

rg88: Brauchst halt ein neues Zertifikat und musst es am Server austauschen.
Das vorhanden kann man so gesehen nicht "verlängern" es muss natürlich ausgetauscht werden, durch ein neues mit längerer Gültigkeit

Danke - ich guck mir das auf Schlund mal an - was es hier gibt.

Killercow:

Nur als Anmerkung, da muss man dann spätestens alle 90 Tage ran. Mit den diversen offiziellen und 3rd Party Tools lässt sich das aber sehr bequem automatisieren und an die eigene Konstellation anpassen.
Nachteil: man muss in der Lage sein, Zertifikat (und Key) auf dem Zielsystem austauschen zu können, was z.B. bei shared-Webhostern in der Regel nicht möglich ist.

Ist ein Rootserver - also insofern ist der Nachteil kein wesentlicher.

Euch nochmals vielen Dank!

 

[tarifa]

hallo rg88, Fenugi, KillerCow, Blackbirdone,

Also - hier nochmals zum Einsatz bzw. Bestellung eines Basic SSH - Zertifikats.
Bin (wie oben bereits erwähnt) soeben dabei bei Schlund ein SSH_Zertifikat (ein Basic-Zertifikat) zu verlängern.

Also - zum Einsatz bzw. Bestellung eines Basic SSH - Zertifikats - die Schrittfolge ist m.E. wie folgt:

Bei der Bestellung bekomme ich einen String - den dnsauth-String.
Dieser String, also der dnsauth - er dient zur Validierung der Domain durch die CA.

Im Regelfall muss der String m.E. in den DNS-Einstellungen der Domain hinterlegt werden. Das bedeutet also ,dass der in der Zone auf dem externen, primären Nameserver, der für die Domain zuständig ist eingetragen wird.
Anschließend heißt es warten. Die CA wird den DNS-Eintrag versuchen zu validieren und bei erfolgreicher Validierung das Zertifikat ausstellen.
Das (neue) Zertifikat dann natürlich mit angepasster, d.h. neuer Laufzeit, das gibts nach dieser Wartezeit und der Validierung in der Zertifikats-Verwaltung (in meinem Falle bei Schlund).

Dann kommt noch ein allerletzter Schritt: Dann nämlich müssen die Zertifikat-Dateien "CRT" und "CA CRT" auf dem Server hinterlegt werden.

Das wäre dann m.E. alles - mehr ist hier nicht zu tun.

Tarifa,

PS. hier ein Bspl. für den o.g. String: _dnsauth. my-domain.de. 300 IN TXT "202104201858214pblob-blobrq8q1021rst0w6vur362rcwrobblobrblobc1l3234444qhs444e56vyblob_robehj4zero-laschetevpsluo0t"