/
Mitwirkungspflichten: TLS-Zertifikat

PEIQ Knowledge Base

Mitwirkungspflichten: TLS-Zertifikat

Owned by Melanie Lutz
2023-12-05
3 min read

Das PEIQ PRINT PPS wird standardmäßig dem HTTPS-Standard zufolge verschlüsselt, um Daten sicher übertragen zu können. Für die Verschlüsselung werden serverseitig TLS Zertifikate hinterlegt. Entweder wird hierbei die Beschaffung, Einbindung und regelmäßige Aktualisierung des TLS-Zertifikats von PEIQ als Service komplett übernommen oder der bzw. die Kund:in übernimmt dies selbst.

Beschreibung

Zum Einrichten des PRINT PPS wird ein TLS-(Wildcard)-Zertifikat benötigt:

  1. Zertifikatsmanagement durch PEIQ

  • Die Beschaffung, Einbindung und regelmäßige Aktualisierung des TLS-Zertifikats kann als kostenpflichtiger Service komplett von PEIQ übernommen werden.

  • Hierfür müssen Kund:innen eine E-Mail-Weiterleitung zur Validierung der Domain für die benötigten Zertifakte anlegen: hostmaster@ihre-domain.tld weiterleiten auf tls@peiq.de
    ihre-domain.tld muss dabei identisch mit der verwendeten Hauptdomain sein.

  1. Zertifikatsmangement durch Kund:innen

  • Anlieferung folgender Dateien im PEM-Format:

    • Zertifikat als domain.tld.crt

    • Ggf. benötigte Chain-Zertifikate als domain.tld.cabundle

    • Zertifikat + Chain-Zertifikat als domain.tld.chained.crt

    • Private-Key (ohne Passwort) als domain.tld.key; zum Einsatz bei AWS-Cldoufront darf der Private Key nur 2048 bit groß sein.

Mitwirkung

  1. Zertifikatsmanagement durch PEIQ

  • Anlegen einer E-Mail-Weiterleitung (Forward) zur Validierung der Domain für die benötigten TLS-Zertifikate an status:PFLICHT. Zur Zertifikatsbeschaffung bei AWS müssen Kund:innen eine E-Mail-Weiterleitung zur Validierung der Domain für die benötigten TLS-Zertifikate anlegen: hostmaster@ihre-domain.tld weiterleiten auf » tls@peiq.de

    ihre-domain.tld muss dabei identisch mit der verwendeten Hauptdomain sein.

  • Information an PEIQ, sobald die E-Mail-Weiterleitung eingerichtet wurde.

Die Adresse hostmaster@domain.tld darf nicht anderweitig genutzt werden, da alle E-Mails an PEIQ weitergeleitet werden.

Die Weiterleitung von hostmaster@domain.tld darf nach der initialen Zertifikatsvalidierung nicht gelöscht oder deaktiviert werden. Hier kommen unter Umständen sehr viel später (Monate/Jahre) - z. B. zur Zertifikatsverlängerung - noch E-Mails an, die ggf. auf betriebskritische Umstände hinweisen, die PEIQ ansonsten nicht erhalten.

  1. Zertifikatsmanagement durch Kund:innen

  1. Anlieferung folgender Dateien im PEM-Format für pps.ihre-domain.tld

  • Zertifikat als domain.tld.crt

  • Ggf. benötigte Chain-Zertifikate als domain.tld.cabundle

  • Zertifikat + Chain-Zertifikat als domain.tld.chained.crt

Es ist darauf zu achten, dass *.cabundle und *.chained.crt in der richtigen Zertifikats-Reihenfolge geliefert werden. Die Daten müssen auf sicherem Wege übermittelt werden! In der Regel wird hierzu von PEIQ ein Nextcloud-Ordner zur Verfügung gestellt, über den eine passwortgeschützte ZIP-Datei mit den Zertifikatsdaten angeliefert werden kann. Das Passwort für den Nextcloud-Ordner sollte separat übermittelt werden, z. B. telefonisch.

Ist auch ein PORTAL im Einsatz müssen mehrere Domains verschlüsselt werden. Hier kann es sinnvoll sein ein Wildcard-Zertifikat  *.ihre-domain.tld zu verwenden. Hierbei muss das Wildcard-Zertifikat auch für die Domain ihre-domain.tld gültig sein.

2. Es wird auch ein sog. Private Key benötigt. Hier gibt es zwei Möglichkeiten:

  • Anlieferung des Private Key (ohne Passwort) als domain.tld.key durch Kund:in. Zum Einsatz bei AWS-Cloudfront darf der Private Key nur 2048 bit groß sein.

  • Bei Bedarf kann PEIQ Kund:innen auch ein Certificate-Signing-Request (CSR) zur Verfügung stellen. Das bedeutet, dass der schützenswerte Private Key, bei PEIQ auf den Servern generiert wird und nicht von dem bzw. der Kund:in angeliefert werden muss. Das CSR wird daraufhin vom Private-Key erstellt/abgeleitet. Zum Erstellen des CSR benötigen wir folgende Daten von dem bzw. der Kund:in:

    • C / Country Name (2 letter code) » z.B. DE

    • ST / State or Province Name (full name) » z.B. Bavaria

    • L / Locality Name (eg, city) » z.B. Augsburg

    • O / Organization Name (eg, company) » z.B. PEIQ Publishing GmbH & Co. KG

    • OU / Organizational Unit Name (eg, section) » z.B. IT

    • CN / Common Name (e.g. server FQDN or YOUR name) » *.domain.tld

    • Email Address » z.B. tls@peiq.de

WICHTIG: Kund:innen können dieses TLS-Zertifikat nicht anderweitig nutzen, da ihnen der nötige Private-Key fehlt!

Verwandte Seiten

Impressum