Wie man ein SSL-Zertifikat auf einer Domain installiert

Ein SSL-Zertifikat (Secure Sockets Layer / TLS) ist eine kryptografische Berechtigung, die von einer vertrauenswürdigen Zertifizierungsstelle (CA) ausgestellt wird. Es authentifiziert die Identität Ihres Servers und stellt einen verschlüsselten Kanal zwischen dem Server und dem Browser des Clients her. Bei korrekter Installation wird Ihre Website von http:// auf https:// umgestellt, das Browser-Schloss aktiviert und die Man-in-the-Middle-Abfangung übertragener Daten verhindert.

Für SEO behandelt Google HTTPS seit 2014 als bestätigtes Ranking-Signal. Für Nutzer löst ein fehlendes oder falsch konfiguriertes Zertifikat Browser-Sicherheitswarnungen aus, die die Konversionsraten zerstören. Ob Sie eine einzelne Landing Page oder eine Multi-Domain-Infrastruktur verwalten – SSL richtig einzurichten und beizubehalten ist unverzichtbar.

Voraussetzungen vor dem Start

Bevor Sie eine einzige Konfigurationsdatei anfassen, stellen Sie sicher, dass Folgendes vorhanden ist:

• Ein registrierter Domainname, der auf die IP-Adresse Ihres Servers zeigt, mit vollständig propagiertem DNS. Sie können eine Domain über Domain-Registrierung registrieren oder übertragen.
• Ein SSL-Zertifikatspaket von einer CA. Dies umfasst in der Regel:

certificate.crt — Ihr primäres signiertes Zertifikat
private.key — der private Schlüssel, der zusammen mit Ihrem CSR generiert wurde
ca_bundle.crt — die Zwischen-CA-Kette (manchmal auch Chain-Datei genannt)
Server- oder Control-Panel-Zugang — entweder cPanel/Plesk-Zugangsdaten oder SSH-Root-/Sudo-Zugang zum Server.
Webserver-Software — Apache oder Nginx, laufend und für Ihre Domain konfiguriert.
Offener Port 443 — stellen Sie sicher, dass Ihre Firewall eingehenden TCP-Verkehr auf Port 443 erlaubt, bevor Sie etwas installieren.

Wenn Sie eine VPS-Hosting-Umgebung betreiben, haben Sie vollen Root-Zugang und können jede der drei unten beschriebenen Methoden verwenden. Shared-Hosting-Nutzer sind in der Regel auf die cPanel-Methode beschränkt.
Den richtigen SSL-Zertifikatstyp wählen
Nicht alle Zertifikate sind gleichwertig. Die Wahl des falschen Typs verschwendet Geld oder hinterlässt Lücken im Schutz.



Zertifikatstyp
Validierungsstufe
Ausstellungszeit
Browser-Schloss
Am besten geeignet für








—
—
—
—
—








DV (Domain Validated)
Nur Domain-Kontrolle
Minuten
Ja
Blogs, Entwicklungsumgebungen, kleine Websites








OV (Organization Validated)
Domain + Organisationsidentität
1–3 Tage
Ja
Unternehmenswebsites, SaaS-Plattformen








EV (Extended Validation)
Vollständige Prüfung der juristischen Person
3–7 Tage
Ja (Organisationsname in einigen Browsern)
E-Commerce, Banking, hochvertrauenswürdige Portale








Wildcard (`*.domain.com`)
DV oder OV
Minuten–Tage
Ja
Deployments mit mehreren Subdomains








Multi-Domain (SAN)
DV, OV oder EV
Variiert
Ja
Mehrere verschiedene Domains auf einem Zertifikat








Let’s Encrypt (kostenloses DV)
Nur Domain-Kontrolle
Sekunden
Ja
Jede öffentlich zugängliche Domain





