SSL-Zertifikat-Generierung: Selbstsigniert und CA

31. März 2026 · 12 Min. Lesezeit

Inhaltsverzeichnis

SSL-Zertifikate verstehen
Selbstsignierte Zertifikate: Wann und wie man sie verwendet
Zertifizierungsstellen: Die Vertrauensgrundlage
Let's Encrypt: Kostenlose und vertrauenswürdige SSL
Kommerzielle SSL-Zertifikate: Zusätzliche Sicherheiten
SSL-Validierungsstufen erkunden
Erweiterte Funktionen: Wildcard-Zertifikate und Automatisierung
Schritt-für-Schritt-Implementierungsleitfaden
Häufige Probleme und Fehlerbehebung
Bewährte Sicherheitspraktiken
Häufig gestellte Fragen
Verwandte Artikel

SSL-Zertifikate verstehen

SSL-Zertifikate (jetzt technisch TLS-Zertifikate, obwohl der Begriff SSL weiterhin verwendet wird) sind digitale Dokumente, die die Identität einer Website authentifizieren und verschlüsselte Verbindungen zwischen Clients und Servern ermöglichen. Wenn Sie das Vorhängeschloss-Symbol in der Adressleiste Ihres Browsers sehen, arbeitet ein SSL-Zertifikat im Hintergrund, um Ihre Daten zu schützen.

Diese Zertifikate erfüllen zwei kritische Funktionen: Sie überprüfen, dass Sie sich mit dem legitimen Server verbinden, den Sie erreichen wollten, und sie stellen einen verschlüsselten Tunnel her, durch den Ihre Daten sicher übertragen werden. Ohne SSL-Zertifikate würden sensible Informationen wie Passwörter, Kreditkartennummern und persönliche Daten im Klartext übertragen und wären anfällig für Abfangen durch böswillige Akteure.

Die Wahl des SSL-Zertifikats hängt von mehreren Faktoren ab:

Validierungsstufe – Wie gründlich die Zertifizierungsstelle Ihre Identität überprüft
Domain-Abdeckung – Einzelne Domain, mehrere Subdomains oder mehrere Domains
Vertrauensanforderungen – Ob Sie öffentliches Browser-Vertrauen oder nur interne Nutzung benötigen
Budgetbeschränkungen – Kostenlose Optionen versus kostenpflichtige Zertifikate mit zusätzlichen Funktionen
Garantie und Support – Versicherungsschutz und technische Unterstützungsstufen

Das Verständnis dieser Faktoren hilft Ihnen, den richtigen Zertifikatstyp für Ihren spezifischen Anwendungsfall auszuwählen, egal ob Sie einen persönlichen Blog, eine E-Commerce-Plattform oder eine interne Unternehmensanwendung absichern.

Selbstsignierte Zertifikate: Wann und wie man sie verwendet

Selbstsignierte Zertifikate sind SSL-Zertifikate, die Sie selbst generieren und signieren, ohne eine Drittanbieter-Zertifizierungsstelle einzubeziehen. Der Server bürgt im Wesentlichen für seine eigene Identität, weshalb Browser ihnen standardmäßig nicht vertrauen.

Diese Zertifikate sind für Verschlüsselungszwecke vollkommen funktionsfähig – sie stellen die gleiche sichere Verbindung her wie CA-signierte Zertifikate. Der Unterschied liegt im Vertrauen: Browser haben keine Möglichkeit zu überprüfen, ob Ihr selbstsigniertes Zertifikat legitim ist, daher zeigen sie Benutzern Sicherheitswarnungen an.

