Sichern von Verbindungen mit der Erweiterung SSL It! Erweiterung

Inhalt

Mit der Erweiterung SSL It! können Sie gehostete Websites sowohl mit kostenlosen als auch mit kostenpflichtigen SSL/TLS-Zertifikaten schützen.

In diesem Abschnitt erfahren Sie, wie Sie kostenlose SSL/TLS-Zertifikate abrufen, kostenpflichtige Zertifikate kaufen, Zertifikate aus einer Datei hochladen und gehostete Websites mit diesen Zertifikaten schützen.

Sie lernen auch, wie Sie die Verbindungen zu gehosteten Websites besser schützen und die Effektivität des SSL-Schutzes von gehosteten Websites messen. Wenn Sie ein Plesk Administrator sind, erfahren Sie hier auch, wie Sie festlegen können, welche SSL/TLS-Zertifikate Ihren Kunden über die SSL It!-Benutzeroberfläche zur Verfügung stehen.

Mit der Erweiterung SSL It! können Sie Ihre Websites mit SSL/TLS-Zertifikaten von den vertrauenswürdigen Zertifizierungsstellen Let’s Encrypt und DigiCert (Symantec, GeoTrust und RapidSSL) oder einem anderen SSL/TLS-Zertifikat Ihrer Wahl schützen. Mit der Erweiterung können Sie außerdem Folgendes:

  • Sicherheit für Websitebesucher erhöhen, da von HTTP auf HTTPS umgeleitet wird
  • Für mehr Sicherheit sorgen, da Webbrowser nicht mehr über nicht sichere HTTP-Verbindungen auf die Website zugreifen können
  • Datenschutz erhöhen und die Leistung der Website dank OCSP-Anheftung verbessern
  • Sicherheit von über SSL/TLS-Zertifikate verschlüsselte Verbindungen mithilfe von Protokollen und Verschlüsselungsverfahren von Mozilla erhöhen

Erste Schritte mit SSL It!

Beachten Sie Folgendes:

  • Die Erweiterung SSL It! ist standardmäßig installiert.
  • Um alle Funktionen von SSL It! optimal zu nutzen, installieren Sie die aktuellsten Versionen der Erweiterungen DigiCert SSL und Let’s Encrypt.

Wenn Sie das SSL/TLS-Zertifikat einer Domain verwalten möchten, gehen Sie zu Websites & Domains > Ihre Domain. Unter „SSL/TLS-Zertifikate“ finden Sie den aktuellen Sicherheitsstatus der Domain:

image-domain-not-secured

Sichern von Websites mit SSL/TLS-Zertifikaten

Über die Erweiterung SSL It! können Sie Websites mithilfe von kostenlosen oder kostenpflichtigen SSL/TLS-Zertifikaten (derzeit sind nur Zertifikate von DigiCert verfügbar) bzw. mithilfe von SSL/TLS-Zertifikaten schützen, die Sie bereits besitzen.

So schützen Sie eine Website mit einem kostenlosen SSL/TLS-Zertifikat von Let’s Encrypt:

  1. Gehen Sie zu Websites & Domains > Ihre Domain > SSL/TLS-Zertifikate.

  2. Klicken Sie unter „Mehr Optionen“ auf Installieren:

    image-install_button.png

  3. Geben Sie die E-Mail-Adresse an, die für dringende Benachrichtigungen und zur Wiederherstellung von verloren gegangenen Schlüsseln genutzt werden soll.

  4. Wählen Sie aus, was Sie neben der Hauptdomain noch sichern möchten:

    • Hauptdomainname schützen. Damit wird nur die Hauptdomain geschützt. Wenn Sie nur Webmail schützen möchten, können Sie das Kontrollkästchen deaktivieren.

    • Wildcard-Domain schützen (inklusive www und Webmail). Die www-Subdomain und/oder die Domain-Aliasse sowie Webmail werden geschützt.

    • www-Subdomain für die Domain und alle ausgewählten Aliasse schützen. Damit schützen Sie die www-Subdomain und/oder alle Domain-Aliasse.

    • Webmail auf dieser Domain schützen. Hiermit wird Webmail geschützt.

    • Zertifikat der E-Mail-Domain zuweisen. Damit schützen Sie die Mailserver-Verbindungen für diese Domain. Dies ist nützlich, wenn der Mailserver nicht durch ein SSL/TLS-Zertifikat geschützt ist oder wenn das Zertifikat zum Schutz des Mailservers nicht verifiziert werden kann.

      Wenn Sie eine www-Subdomain bzw. Domain-Aliasse haben, empfehlen wir, dass Sie auch das Kontrollkästchen „www-Subdomain für die Domain und alle ausgewählten Aliasse schützen“ anklicken.

  5. Klicken Sie auf Kostenlos nutzen.

Ein SSL/TLS-Zertifikat von Let’s Encrypt wird ausgestellt und automatisch installiert.