Für produktiven E-Commerce oder jede Website, die Zahlungskartendaten verarbeitet, werden OV- oder EV-Zertifikate von einer kommerziellen CA dringend empfohlen. Let’s Encrypt DV-Zertifikate sind vollständig vertrauenswürdig und für die meisten Anwendungsfälle hervorragend geeignet, enthalten jedoch keine Überprüfung der Organisationsidentität.
Sie können kommerzielle Zertifikate direkt über SSL-Zertifikate erwerben, wenn Sie OV-, EV- oder Wildcard-Abdeckung mit dediziertem Support benötigen.
Methode 1: Installation eines SSL-Zertifikats über cPanel
Die grafische Oberfläche von cPanel ist der schnellste Weg für Nutzer von verwalteten oder Shared-Web-Hosting-Tarifen. Wenn Sie eine cPanel-verwaltete VPS-Umgebung bevorzugen, bietet ein VPS mit cPanel dieselbe Oberfläche mit voller Serverkontrolle.
Schritt 1: Bei cPanel anmelden
Navigieren Sie zu Ihrer cPanel-Anmelde-URL:
https://yourdomain.com:2083
Authentifizieren Sie sich mit Ihren Hosting-Zugangsdaten.
Schritt 2: Zum SSL/TLS-Manager navigieren
Klicken Sie im Bereich Sicherheit des cPanel-Dashboards auf SSL/TLS. Wählen Sie dann SSL-Sites verwalten unter der Überschrift „SSL für Ihre Website installieren und verwalten (HTTPS)”.
Schritt 3: Ziel-Domain auswählen
Verwenden Sie das Dropdown-Menü Domain, um die Domain auszuwählen, die Sie sichern möchten. Wenn die Domain nicht erscheint, bestätigen Sie, dass sie als Addon- oder primäre Domain in cPanel hinzugefügt wurde.
Schritt 4: Zertifikatskomponenten einfügen
Öffnen Sie jede Zertifikatsdatei in einem Nur-Text-Editor (nicht Word) und fügen Sie den Inhalt in die entsprechenden Felder ein:

Zertifikat (CRT): Inhalt von certificate.crt

Schritt 5: Installieren und überprüfen

Klicken Sie auf Zertifikat installieren. cPanel überprüft das Schlüssel-Zertifikat-Paar vor der Bestätigung. Wenn eine Nichtübereinstimmung zwischen dem privaten Schlüssel und dem öffentlichen Schlüssel des Zertifikats vorliegt, lehnt cPanel die Installation mit einer expliziten Fehlermeldung ab — ignorieren Sie diese nicht.

Besuchen Sie nach der Installation https://yourdomain.com und bestätigen Sie, dass das Schloss erscheint. Testen Sie auch https://www.yourdomain.com, wenn die Subdomain www verwendet wird.

Häufige cPanel-Falle: AutoSSL (die integrierte Let’s Encrypt-Integration von cPanel) kann ein manuell installiertes Zertifikat beim nächsten Erneuerungszyklus überschreiben. Wenn Sie ein kommerzielles Zertifikat installiert haben, deaktivieren Sie AutoSSL für diese Domain unter cPanel > SSL/TLS-Status, um eine unbeabsichtigte Ersetzung zu verhindern.

Methode 2: Automatische Installation mit Let’s Encrypt und Certbot

Certbot ist der Referenz-ACME-Client für Let’s Encrypt. Er übernimmt CSR-Generierung, Domain-Validierung, Zertifikatsabruf, Webserver-Konfiguration und Erneuerung – alles automatisch. Dies ist der richtige Ansatz für jeden Linux-Server, den Sie direkt verwalten.

