Antworten auf Ihre häufigsten Fragen

Wie tausche/richte ich ein SSL-Zertifikat für verschiedene Dienste aus/ein?
pdf print

Plesk nutzt SSL-Zertifikate für eine ganze Reihe von Diensten, um eine verschlüsselte Verbindung zu ermöglichen. Dazu kommen bei der Auslieferung selbst-signierte Standardzertifikate zum Einsatz, deren Hostname nicht angepasst ist (er lautet "plesk") und die zu einem bestimmten Zeitpunkt auslaufen. Wie Sie diese austauschen können, wird hier erklärt.

  1. In Plesk selbst und für Webseiten:
    • Für den Zugriff auf Plesk selbst und die Webseiten werden Zertifkate genutzt, die in Plesk selbst verwaltet werden können. Es ist auch möglich, die hier angelegten Zertifikate anschließend für weitere Dienste zu verwenden, allerdings ist dann manuelle Konfiguration im System nötig.
      Aufgrund der Art und Weise, wie Virtuozzo Plesk bei virtuellen Servern einbindet, ist ein Tausch des Zertifikates für Plesk bei Virtual Servern nur möglich, wenn Sie das Offline-Management deaktivieren. Dies ist ab dem Virtual Server 4.0 über das KIS möglich. Ab Plesk 10 ist diese Einstellung zwingend, so dass Sie ein eigenes Zertifikat einbinden müssen, um nicht die Warnmeldung des Standardzertifikates zu erhalten.
      Für eigene Webinhalte und andere Dienste ist die Einbindung wie beschrieben machbar.
      Melden Sie sich zunächst in Plesk an unter wählen Sie unter "Server" bzw. "Einstellungen" oder "Tools & Dienstprogramme" (Plesk 10) den Punkt "Zertifikate"/"SSL-Zertifikate" aus:

       

       

      Der Zertifikatsname ist frei wählbar, wichtig ist der "Domainname". Dieser ist derjenige, über den Sie eine Verbindung zum Server herstellen möchten. Es ist auch möglich, über diesen Weg mehrere Zertifikate anzulegen, wenn Sie z.B. für u.a. Maildienste "mail.nureinbeispiel.de", für Plesk aber "www.nureinbeispiel.de" verwenden möchten.
      Wählen Sie dann "Selbst-signiert" aus, um ein Zertifikat zu erzeugen. Möchten Sie ein von einer Zertifizierungsstelle offiziell bestätigtes Zertifikat nutzen, können Sie ein solches kostenpflichtig bestellen, z.B. so wie es hier beschrieben ist: SSL-Zertifikate.
      Nachdem das Zertifikat so erstellt wurde und in der Übersichtsliste erscheint, können Sie es auswählen (Häkchen setzen) und es mittels "Standard" bzw. "Als Standard für Webadmin definieren" (Plesk 10) zum neuen Standardzertifikat für Domains erklären. Mit "Setup" bzw. "Panel sichern" (Plesk 10) hingegen wird es zum neuen Zertifikat für die Plesk-Oberfläche.
      Um das eigentliche Zertifikat anzuzeigen, wählen Sie dieses aus der Liste aus. Im unteren Teil der Seite erscheinen dann Blöcke mit dem "Private Key" und dem "Zertifikat", die Sie für die weiteren Schritte benötigen. Wenn Sie ein Zertifkat nutzen, dass Zwischenzertifikate (CA-Zertifikate) verwendet, fügen Sie die entsprechenden Textblöcke bitte ebenfalls am Ende der Datei hinzu.
      -----BEGIN RSA PRIVATE KEY-----
      MIICWwIBAAKBgQCuC3iwfYtyqtUiC6LHzjcUfBMkiTEeArk1Wt/xykadB2m9Iw8j
      [...]
      NgY/TPQzpagmAe3MblzJWKplAT2TED6BUiWQm77AMw==
      -----END RSA PRIVATE KEY-----
      -----BEGIN CERTIFICATE-----
      MIIDmzCCAwSgAwIBAgIERnaKejANBgkqhkiG9w0BAQQFADCBlDELMAkGA1UEBhMC
      [...]
      iEIpmZ64ZfBFAZOgs6AQ
      -----END CERTIFICATE-----
  2. Zertifikate für webmail.-Subdomain
    • Aktuell ist eine Änderung des SSL-Zertifikats für die webmail.-Subdomains in Plesk 12 nicht möglich. Dies haben wir bereits an den Hersteller eskaliert, eine entsprechende Funktion wird in einer zukünftigen Version zur Verfügung gestellt
  3. Mailserver:
    • Unter der Plesk Softwareversion "Plesk 17 (Onyx)" ist es nun möglich, ein SSL-Zertifikat über das Plesk Panel für den Mailserver einzurichten. Ebenso bietet sich dort die Möglichkeit Let's Encrypt Zertifikate für den Mailserver einzurichten. Bei Erneuerung des entsprechenden Let's Encrypt Zertifikats innerhalb des Automatismus, wird dieses ebenfalls automatisch für Ihren Mailserver übernommen. Diese Funktion bietet Ihnen daher nun 100%ige Flexibilität und einfachste Bedienbarkeit, da kein manueller Austausch des Zertifikats notwendig ist. Wir bitten jedoch folgenden FAQ-Aritkel zu beachten:
      Was muss ich für die Nutzung von Plesk 17 (Onyx) beachten?
      Die Zertifikate unter der Nutzung von Plesk <= 12.5.30 können nur im System selbst über die Kommandozeile für die Mailserverdienste ausgetauscht werden. Erstellen Sie dazu eine Textdatei (z.B. /root/zertifikat.pem), die die Textblöcke enthält. Wenn Sie ein Zertifkat nutzen, dass Zwischenzertifikate (CA-Zertifikate) verwendet, fügen Sie die entsprechenden Textblöcke bitte ebenfalls am Ende der Datei hinzu.:
       
