SSL für die eigene Domain und SaaS Anwendung

Sobald Sie einen Domain Alias bei uns eingerichtet haben, können Sie auf Ihre SaaS Anwendung auch über Ihre eigene Domain zugreifen. Das macht auf Kunden und Mitarbeiter einen vertrauenswürdigen Eindruck, aber was ist mit der Verschlüsselung per SSL?
Hier gibt es nun eine Sicherheitswarnung im Browser (NET::ERR_CERT_COMMON_NAME_INVALID).
Wir erklären hier kurz woher der Fehler kommt und wie man das SSL Problem löst.

SSL Warnung im Browser

Das Problem ist, dass die Domain, auch wenn Sie nun Ihre eigene Domain verwenden, weiterhin mit unserem SSL Zertifikat verschlüsselt wird. Zu erkennen am Fehlertext: ERR_CERT_COMMON_NAME_INVALID
Alle bekannten Browser geben in diesem Fall eine Warnung aus und man muss erst bestätigen, dass man die Seite wirklich aufrufen möchte.

Eines vorweg - auch in diesem Fall ist die Verbindung sicher und verschlüsselt.
Aber es ist eben nicht schön wenn Kunden und Mitarbeiter immer erst die Warnung bestätigen müssen um mit der SaaS Anwendung zu arbeiten.
Abhilfe schafft ein eigenes Zertifikat, welches zu Ihrem eingerichteten Domain Alias passt.
Um ein eigenes zur Domain passendes Zertifikat zu verwenden, können Sie unseren Let's Encrypt Service verwenden. Den Service können Sie selbst im Kundencenter bei dem betreffenden Domain Alias aktivieren. Eine weitere Möglichkeit ist, Sie verwenden ein eigenes Zertifikat (das kann auch ein Wildcard Zertifikat sein). Dieses Zertifikat können Sie selbst über das Kundencenter bei der betreffenden Domain eintragen und installieren lassen.
Wie Sie ein solches Zertifikat erstellen und zu uns übertragen, erklären wir im folgenden Text.

Zertifikat Request erstellen (CSR-Request)

Falls Sie noch kein Zertifikat besitzen können Sie einfach eines bestellen. Die Google Suche nach SSL ZERTIFIKAT liefert genügend Anbieter.
Um ein Zertifikat bei einem Anbieter zu bestellen, müssen Sie einen CSR-Request erstellen. Hierbei handelt es sich um einen Schlüssel, der Information zu Ihrer Person oder Firma und natürlich der zu sichernden Domain enthält. Mit dem Erstellen des CSR wird zugleich ein Private Key erzeugt. Dieser Private Key ist einmalig und passt mit dem CSR zusammen und im späteren Schritt auch zum Domain Zertifikat.
Achtung! Speichern Sie den Private Key für sich an einen sicheren Ort.
Ohne den Key kann das Zertifikat nicht auf einem Server installiert werden und ein erneutes erzeugen des Keys ist nicht möglich. Im Falle des Verlustes müssen Sie einen neuen CSR erstellen und alle folgenden Schritte wiederholen.

Ein CSR kann auf verschiedenen Wegen erzeugt werden. Am Einfachsten ist, wenn der Anbieter wo man Zertifikat kaufen möchte, einen CSR-Generator anbietet (bspw.: https://secure.europeanssl.eu/en/info/generator). Hier handelt es sich um ein online Formular, welches Sie mit allen Informationen füllen und dann abschicken. Ein Passwort darf nicht gesetzt werden, wenn Sie das SSL-Zertifikat für Ihre SaaS Anwendung die auf unseren System läuft, installieren wollen.
Nach dem Absenden des Formulares erhalten Sie als Antwort den CSR und den Private Key. Beides sind lange, scheinbar wirre Zeichenketten. Mit dem CSR Text können Sie nun ein Zertifikat bestellen. Den Private Key benötigen Sie erst später wieder.

Domain SSL Zertifikat bestellen

Der Bestellvorgang eines SSL-Zertifikates ähnelt sich bei allen Anbietern. Sie fügen den CSR Text in ein Formular ein und werden dann durch weitere Bestellschritte geleitet. An einem der Bestellschritte werden Sie die Möglichkeit haben eine E-Mail Adresse auszuwählen über die validiert wird, ob Sie auch berechtigt sind ein Zertifikat für diese Domain auszustellen.
Die E-Mail Adresse wird in der Regel aus der Domain abgleitet, mitunter wird auch ein Whois auf die Domain durchgeführt um an die Kontaktadresse des Domain Eigentümers zu gelangen. Wählen Sie eine E-Mail Adresse auf die Sie Zugriff haben.
Nach der Bestellung müssten Sie eine E-Mail erhalten, in welcher Sie aufgefordert werden einen Link zu öffnen. Hierbei bestätigen Sie, dass Sie der Eigentümer der Domain sind.

Nun kann es etwas dauern, mitunter erhalten Sie auch weitere E-Mails mit zu tätigenden Aktionen. Am Ende jedoch sollten Sie einen Link bekommen, unter dem Sie Ihr Domain Zertifikat erhalten. Das kann auch eine E-Mail sein, mit der Sie das Zertifikat zugestellt bekommen.

CA-Zertifikat und Certificate-Chain

Um das Zertifikat auf einem Server zu installieren benötigen Sie noch eine dritte Komponente, das CA-Zertifikat (Certificate Authority oder Certification Authority).
Hierbei handelt es sich um ein Zertifikat des Ausstellers. Mit Hilfe des CA-Zertifikates kann geprüft werden ob das Domain Zertifikat gültig ist. Ohne das CA-Zertifikat erhalten Sie wieder Warnungen im Browser.
Häufig besteht das CA-Zertifikat aus mehreren Teilen. Die so genannte Certificate-Chain.
Das Root Zertifikat einer Certificate Authority selbst kann nämlich auch durch eine andere CA beglaubigt worden sein und es ergibt sich somit eine Kette von Zertifikaten, bei der jedes Zertifikat mit dem Zertifikat der übergeordneten Stelle authentifiziert wird.

SaaS Anwendung mit SSL sichern¶

Nun sind alle notwendigen Bestandteile zusammen um Ihre SaaS Anwendung per SSL zu sichern.

1. Domain Zertifikat
2. Private-Key
3. CA-Zertifikat (evtl. Root-Zertifikat davor)

Diese Daten können Sie uns nun sicher über das Kundencenter übermitteln.
Sie finden auf jeder Produkt-Details Seite einen Link um für die SaaS Anwendung ein SSL-Zertifikat zu übermitteln.
Alle übermittelten Daten verlassen unser System nicht, von daher brauchen Sie sich keine Sorgen um die Sicherheit zu machen.
Sobald die Installation des Zertifikates abgeschlossen ist, erhalten Sie eine Nachricht per E-Mail. Einer sicheren Kommunikation steht dann nichts mehr im Wege.