Ideale Anwendungsfälle für selbstsignierte Zertifikate

Selbstsignierte Zertifikate eignen sich hervorragend für bestimmte Szenarien, in denen öffentliches Vertrauen nicht erforderlich ist:

Entwicklungsumgebungen – Lokales Testen der HTTPS-Funktionalität vor der Bereitstellung
Interne Netzwerke – Absicherung der Kommunikation zwischen Servern, die nie dem öffentlichen Internet ausgesetzt sind
IoT-Geräte – Eingebettete Systeme, die innerhalb eines kontrollierten Netzwerks kommunizieren
Test- und Staging-Server – Vorproduktionsumgebungen, in denen Sicherheitswarnungen akzeptabel sind
Persönliche Projekte – Heimlabore und Lernumgebungen

Generierung eines selbstsignierten Zertifikats

Das gängigste Tool zur Generierung selbstsignierter Zertifikate ist OpenSSL, eine robuste kryptografische Bibliothek, die auf den meisten Systemen verfügbar ist. Hier ist ein grundlegender Befehl zum Erstellen eines selbstsignierten Zertifikats:

openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -sha256 -days 365 -nodes -subj "/CN=localhost"

Lassen Sie uns aufschlüsseln, was jeder Parameter bewirkt:

req -x509 – Erstellt ein selbstsigniertes Zertifikat anstelle einer Zertifikatsignierungsanforderung
-newkey rsa:4096 – Generiert einen neuen 4096-Bit-RSA-Privatschlüssel (stärker als die standardmäßigen 2048-Bit)
-keyout key.pem – Speichert den privaten Schlüssel in dieser Datei
-out cert.pem – Speichert das Zertifikat in dieser Datei
-sha256 – Verwendet SHA-256-Hash-Algorithmus (sicher und weithin unterstützt)
-days 365 – Zertifikat gültig für ein Jahr
-nodes – Kein Passwortschutz für den privaten Schlüssel (nützlich für automatisierte Systeme)
-subj "/CN=localhost" – Legt den Common Name ohne interaktive Eingabeaufforderungen fest

Profi-Tipp: Für Entwicklungsarbeiten können Sie unser Zertifikatsgenerator-Tool verwenden, um selbstsignierte Zertifikate mit einer benutzerfreundlichen Oberfläche zu erstellen, ohne Kommandozeilen-Kenntnisse.

Erweitertes selbstsigniertes Zertifikat mit Subject Alternative Names

Moderne Browser erfordern Subject Alternative Names (SANs) für die ordnungsgemäße Zertifikatsvalidierung. So erstellen Sie ein Zertifikat mit mehreren Domainnamen:

openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -sha256 -days 365 -nodes \
  -subj "/CN=localhost" \
  -addext "subjectAltName=DNS:localhost,DNS:*.localhost,IP:127.0.0.1"

Dieses Zertifikat funktioniert für localhost, jede Subdomain von localhost und die IP-Adresse 127.0.0.1, was es vielseitig für lokale Entwicklungsszenarien macht.

Vorteile und Einschränkungen

Vorteile	Einschränkungen
Völlig kostenlos zu generieren	Browser-Sicherheitswarnungen für Benutzer
Keine externen Abhängigkeiten oder Genehmigungsprozesse	Kein öffentliches Vertrauen oder Validierung
Volle Kontrolle über Zertifikatseigenschaften	Kann nicht für öffentlich zugängliche Websites verwendet werden
Sofortige Generierung und Bereitstellung	Erfordert manuelle Vertrauenskonfiguration auf Client-Geräten
Perfekt für Tests und Entwicklung	Keine Garantie oder Haftungsschutz
Funktioniert offline ohne Internetverbindung	Kann durch Unternehmenssicherheitsrichtlinien blockiert werden

Schneller Tipp: Verwenden Sie niemals selbstsignierte Zertifikate in Produktionsumgebungen, die für die Öffentlichkeit zugänglich sind. Die Sicherheitswarnungen werden das Benutzervertrauen beschädigen und möglicherweise Besucher von Ihrer Website vertreiben.

Zertifizierungsstellen: Die Vertrauensgrundlage

Zertifizierungsstellen (CAs) sind vertrauenswürdige Drittorganisationen, die Identitäten überprüfen und SSL-Zertifikate ausstellen. Sie bilden das Rückgrat der Vertrauensinfrastruktur des Internets und fungieren als digitale Notare, die für die Authentizität von Websites bürgen.

Wenn eine CA ein Zertifikat ausstellt, sagt sie im Wesentlichen: „Wir haben überprüft, dass diese Organisation diese Domain kontrolliert, und wir sind bereit, unseren Ruf darauf zu setzen." Browser und Betriebssysteme sind mit einer Liste vertrauenswürdiger Root-CAs vorinstalliert, weshalb CA-signierte Zertifikate nahtlos ohne Sicherheitswarnungen funktionieren.

