/
TLS Zertifikate

PORTAL und PPS Knowledge Base

TLS Zertifikate

Owned by Former user (Deleted), created
Last updated: 2024-10-25 by Ilker Oygün
6 min read

Alle PEIQ PORTALE werden standardmäßig komplett https-verschlüsselt um Daten sicher übertragen zu können. Für die Verschlüsselung werden serverseitig TLS-Zertifikate hinterlegt. Entweder wird hierbei die Beschaffung, Einbindung und regelmäßige Aktualisierung des TLS-Zertifikats von PEIQ als Service komplett übernommen oder Kund:innen übernehmen dies selbst.

Um das PORTAL sicher zu verschlüsseln, benötigt PEIQ Zertifikate für:

  • domain.tld

  • www.domain.tld

  • media01.domain.tld

  • media02.domain.tld

  • media03.domain.tld

  • media04.domain.tld

  • pps.domain.tld (falls PRINT PPS aktiv)

Alternativ und präferiert kann auch ein Wildcard-Zertifikat *.domain.tld verwendet werden. Dabei ist darauf zu achten, dass das Wildcard-Zertifikat auch für die Domain domain.tld gültig sein muss.

Funktionalitäten der TLS Zertifikate

  • Garantiert die sichere Übertragung von Daten

  • Zwei Optionen:

    • Zertifikatsmanagement durch PEIQ

    • Zertifikatsmanagement durch die Kund:innen

Inhaltsverzeichnis

Allgemeine Beschreibung

Die Beschaffung der TLS-Zertifikate für die Verschlüsselung, sowie die Wartung des Zertifikats kann

  1. von Kund:innen selbst übernommen werden.
  2. als kostenpflichtiger Service komplett von PEIQ übernommen werden.

Zertifikatsanlieferung durch die Kund:innen

Konkret werden folgende Daten im PEM-Format benötigt:

  • Zertifikat als domain.tld.crt

  • Ggf. benötigte Chain-Zertifikate als domain.tld.intermediate.crt

  • Zertifikat + Chain-Zertifikat als domain.tld.chained.crt

  • Private-Key (ohne Passwort) als domain.tld.key; Zum Einsatz bei AWS-Cldoufront darf der Private Key nur 2048 bit groß sein.

Es ist darauf zu achten, dass *.cabundle und *.chained.crt in der richtigen Zertifikats-Reihenfolge geliefert werden. Die Daten müssen auf sicherem Wege übermittelt werden! In der Regel wird hierzu einen Nextcloud-Ordner zur Verfügung gestellt, über den eine passwortgeschützte ZIP-Datei mit den Zertifikatsdaten angeliefert werden kann. Das Passwort sollte separat übermittelt werden, z. B. telefonisch.

Da die Einrichtung des neuen Zertifikats Tests erfordert, sollte das Zertifikate mindestens 14 Tage vor dem entsprechenden Release angeliefert werden!

Certificate-Signing-Request (CSR)

Bei Bedarf kann auch ein Certificate-Signing-Request (CSR) zur Verfügung gestellt werden. Das bedeutet, dass der schützenswerte Private-Key, bei PEIQ auf den Servern generiert wird und nicht von den Kund:innen angeliefert werden muss. Das CSR wird daraufhin vom Private-Key erstellt. Zum Erstellen des CSR werden folgende Daten benötigt:

  • C / Country Name (2 letter code) » z. B. DE

  • ST / State or Province Name (full name) » z. B. Bavaria

  • L / Locality Name (eg, city) » z. B. Augsburg

  • O / Organization Name (eg, company) » z. B. PEIQ Publishing GmbH & Co. KG

  • OU / Organizational Unit Name (eg, section) » z. B. IT

  • CN / Common Name (e. g. server FQDN or YOUR name) » *.domain.tld

  • Email Address » z. B. tls@peiq.de

WICHTIG: Von den Kund:innen kann dieses TLS-Zertifikat dann nicht anderweitig genutzt werden, da hierfür der nötige Private-Key fehlt!

Zertifikatsmanagement durch PEIQ

Die Beschaffung, Einbindung und regelmäßige Aktualisierung des TLS-Zertifikats kann als kostenpflichtiger Service komplett von PEIQ übernommen werden. Hierbei werden die Services Let's Encrypt sowie der Certificate Manager von AWS genutzt.

Näheres siehe Anleitung zum Set-up.

