Es gibt diverse Szenarien, warum ein Zertifikat einmal ausgetauscht werden muss.
Beispielsweise kann es vorkommen, dass Sie Ihren privaten Schlüssel nicht mehr finden oder aber Ihr Server neu aufgesetzt oder ausgetauscht wurde und das Zertifikat nun weg ist.
So oder so wäre es ärgerlich ein neues Zertifikat kaufen zu müssen, wenn Ihr jetziges Zertifikat eigentlich noch Restlaufzeit hat.
Aus diesem Grund bieten die meisten Zertifizierungsstellen einen kostenlosen CSR-Austausch an. Der Austausch ist dabei nicht limitiert und kann auch mehrfach erfolgen.
Kostet der Zertifikatsaustausch etwas?
Nein. Der CSR-Austausch ist für alle SSL-Zertifikate immer kostenfrei und kann auch mehrfach erfolgen.
Für S/MIME-Zertifikate gibt es mit Procilon jedoch eine Zertifizierungsstelle, die nur einen kostenpflichtigen CSR-Austausch anbietet.
Ob Ihr Produkt überhaupt kostenfrei ausgetauscht werden kann oder nicht, steht auch immer in der Produktbeschreibung des jeweiligen Zertifikates.
Gibt es Einschränkungen?
Ja. Ein Zertifikatsaustausch ist „keine Verlängerung“ und gilt als reiner Austausch der bestehenden Daten.
Das neue Zertifikat, das aus dem Austausch resultiert, ist immer nur für die Restlaufzeit des ursprünglichen Auftrags gültig.
Es sind bei einem Austausch auch keine Anpassungen an den im Zertifikat enthaltenen Inhaberdaten oder Domains möglich.
Ein Wechsel auf einen anderen Algorithmus, eine andere Bitlänge oder gar eine andere Zertifikatskette sind, je nach Produkt, aber durchaus möglich.
Wie in der Einleitung bereits beschrieben, ist der Austausch auch nicht limitiert und kann öfter angestoßen werden.
Werden einmal ausgetauschte Zertifikate zurückgezogen?
Ob einmal ausgetauschte Zertifikate gültig bleiben oder revoziert werden, hängt von der jeweiligen Zertifizierungsstelle ab.
Es gibt diesbezüglich leider keine einheitliche Regelung unter den Zertifizierungsstellen. Jede CA kann somit selbstständig entscheiden, ob alte Zertifikate weiterhin gültig bleiben oder revoziert werden.
Bei den Anbietern Thawte, GeoTrust (RapidSSL), DigiCert und GlobalSign (AlphaSSL), werden die alten Zertifikate nicht zurückgezogen und bleiben auch nach dem Austausch weiterhin gültig. Sollten Sie dennoch ein ausgetauschtes Zertifikat für ungültig deklarieren wollen, wenden Sie sich bitte an unseren Support.
Bei den Zertifizierungsstellen Sectigo und Certum werden alte Zertifikate in der Regel innerhalb von 14 Tagen zurückgezogen. Wir empfehlen Ihnen daher bei Zertifikaten von diesen Zertifizierungsstellen die Zertifikate immer, schnellstmöglich, an den entsprechenden Orten auszutauschen.
Zertifikatsaustausch: Wie kann ich einen Austausch anstoßen?
1. Loggen Sie sich im ersten Schritt in Ihren PSW-Account ein.
2. Rufen Sie über den Menüpunkt „Zertifikate“ das entsprechende Zertifikat, welches ausgetauscht werden soll, über die Schaltfläche „Anzeigen“ auf.
3. In der Detailansicht des Zertifikates finden Sie auf der rechten Seite bei den Aktionen den Punkt „Zertifikat austauschen“.
4. Nun wird Ihnen der aktuelle CSR des entsprechenden Vorgangs angezeigt. Entfernen Sie diesen aus der Textbox und fügen Sie per Copy & Paste Ihren neu erstellen CSR ein.
Tipp: Einen neuen CSR können Sie auch bequem über den „CSR-Generator“ aus Ihrem PSW-Account über den Reiter „Tools“ erstellen. Eine entsprechende Anleitung finden Sie in unserem Beitrag „Wie erstellt man einen CSR mit dem CSR-Generator der Konsole?„.
5. Sobald Sie auf „Weiter“ gehen, werden Ihnen im nächsten Fenster noch einmal die Inhalte des neuen CSR’s angezeigt.
Hinweis: Bitte beachten Sie, wie oben bereits beschrieben, können weder Inhaberdaten noch die Domain oder weiteren SAN’s abgeändert oder hinzugefügt werden. Etwaige Abweichungen vom Ursprungszertifikat werden beim Austausch nicht berücksichtigt.
6. Mit einem abschließenden Klick auf die Aktion „Austauschen“ wird der kostenlose CSR-Austausch bei der Zertifizierungsstelle eingereicht.
Ob der Austausch geklappt hat, wird Ihnen unmittelbar nach dem Absenden des Austausches angezeigt.
7. Im nächsten Schritt wird nun eine erneute Validierung der Domain angestoßen. Gehen Sie dafür zunächst erneut auf den Menüpunkt „Zertifikate„.
Dort sollte jetzt das ausgetauschte Zertifikat mit dem Status „Ausgetauscht“ markiert sein. Der neue Zertifikatsvorgang wird Ihnen hingegen nun mit dem Status „wird validiert“ angezeigt.
8. Öffnen Sie den neuen Vorgang mit dem Status „wird validiert“ über den Button „Anzeigen„.
Je nachdem welche Validierungsmethode Sie ursprünglich gesetzt hatten, erhalten Sie jetzt eine neue Validierungsmail, einen neuen Hash-Wert oder neue DNS-Werte.
Welche Validierungsmethode Sie gewählt haben, sowie die entsprechenden Werte, werden Ihnen nun direkt in der Detailansicht angezeigt.
Hinweis: Bei Zertifikaten von Certum findet keine erneute Validierung statt. Das neue Zertifikat wird Ihnen im Regelfall nach 2-3 Minuten im Portal direkt zum Download angeboten.
Bei Bedarf können Sie die Validierungsmail auch jederzeit über die Aktion „Bestätigungs-E-Mail versenden“ erneut anstoßen.
Über die Aktion „Bestätigungsadresse ändern“ kann die E-Mail-Adresse, an die die Validierungsmail versendet wird, auch noch einmal angepasst oder gar die ganze Validierungsmethode abgeändert werden.
9. Nach erfolgreicher Validierung wird Ihnen das neue Zertifikat in Ihrem Account zum Download angeboten und kann anschließend auf Ihrem Server installiert werden.
Eine Antwort
Super