Schritt 1: Mit dem Server über SSH verbinden

ssh username@your-server-ip

Schritt 2: Certbot installieren

Debian / Ubuntu (Apache):

sudo apt update && sudo apt install -y certbot python3-certbot-apache

Debian / Ubuntu (Nginx):

sudo apt update && sudo apt install -y certbot python3-certbot-nginx

RHEL / AlmaLinux / Rocky Linux (Apache):

sudo dnf install -y epel-release
sudo dnf install -y certbot python3-certbot-apache

RHEL / AlmaLinux / Rocky Linux (Nginx):

sudo dnf install -y epel-release
sudo dnf install -y certbot python3-certbot-nginx

Schritt 3: Zertifikat abrufen und installieren

Für Apache:

sudo certbot --apache -d yourdomain.com -d www.yourdomain.com

Für Nginx:

sudo certbot --nginx -d yourdomain.com -d www.yourdomain.com

Certbot führt standardmäßig eine HTTP-01-Challenge durch: Es platziert eine temporäre Datei in Ihrem Web-Root und fordert die Server von Let’s Encrypt auf, diese über Port 80 abzurufen. Das bedeutet, dass Port 80 offen sein muss und Ihr DNS korrekt aufgelöst werden muss, bevor Sie den Befehl ausführen.

Wenn Sie dazu aufgefordert werden, wählen Sie die Option, den gesamten HTTP-Verkehr auf HTTPS umzuleiten. Dies schreibt eine permanente 301-Weiterleitung in Ihre Serverkonfiguration, was das korrekte Verhalten für SEO und Sicherheit ist.

Schritt 4: Automatische Erneuerung überprüfen

Let’s Encrypt-Zertifikate laufen nach 90 Tagen ab. Certbot installiert einen systemd-Timer (oder einen Cron-Job auf älteren Systemen), der zweimal täglich eine Erneuerung versucht, wenn das Zertifikat innerhalb von 30 Tagen vor dem Ablauf liegt. Testen Sie die Erneuerungslogik, ohne tatsächlich zu erneuern:

sudo certbot renew --dry-run

Ein erfolgreicher Trockenlauf bestätigt, dass die Erneuerungspipeline intakt ist. Überprüfen Sie den Timer-Status mit:

systemctl status certbot.timer

Sonderfall — DNS-01-Challenge für Wildcard-Zertifikate: Die HTTP-01-Challenge kann keine Wildcard-Domains (*.yourdomain.com) validieren. Verwenden Sie für Wildcards die DNS-01-Challenge, bei der Sie einen _acme-challenge TXT-Eintrag in Ihrer DNS-Zone erstellen müssen:

sudo certbot certonly --manual --preferred-challenges dns -d "*.yourdomain.com" -d yourdomain.com

Folgen Sie den Anweisungen, um den TXT-Eintrag hinzuzufügen, warten Sie auf die DNS-Propagierung und drücken Sie dann Enter, um die Validierung abzuschließen.

Methode 3: Manuelle SSL-Installation über SSH (Apache und Nginx)

Die manuelle Installation gibt Ihnen präzise Kontrolle über die Zertifikatsplatzierung, Cipher-Suites und die Virtual-Host-Konfiguration. Dies ist der bevorzugte Ansatz für Produktionsserver, auf denen Sie spezifische TLS-Richtlinien durchsetzen müssen.

Schritt 1: Zertifikatsdateien auf den Server hochladen

Verwenden Sie scp, um Dateien von Ihrem lokalen Rechner zu übertragen:

scp certificate.crt private.key ca_bundle.crt username@your-server-ip:/tmp/

Verschieben Sie sie dann in ein sicheres, nicht über das Web zugängliches Verzeichnis:

sudo mkdir -p /etc/ssl/yourdomain
sudo mv /tmp/certificate.crt /etc/ssl/yourdomain/
sudo mv /tmp/private.key /etc/ssl/yourdomain/
sudo mv /tmp/ca_bundle.crt /etc/ssl/yourdomain/
sudo chmod 600 /etc/ssl/yourdomain/private.key
sudo chmod 644 /etc/ssl/yourdomain/certificate.crt /etc/ssl/yourdomain/ca_bundle.crt

Wichtiger Sicherheitshinweis: Der private Schlüssel darf niemals für alle lesbar sein. Die Berechtigung chmod 600 beschränkt den Zugriff auf den Root-Benutzer. Auf Systemen, auf denen Apache oder Nginx als Nicht-Root-Benutzer ausgeführt wird (z. B. www-data), liest der Dienst den Schlüssel beim Start noch als Root, bevor er die Berechtigungen abgibt — daher ist 600 im Besitz von Root korrekt.