Wichtige Hinweise

Vermarktung

Bitte stellen Sie sicher, dass Ihre eingebundenen Adserver TLS-fähig sind. Unverschlüsselte Vermarktung wird nicht ausgespielt. Mehraufwände aufgrund von Abstimmungen und Testings seitens PEIQ im Falle, dass die eingebundenen Adserver mit der https-Verschlüsselung nicht umgehen können, erhöhen den Gesamtaufwand für die Einbindung der Zertifikate.

Einbindungen (z. B. iFrames)

Bitte stellen Sie sicher, dass Ihre eigens implementierten Einbindungen, z. B. eigens eingebundenen iFrames, TLS-fähig sind. Ansonsten werden diese nicht ausgespielt. Mehraufwände aufgrund von Abstimmungen und Testings seitens PEIQ im Falle, dass die eingebundenen iFrames mit der https-Verschlüsselung nicht umgehen können, erhöhen den Gesamtaufwand für die Einbindung der Zertifikate.

Schnittstellen

Bitte informieren Sie ggf. an das PORTAL angeschlossene Drittdienstleister über die TLS-Umstellung und stellen Sie sicher, dass diese mit der https-Verschlüsselung umgehen können. Mehraufwände aufgrund von Abstimmungen und Testings seitens PEIQ im Falle, dass die Drittdienstleister mit der https-Verschlüsselung nicht umgehen können, erhöhen den Gesamtaufwand für die Einbindung der Zertifikate.

Zum Zugriff auf unsere Server ist mindestens das Protokoll TLS 1.2 nötig. Ältere Protokoll-Varianten stehen aus Sicherheitsgründen nicht zur Verfügung.

HSTS

PEIQ verwendet aus Sicherheitsgründen standardmäßig HSTS (HTTP Strict Transport Security) mit einem Wert von 15768000, was 6 Monaten entspricht. Browser cachen diesen Wert und verwenden für die nächsten 6 Monate immer die https://-Verbindung. Sollten Sie die Verschlüsselung wieder deaktivieren wollen, wird der HSTS-Header von PEIQ entfernt. Jedoch wird für mindestens den HSTS-Zeitraum ein gültiges Zertifikat benötigt, da die Browser solange die gecachte, verschlüsselte Variante aufrufen.

Anleitung zum Set-up

Die Beschaffung, Einbindung und regelmäßige Aktualisierung des TLS-Zertifikats kann als kostenpflichtiger Service komplett von PEIQ übernommen werden. Wir nutzen hierbei die Services Let's Encrypt sowie den Certificate Manager von AWS.

Schritt-für-Schritt-Anleitung

Im Folgenden zeigen wir Ihnen Schritt für Schritt Ihre Mitwirkungspflichten bei dieser Option auf.

  1. Beauftragen Sie PEIQ mit dem Zertifkatsmanagement. Das können Sie bereits beim Vertragsschluss tun.

     

  2. Legen Sie eine E-Mail-Weiterleitung (Forward) zur Validierung der Domain für die benötigten TLS-Zertifikate an status:PFLICHT . Zur Zertifikatsbeschaffung bei AWS müssen Sie eine E-Mail-Weiterleitung zur Validierung der Domain für die benötigten TLS-Zertifikate anlegen: hostmaster@ihre-domain.tld weiterleiten auf » tls@peiq.de

    ihre-domain.tld muss dabei identisch mit der verwendeten Hauptdomain sein.

     

  3. Fertig. Sobald die E-Mail-Weiterleitung funktioniert, können wir das Zertifikat bei AWS beantragen und bestätigen. Die Validierung von Let's Encrypt-Zertifikaten erfolgt direkt zentral auf unseren Servern. Hier ist kein weiteres Zutun von Ihnen nötig.

Bitte beachten Sie, dass Sie die Adresse hostmaster@domain.tld nicht anderweitig nutzen, da alle Mails an PEIQ weitergeleitet werden.

Die Weiterleitung von hostmaster@domain.tld darf nach der initialen Zertifikatsvalidierung nicht gelöscht oder deaktiviert werden. Hier kommen unter Umständen sehr viel später (Monate/Jahre) - z. B. zur Zertifikatsverlängerung - noch E-Mails an die ggf. auf betriebskritische Umstände hinweisen die wir ansonsten nicht erhalten.

In der AWS-Dokumentation ist unter dem Eintrag Mit E-Mail den Domänenbesitz prüfen der Prozess beschrieben, wie die Domain-Validierung für Zertifikate bei AWS vonstatten geht. Es ist durchaus möglich, dass Sie mehrere Mails von AWS bekommt - je nachdem welche E-Mail-Accounts Sie eingerichtet haben.