Wie Zertifizierungsstellen funktionieren

Das CA-System arbeitet nach einem hierarchischen Vertrauensmodell:

Root-CAs – Die ultimativen Vertrauensanker, deren Zertifikate in Browser und Betriebssysteme eingebettet sind
Intermediate-CAs – Von Root-CAs autorisiert, Zertifikate in ihrem Namen auszustellen
Endentitätszertifikate – Die SSL-Zertifikate, die auf Webservern installiert sind

Diese Hierarchie bietet Sicherheit durch Kompartimentierung. Private Schlüssel von Root-CAs werden in hochsicheren, oft offline gehaltenen Umgebungen aufbewahrt, während Intermediate-CAs die tägliche Zertifikatsausstellung handhaben. Wenn eine Intermediate-CA kompromittiert wird, kann die Root-CA ihre Autorität widerrufen, ohne die gesamte Vertrauenskette zu beeinträchtigen.

Wichtige Zertifizierungsstellen

Die CA-Landschaft umfasst sowohl kommerzielle Anbieter als auch gemeinnützige Organisationen:

DigiCert – Eine der größten kommerziellen CAs, bekannt für Unternehmenslösungen
Sectigo (ehemals Comodo) – Bietet eine breite Palette von Zertifikatstypen zu wettbewerbsfähigen Preisen
GlobalSign – Spezialisiert auf Unternehmens-PKI und IoT-Sicherheit
Let's Encrypt – Gemeinnützige Organisation, die kostenlose, automatisierte Zertifikate bereitstellt
GoDaddy – Beliebt bei kleinen Unternehmen und einzelnen Website-Besitzern
Entrust – Konzentriert sich auf hochsichere Zertifikate für Finanzinstitute

Let's Encrypt: Kostenlose und vertrauenswürdige SSL

Let's Encrypt revolutionierte die Zugänglichkeit von SSL-Zertifikaten bei seiner Einführung im Jahr 2016. Diese gemeinnützige Zertifizierungsstelle, gesponsert von großen Technologieunternehmen und Organisationen, bietet kostenlose SSL-Zertifikate mit vollem Browser-Vertrauen.

Die Mission des Projekts ist es, ein sichereres und datenschutzfreundlicheres Web zu schaffen, indem Kosten- und Komplexitätsbarrieren für die HTTPS-Einführung beseitigt werden. Heute stellt Let's Encrypt mehr Zertifikate aus als alle anderen CAs zusammen und sichert Hunderte Millionen von Websites.

Hauptmerkmale von Let's Encrypt

Völlig kostenlos – Keine versteckten Kosten oder Premium-Stufen
Automatisierte Ausstellung – Zertifikate können ohne menschliches Eingreifen bezogen und erneuert werden
Nur Domain-Validierung – Konzentriert sich auf die Überprüfung der Domain-Kontrolle, nicht der Organisationsidentität
90-Tage-Gültigkeit – Kürzere Lebensdauer fördert Automatisierung und reduziert Risiken durch kompromittierte Zertifikate
Wildcard-Unterstützung – Kann unbegrenzte Subdomains mit einem einzigen Zertifikat absichern
Volles Browser-Vertrauen – Von allen großen Browsern und Betriebssystemen anerkannt

Erste Schritte mit Let's Encrypt

Die empfohlene Methode zur Verwendung von Let's Encrypt ist über Certbot, einen automatisierten Client, der Zertifikatsausstellung und -erneuerung handhabt. Hier ist ein grundlegender Workflow für einen Webserver:

# Certbot installieren (Ubuntu/Debian-Beispiel)
sudo apt-get update
sudo apt-get install certbot python3-certbot-nginx

# Zertifikat für Nginx beziehen und installieren
sudo certbot --nginx -d example.com -d www.example.com

# Automatische Erneuerung testen
sudo certbot renew --dry-run

Certbot konfiguriert automatisch Ihren Webserver, bezieht das Zertifikat und richtet die automatische Erneuerung ein. Der gesamte Prozess dauert nur wenige Minuten.