Schritt 2a: Apache konfigurieren

Bearbeiten Sie die Virtual-Host-Konfiguration für Ihre Domain:

sudo nano /etc/apache2/sites-available/yourdomain.com.conf

Fügen Sie den SSL-Virtual-Host-Block hinzu oder ändern Sie ihn:

<VirtualHost *:80>
    ServerName yourdomain.com
    ServerAlias www.yourdomain.com
    Redirect permanent / https://yourdomain.com/
</VirtualHost>

<VirtualHost *:443>
    ServerName yourdomain.com
    ServerAlias www.yourdomain.com

    SSLEngine on
    SSLCertificateFile      /etc/ssl/yourdomain/certificate.crt
    SSLCertificateKeyFile   /etc/ssl/yourdomain/private.key
    SSLCertificateChainFile /etc/ssl/yourdomain/ca_bundle.crt

    # Modern TLS hardening
    SSLProtocol             all -SSLv3 -TLSv1 -TLSv1.1
    SSLCipherSuite          ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384
    SSLHonorCipherOrder     off
    SSLSessionTickets       off

    Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"

    DocumentRoot /var/www/yourdomain
</VirtualHost>

Aktivieren Sie das SSL-Modul und die Site, dann starten Sie Apache neu:

sudo a2enmod ssl headers
sudo a2ensite yourdomain.com.conf
sudo apache2ctl configtest
sudo systemctl restart apache2

Führen Sie immer apache2ctl configtest aus, bevor Sie neu starten. Ein Syntaxfehler in der Konfigurationsdatei bringt den gesamten Webserver zum Absturz.

Schritt 2b: Nginx konfigurieren

Bearbeiten Sie den Server-Block Ihrer Domain:

sudo nano /etc/nginx/sites-available/yourdomain.com

Fügen Sie die folgende Konfiguration hinzu:

server {
    listen 80;
    server_name yourdomain.com www.yourdomain.com;
    return 301 https://yourdomain.com$request_uri;
}

server {
    listen 443 ssl http2;
    server_name yourdomain.com www.yourdomain.com;

    ssl_certificate      /etc/ssl/yourdomain/certificate.crt;
    ssl_certificate_key  /etc/ssl/yourdomain/private.key;
    ssl_trusted_certificate /etc/ssl/yourdomain/ca_bundle.crt;

    # Modern TLS hardening
    ssl_protocols        TLSv1.2 TLSv1.3;
    ssl_ciphers          ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384;
    ssl_prefer_server_ciphers off;
    ssl_session_cache    shared:SSL:10m;
    ssl_session_timeout  1d;
    ssl_session_tickets  off;

    # OCSP Stapling
    ssl_stapling         on;
    ssl_stapling_verify  on;
    resolver             8.8.8.8 8.8.4.4 valid=300s;

    add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always;

    root /var/www/yourdomain;
    index index.html index.php;
}

Aktivieren Sie die Site und testen Sie:

sudo ln -s /etc/nginx/sites-available/yourdomain.com /etc/nginx/sites-enabled/
sudo nginx -t
sudo systemctl restart nginx

OCSP-Stapling erklärt: Ohne Stapling muss der Browser bei jedem TLS-Handshake den OCSP-Responder der CA kontaktieren, um zu prüfen, ob das Zertifikat widerrufen wurde. Dies erhöht die Latenz und gibt Browsing-Daten an die CA weiter. Mit ssl_stapling on speichert Nginx die OCSP-Antwort im Cache und stellt sie direkt dem Client zur Verfügung, wodurch der Roundtrip entfällt.

TLS-Härtung: Was die ursprüngliche Konfiguration vermissen lässt

Ein mit Standardeinstellungen installiertes Zertifikat ist sicher, aber nicht gehärtet. Die folgende Tabelle fasst die zusätzlichen Direktiven zusammen, die eine bestandene SSL-Labs-Note von einem A+ unterscheiden:

SSL-Installation überprüfen und testen

Die Installation ist erst abgeschlossen, wenn Sie das Ergebnis aus einer externen Perspektive überprüft haben.