Zertifikate müssen mindestens 14 Tage vor dem entsprechenden Release zum Test und für das Deployment bei uns verfügbar sein. Bitte stellen Sie sicher, dass Sie bei Rückfragen unverzüglich reagieren können. Ohne ein gültiges Zertifikat ist kein Betrieb des Onlineportals möglich.

Benötigte Zertifikate

Um das Onlineportal sicher zu verschlüsseln, benötigen wir Zertifikate für:

  • ihre-domain.tld

  • www.ihre-domain.tld

  • media01.ihre-domain.tld

  • media02.ihre-domain.tld

  • media03.ihre-domain.tld

  • media04.ihre-domain.tld

  • pps.ihre-domain.tld (falls Sie unser PPS nutzen)

Alternativ können wir auch ein Wildcard-Zertifikat  *.ihre-domain.tld verwenden.

Bitte achten Sie darauf, dass das Wildcard-Zertifikat auch für die Domain ihre-domain.tld gültig sein muss.

Certificate-Signing-Request (CSR) status:optional

Bei Bedarf können wir Ihnen auch ein Certificate-Signing-Request (CSR) zur Verfügung stellen. Das bedeutet, dass der schützenswerte Private-Key, bei PEIQ auf den Servern generiert wird und nicht von Ihnen angeliefert werden muss. Das CSR wird daraufhin vom Private-Key erstellt/abgeleitet. Zum Erstellen des CSR benötigen wir folgende Daten von Ihnen:

  • C / Country Name (2 letter code) » z. B. DE

  • ST / State or Province Name (full name) » z. B. Bavaria

  • L / Locality Name (eg, city) » z. B. Augsburg

  • O / Organization Name (eg, company) » z. B. PEIQ Publishing GmbH & Co. KG

  • OU / Organizational Unit Name (eg, section) » z. B. IT

  • CN / Common Name (e. g. server FQDN or YOUR name) » *.domain.tld

  • Email Address » z. B. tls@peiq.de

WICHTIG: In diesem Fall können Sie das TLS-Zertifikat nicht anderweitig nutzen, da Ihnen hierzu der nötige Private-Key fehlt!

 

Stellen Sie sicher, dass Ihre eingebundenen Adserver TLS-fähig sind.

Unverschlüsselte Vermarktung wird nicht ausgespielt. Mehraufwände aufgrund von Abstimmungen und Testings seitens PEIQ im Falle, dass die eingebundenen Adserver mit der https-Verschlüsselung nicht umgehen können, werden Ihnen in Rechnung gestellt.

Stellen Sie sicher, dass angeschlossene Drittdienstleister TLS-fähig sind.

Informieren Sie an das PORTAL angeschlossene Drittdienstleister über die TLS-Umstellung und stellen Sie sicher, dass diese mit der https-Verschlüsselung umgehen können. Mehraufwände aufgrund von Abstimmungen und Testings seitens PEIQ im Falle, dass die Drittdienstleister mit der https-Verschlüsselung nicht umgehen können, werden Ihnen in Rechnung gestellt.

Zum Zugriff auf unsere Server ist mindestens das Protokoll TLS 1.2 nötig. Ältere Protokoll-Varianten stehen aus Sicherheitsgründen nicht zur Verfügung.

Beachten Sie die folgenden Hinweise

HSTS

PEIQ verwendet aus Sicherheitsgründen standardmäßig HSTS (HTTP Strict Transport Security) mit einem Wert von 15768000, was 6 Monaten entspricht. Browser cachen diesen Wert und verwenden für die nächsten 6 Monate immer die https://-Verbindung. Sollten Sie im Rahmen einer Migration die Verschlüsselung wieder deaktivieren wollen, wird der HSTS-Header von PEIQ entfernt. Jedoch wird für mindestens den HSTS-Zeitraum ein gültiges Zertifikat benötigt, da die Browser solange die gecachte, verschlüsselte Variante aufrufen.

Einbindungen (z. B. iFrames)

Bitte stellen Sie sicher, dass Ihre eigens implementierten Einbindungen, z. B. eigens eingebundenen iFrames, TLS-fähig sind. Ansonsten werden diese nicht ausgespielt. Mehraufwände aufgrund von Abstimmungen und Testings seitens PEIQ im Falle, dass die eingebundenen iFrames mit der https-Verschlüsselung nicht umgehen können, erhöhen den Gesamtaufwand für die Einbindung der Zertifikate.

Mitwirkungspflichten

Nähere Infos siehe Mitwirkungspflichten: TLS-Zertifikat.

Verwandte Seiten

 

Nur für PEIQ-Mitarbeiter:innen
https://peiq.atlassian.net/wiki/x/ygShAw

Impressum