      -----BEGIN RSA PRIVATE KEY-----
      MIICWwIBAAKBgQCuC3iwfYtyqtUiC6LHzjcUfBMkiTEeArk1Wt/xykadB2m9Iw8j
      [...]
      NgY/TPQzpagmAe3MblzJWKplAT2TED6BUiWQm77AMw==
      -----END RSA PRIVATE KEY-----
      -----BEGIN CERTIFICATE-----
      MIIDmzCCAwSgAwIBAgIERnaKejANBgkqhkiG9w0BAQQFADCBlDELMAkGA1UEBhMC
      [...]
      iEIpmZ64ZfBFAZOgs6AQ
      -----END CERTIFICATE-----
       
      Ersetzen Sie die vorhandenen Zertifikatsdateien durch diese neue Datei:

      QMail und Courier:

      test -e /var/qmail/control/servercert.pem && cp /var/qmail/control/servercert.pem /var/qmail/control/servercert.pem.original
      test -e /usr/share/courier-imap/imapd.pem && cp /usr/share/courier-imap/imapd.pem /usr/share/courier-imap/imapd.pem.original
      test -e /usr/share/courier-imap/pop3d.pem && cp /usr/share/courier-imap/pop3d.pem /usr/share/courier-imap/pop3d.pem.original
      test -e /usr/share/imapd.pem && cp /usr/share/imapd.pem /usr/share/imapd.pem.original
      test -e /usr/share/pop3d.pem && cp /usr/share/pop3d.pem /usr/share/pop3d.pem.original
       
      test -e /var/qmail/control/servercert.pem && cat /root/zertifikat.pem >/var/qmail/control/servercert.pem
      test -e /usr/share/courier-imap/imapd.pem && cat /root/zertifikat.pem >/usr/share/courier-imap/imapd.pem
      test -e /usr/share/courier-imap/pop3d.pem && cat /root/zertifikat.pem >/usr/share/courier-imap/pop3d.pem
       
      test -e /usr/share/imapd.pem && cat /root/zertifikat.pem >/usr/share/imapd.pem
      test -e /usr/share/pop3d.pem && cat /root/zertifikat.pem >/usr/share/pop3d.pem
       
      test -e /etc/init.d/courier-imap && /etc/init.d/courier-imap restart
      test -e /etc/init.d/courier-imaps && /etc/init.d/courier-imaps restart
       
      test -e /etc/init.d/qmail && /etc/init.d/qmail restart
      test -e /etc/init.d/xinetd && /etc/init.d/xinetd restart
       
      test -e /sbin/service && service qmail restart
      test -e /sbin/service && service xinetd restart

      Postfix und Courier:

      test -e /etc/postfix/postfix_default.pem && cp /etc/postfix/postfix_default.pem /etc/postfix/postfix_default.pem.original
      test -e /usr/share/courier-imap/imapd.pem && cp /usr/share/courier-imap/imapd.pem /usr/share/courier-imap/imapd.pem.original
      test -e /usr/share/courier-imap/pop3d.pem && cp /usr/share/courier-imap/pop3d.pem /usr/share/courier-imap/pop3d.pem.original
      test -e /usr/share/imapd.pem && cp /usr/share/imapd.pem /usr/share/imapd.pem.original
      test -e /usr/share/pop3d.pem && cp /usr/share/pop3d.pem /usr/share/pop3d.pem.original
       
      cat /root/zertifikat.pem >/etc/postfix/postfix_default.pem
       
      test -e /usr/share/courier-imap/imapd.pem && cat /root/zertifikat.pem >/usr/share/courier-imap/imapd.pem
      test -e /usr/share/courier-imap/pop3d.pem && cat /root/zertifikat.pem >/usr/share/courier-imap/pop3d.pem
       
      test -e /usr/share/imapd.pem && cat /root/zertifikat.pem >/usr/share/imapd.pem
      test -e /usr/share/pop3d.pem && cat /root/zertifikat.pem >/usr/share/pop3d.pem
       
      test -e /etc/init.d/courier-imap && /etc/init.d/courier-imap restart
      test -e /etc/init.d/courier-imaps && /etc/init.d/courier-imaps restart
       
      test -e /etc/init.d/postfix && /etc/init.d/postfix restart
      test -e /etc/init.d/xinetd && /etc/init.d/xinetd restart
       
      test -e /sbin/service && service postfix restart
      test -e /sbin/service && service xinetd restart

      Postfix und Dovecot (optional ab Plesk 12.0.18):

      test -e /etc/postfix/postfix_default.pem && cp /etc/postfix/postfix_default.pem /etc/postfix/postfix_default.pem.original
      test -e /etc/dovecot/private/ssl-cert-and-key.pem && cp /etc/dovecot/private/ssl-cert-and-key.pem /etc/dovecot/private/ssl-cert-and-key.pem.original
       
      cat /root/zertifikat.pem >/etc/postfix/postfix_default.pem
       
      test -e /etc/dovecot/private/ssl-cert-and-key.pem && cat /root/zertifikat.pem >/etc/dovecot/private/ssl-cert-and-key.pem
       
      test -e /etc/init.d/postfix && /etc/init.d/postfix restart
      test -e /etc/init.d/dovecot && /etc/init.d/dovecot restart
       
      test -e /sbin/service && service postfix restart
      test -e /sbin/service && service dovecot restart
      Ab einem Neustart der Serverdienste wird das neue Zertifikat verwendet.

otto.friedrich@hosteurope.de xanthippe.ypsilante@hosteurope.de hercules.ikarus@hosteurope.de