Alternative ACME-Clients

Während Certbot der offizielle Client ist, bieten mehrere Alternativen unterschiedliche Funktionen und Ansätze:

acme.sh – Leichtgewichtiges Shell-Skript mit minimalen Abhängigkeiten
Caddy – Webserver mit integriertem automatischem HTTPS über Let's Encrypt
Traefik – Reverse-Proxy mit nativer Let's Encrypt-Integration
win-acme – Windows-fokussierter Client mit GUI und geplanten Aufgaben

Profi-Tipp: Let's Encrypt verwendet das ACME-Protokoll für die Zertifikatsausstellung. Das Verständnis von ACME-Challenges (HTTP-01, DNS-01, TLS-ALPN-01) hilft bei der Fehlerbehebung und der Auswahl der richtigen Validierungsmethode für Ihre Infrastruktur.

Wann Let's Encrypt möglicherweise nicht ideal ist

Trotz seiner Vorteile ist Let's Encrypt nicht für jedes Szenario perfekt:

Organisationsvalidierungsbedarf – Let's Encrypt bietet nur Domain-Validierung
Extended-Validation-Anforderungen – Nicht verfügbar bei Let's Encrypt
Garantieanforderungen – Keine finanzielle Garantie oder Haftungsdeckung
Längere Gültigkeitszeiträume – Einige Organisationen bevorzugen jährliche Zertifikate aus administrativen Gründen
Offline- oder luftabgeschottete Systeme – Erfordern Internetverbindung für die Validierung

Kommerzielle SSL-Zertifikate: Zusätzliche Sicherheiten

Kommerzielle SSL-Zertifikate von kostenpflichtigen Zertifizierungsstellen bieten Funktionen und Sicherheiten, die über das hinausgehen, was kostenlose Optionen bieten. Während die Verschlüsselungsstärke identisch mit Let's Encrypt ist, beinhalten kommerzielle Zertifikate zusätzliche Vorteile, die für bestimmte Anwendungsfälle wichtig sind.

Warum kommerzielle Zertifikate wählen

Organisationen entscheiden sich aus mehreren überzeugenden Gründen für kostenpflichtige Zertifikate:

Extended Validation – Anzeige des Firmennamens in der Browser-Adressleiste (obwohl diese Funktion auslaufen wird)
Finanzielle Garantien – Deckung von 10.000 bis 2.000.000 US-Dollar für zertifikatsbezogene Sicherheitsverletzungen
Dedizierter Support – Telefon- und E-Mail-Unterstützung für Installation und Fehlerbehebung
Längere Gültigkeit – Bis zu 397 Tage (maximal von Browser-Standards erlaubt)
Organisationsvalidierung – Verifizierte Unternehmensinformationen in Zertifikatsdetails
Vertrauenssiegel – Anzeigbare Abzeichen, die das Kundenvertrauen erhöhen können
Mehrjährige Käufe – Mehrere Jahre im Voraus kaufen (obwohl Zertifikate jährlich neu ausgestellt werden müssen)

Preise für kommerzielle Zertifikate

Die Preise variieren erheblich je nach Validierungsstufe und Funktionen:

Zertifikatstyp	Typische jährliche Kosten	Am besten für
Domain-Validierung (DV)	Related Tools 🔧 Regex Tester 🔧 Lorem Ipsum 🔧 Random Number 🔧 Color Palette 📚 You May Also Like Barcode Formats: UPC, EAN, Code 128 Explained Hash Generation: Algorithms and Security Mock Data Generation for API Development Random Data Generation for Testing Design Color Palette Gene…Gradient Generator Box Shadow Generator Color Picker Text Password Generator Random Name Genera… Code Uuid Generator Regex Generator Hash Generator Media Qr Code Generator Barcode Generator Placeholder Image Favicon Generator Company About Blog Contact Sitemap © 2026 GenKit. All processing happens in your browser. Privacy Terms More Tools: go-calc conv-kit img-kit the-pdf We use cookies for analytics. By continuing, you agree to our Privacy Policy.

Zertifikatstyp

Typische jährliche Kosten

Am besten für

Domain-Validierung (DV)

We use cookies for analytics. By continuing, you agree to our Privacy Policy.