Browser-Überprüfung

Besuchen Sie https://yourdomain.com. Das Schloss-Symbol bestätigt ein gültiges, vertrauenswürdiges Zertifikat. Klicken Sie auf das Schloss und überprüfen Sie die Zertifikatsdetails: Stellen Sie sicher, dass der Common Name oder Subject Alternative Name mit Ihrer Domain übereinstimmt, und überprüfen Sie das Ablaufdatum.

SSL-Labs-Servertest

Navigieren Sie zu SSL Labs und geben Sie Ihre Domain ein. Der Bericht bewertet Ihre TLS-Konfiguration von F bis A+ und markiert spezifische Probleme: schwache Cipher-Suites, fehlende Chain-Zertifikate, fehlende HSTS und Protokollunterstützung. Eine A+-Bewertung erfordert HSTS mit einem langen max-age und keine Unterstützung für TLS 1.0 oder 1.1.

Befehlszeilenüberprüfung mit OpenSSL

openssl s_client -connect yourdomain.com:443 -servername yourdomain.com

Dies gibt die vollständige Zertifikatskette, die ausgehandelte Cipher-Suite und die TLS-Version aus. Suchen Sie am Ende der Ausgabe nach Verify return code: 0 (ok). Jeder Rückgabecode ungleich null weist auf ein Chain- oder Vertrauensproblem hin.

So überprüfen Sie das Ablaufdatum des Zertifikats direkt:

echo | openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | openssl x509 -noout -dates

Auf gemischte Inhalte prüfen

Nach der Aktivierung von HTTPS sind gemischte Inhalte das häufigste verbleibende Problem. Es tritt auf, wenn eine HTTPS-Seite Ressourcen (Bilder, Skripte, Stylesheets, iFrames) über HTTP lädt. Gemischte Inhalte blockieren aktive Ressourcen (Skripte, iFrames) in modernen Browsern vollständig und erzeugen Konsolenwarnungen für passive Ressourcen (Bilder).

Beheben Sie gemischte Inhalte durch:

1. Aktualisierung aller fest codierten http:// URLs in Ihrem CMS oder HTML auf https:// oder protokollrelative //.
2. Hinzufügen eines Content Security Policy-Headers mit upgrade-insecure-requests als temporärem Auffangbecken:

add_header Content-Security-Policy "upgrade-insecure-requests" always;

1. Verwendung der Browser-DevTools (F12 > Konsole), um die spezifischen betroffenen Ressourcen zu identifizieren.

Zertifikatserneuerung und Lebenszyklusmanagement

Für manuell verwaltete kommerzielle Zertifikate setzen Sie eine Kalender-Erinnerung 30 Tage vor dem Ablauf. Ein abgelaufenes Zertifikat ist schlimmer als kein Zertifikat — Browser zeigen einen ganzseitigen Sperrfehler an, den Benutzer nicht einfach umgehen können.

Wenn Sie mehrere Domains oder eine stark frequentierte Anwendung auf einem Dedizierten Server betreiben, sollten Sie eine zentrale Zertifikatsverwaltungslösung wie cert-manager (Kubernetes), Vault PKI oder ein Wildcard-Zertifikat implementieren, um den Erneuerungsaufwand über Subdomains hinweg zu reduzieren.

