Notizen
SSL-Zertifikatskette für Einsteiger (wie mich)
ssl zertifikatskette Deutschland · zwischenzertifikat erklärt Schweiz · root ca vertrauensspeicher
Einsteiger-Notizen zu SSL-Zertifikatsketten, Zwischen-CAs und warum Browser die vollständige Kette auf dem Server benötigen.
Ich dachte, eine Zertifikatsdatei reicht aus. Falsch. Der Server sollte das Blatt-Zertifikat plus die Zwischenkette senden, damit der Browser einen Pfad zu einer Root-CA im Vertrauensspeicher aufbauen kann.
Wenn die Kette unvollständig ist, könnte Android funktionieren und Desktop-Chrome nicht – super ärgerlich. Online-SSL-Checker zeigen jedes Zertifikat in Reihenfolge an, was für Lab-Berichte hilfreich ist.
Ein Zwischenzertifikat wird von der Root (oder einem anderen Zwischenzertifikat) signiert. Die Root wird nicht auf dem Server installiert – sie ist bereits im Betriebssystem/Browser vorhanden. Ein fehlendes Zwischenzertifikat ist der häufigste Kettenfehler, den wir in Klassenvorführungen gesehen haben.
Das Suchwort «ssl zertifikatskette erklärt» hat mittleres Suchvolumen, weil DevOps-Blogs lang sind und Studierende eine kurze Version wollen. Das hier ist die kurze Version.
Wenn der Aussteller auf dem Blatt-Zertifikat 'Let's Encrypt R3' oder ähnliches angibt, die Herstellerdokumentation für die korrekte Bundle-Datei googeln. Falsches Bundle kopieren = Kettenfehler, bis man es behebt.