Entscheidungsmatrix: Welche Installationsmethode verwenden

Technische Checkliste der wichtigsten Erkenntnisse

• Bestätigen Sie, dass Port 443 in Ihrer Firewall geöffnet ist, bevor Sie ein Zertifikat installieren.
• Überprüfen Sie immer, ob der private Schlüssel zum Zertifikat passt, bevor Sie es installieren: openssl x509 -noout -modulus -in certificate.crt | md5sum und openssl rsa -noout -modulus -in private.key | md5sum müssen identische Hashes erzeugen.
• Fügen Sie die vollständige Zwischen-Chain (ca_bundle.crt) ein — das Weglassen führt zu Vertrauensfehlern auf mobilen Browsern, auch wenn Desktop-Chrome ein Schloss anzeigt.
• Setzen Sie chmod 600 für die private Schlüsseldatei; stellen Sie sie niemals in einem über das Web zugänglichen Verzeichnis bereit.
• Deaktivieren Sie TLS 1.0 und TLS 1.1 in Ihrer Webserver-Konfiguration — diese Protokolle sind veraltet und angreifbar.
• Aktivieren Sie HSTS mit includeSubDomains erst, nachdem Sie bestätigt haben, dass alle Subdomains ebenfalls HTTPS bereitstellen.
• Führen Sie certbot renew --dry-run nach der ersten Certbot-Einrichtung aus, um zu bestätigen, dass die Erneuerungspipeline funktioniert.
• Testen Sie nach jeder Installation oder Konfigurationsänderung mit SSL Labs.
• Prüfen Sie sofort nach dem Wechsel zu HTTPS auf gemischte Inhalte — diese beeinträchtigen die Funktionalität unbemerkt.
• Verwenden Sie für Let’s Encrypt Wildcard-Zertifikate die DNS-01-Challenge, nicht HTTP-01.

Häufig gestellte Fragen

Was ist der Unterschied zwischen einem SSL-Zertifikat und einem TLS-Zertifikat?

SSL (Secure Sockets Layer) ist das veraltete Protokoll, das 1999 abgekündigt wurde. Sein Nachfolger, TLS (Transport Layer Security), ist das, was alle modernen HTTPS-Verbindungen tatsächlich verwenden. Der Begriff „SSL-Zertifikat” hat sich als Branchenjargon erhalten, aber jedes heute ausgestellte Zertifikat arbeitet über TLS 1.2 oder TLS 1.3.

Warum wird mein SSL-Zertifikat in Chrome als vertrauenswürdig angezeigt, aber nicht auf Android-Geräten?

Dies ist fast immer auf ein fehlendes Zwischen-Zertifikat zurückzuführen. Desktop-Chrome verfügt über einen aggressiven Zertifikatsabrufmechanismus (AIA-Fetching), der die Chain rekonstruieren kann, auch wenn sie nicht auf dem Server vorhanden ist. Der Systemspeicher von Android tut dies nicht. Fügen Sie immer die ca_bundle.crt Chain-Datei in Ihre Serverkonfiguration ein.

Kann ich ein SSL-Zertifikat auf einer Domain installieren, die noch keine Website hat?

Ja, aber nur wenn der DNS-A-Eintrag der Domain auf die IP-Adresse des Servers zeigt. Die CA muss den Server erreichen können, um die Domain-Validierung abzuschließen. Wenn DNS noch nicht propagiert ist, schlägt die Challenge fehl.

Wie erneuere ich ein kommerzielles SSL-Zertifikat ohne Ausfallzeit?

Generieren Sie einen neuen CSR auf dem Server, reichen Sie ihn bei Ihrer CA ein, erhalten Sie das neue Zertifikatspaket, ersetzen Sie die Zertifikatsdateien auf dem Server und laden Sie den Webserver neu (systemctl reload apache2 oder systemctl reload nginx). Ein Reload wendet das neue Zertifikat an, ohne bestehende Verbindungen zu unterbrechen, im Gegensatz zu einem vollständigen Neustart.

Leitet die Installation eines SSL-Zertifikats HTTP automatisch auf HTTPS um?

Nein. Die Installation eines Zertifikats aktiviert nur HTTPS. Die HTTP-zu-HTTPS-Weiterleitung muss separat in Ihrem Virtual Host oder Server-Block konfiguriert werden. Die Plugins --apache und --nginx von Certbot bieten an, diese Weiterleitung während der Installation automatisch zu konfigurieren. Fügen Sie bei manuellen Installationen eine explizite Redirect permanent-Direktive (Apache) oder return 301-Direktive (Nginx) im Port-80-Server-Block hinzu.