Bemerkung

Wenn Sie eine Domain mit einem SSL/TLS-Zertifikat von Let’s Encrypt schützen und dann neue Domains, Subdomains, Domain-Aliasse oder Webmail zum Abonnement hinzufügen, kann SSL It! diese Elemente automatisch schützen, indem das SSL/TLS-Zertifikat von Let’s Encrypt erneut ausgestellt wird. Gehen Sie dazu zu Websites & Domains > Ihre Domain > SSL/TLS-Zertifikate und aktivieren Sie die Option Websites schützen.

So rufen Sie ein kostenpflichtiges SSL/TLS-Zertifikat ab:

  1. Gehen Sie zu Websites & Domains > Ihre Domain > SSL/TLS-Zertifikate.

  2. Klicken Sie auf Zertifikate abrufen, um eine Liste der verfügbaren Zertifikate zu erhalten:

    image-Get_Certificates_Button.png

  3. Wählen Sie das SSL/TLS-Zertifikat aus, das Sie kaufen möchten, und klicken Sie im Formular des Zertifikats auf die Schaltfläche Kaufen.

    Bemerkung

    So finden Sie ein passendes Zertifikat:

    • Filtern Sie die verfügbaren Zertifikate. Sie können dabei die Filter Empfohlen, Platzhalter und Für Unternehmen verwenden.
    • Weitere Informationen zu einem Zertifikat (Gültigkeitsdauer, Validierungstyp usw.) erhalten Sie, indem Sie im Formular des Zertifikats auf die Schaltfläche Mehr erfahren klicken.
  4. Geben Sie im Pop-up-Fenster des Plesk Online-Shops Ihre Adresse und Zahlungsinformationen ein und kaufen Sie das Zertifikat.

  5. Schließen Sie das Pop-up-Fenster.

  6. Warten Sie, bis Plesk den Zahlungsstatus aktualisiert, oder aktualisieren Sie ihn manuell, indem Sie auf Neu laden klicken. Plesk aktualisiert den Zahlungsstatus automatisch einmal pro Stunde.

    image-waiting-payment.png

  7. Nachdem die Zahlung bearbeitet wurde, klicken Sie auf Erforderliche Daten angeben.

    image-payment-received.png

  8. Geben Sie die Kontaktdaten ein und klicken Sie dann auf OK.

Plesk erstellt nun automatisch eine Zertifikatsignieranforderung (Certificate Signing Request, CSR). Anschließend wird das SSL/TLS-Zertifikat abgerufen und installiert. Je nach Zertifikattyp kann dies eine Weile dauern. Sie können den Status des SSL/TLS-Zertifikats manuell aktualisieren, indem Sie auf Neu laden klicken. Plesk aktualisiert den Status stündlich automatisch.

Bemerkung

Für bestimmte Typen von SSL/TLS-Zertifikaten (z. B. EV) sind zusätzliche Aktionen erforderlich. Sie erhalten möglicherweise einen Anruf oder eine E-Mail und müssen eventuell Dokumente einreichen, damit die Zertifizierungsstelle Ihre Anwendung validieren kann.

Nachdem das SSL/TLS-Zertifikat installiert wurde, sehen Sie unter Websites & Domains > Ihre Domain > SSL/TLS-Zertifikate Informationen zum installierten SSL/TLS-Zertifikat (Name, Zertifizierungsstelle, E-Mail-Adresse usw.), zu den gesicherten Komponenten sowie andere Optionen wie „Von HTTP auf HTTPS umleiten“ oder „HSTS“.

Sichern von Websites über die Befehlszeilenschnittstelle

Sie können Websites auch mit SSL/TLS-Platzhalterzertifikaten über die Befehlszeilenschnittstelle schützen. Führen Sie dazu die folgenden Befehle aus:

plesk ext sslit --certificate -issue -domain <domain_name> -registrationEmail <email> -secure-domain -wildcard

und dann

plesk ext sslit --certificate -issue <domain_name> -registrationEmail <email> -continue

Mit dem ersten Befehl wird eine Anfrage für ein Platzhalterzertifikat erstellt. Mit dem zweiten Befehl wird der Auftrag abgeschlossen und das Zertifikat ausgestellt.

Hochladen von SSL/TLS-Zertifikaten

Laden Sie Ihr SSL/TLS-Zertifikat in den folgenden Fällen hoch:

  • Sie haben bereits ein Zertifikat, das Sie zum Schutz Ihrer Domain einsetzen möchten.
  • Sie möchten ein Zertifikat installieren, das Sie nicht über SSL It! abrufen können.

So laden Sie ein SSL/TLS-Zertifikat hoch:

  1. Gehen Sie zu Websites & Domains > Ihre Domain > SSL/TLS-Zertifikate und klicken Sie auf „Hochladen“.

    image-upload.png

  2. Suchen Sie nach der .pem-Datei des SSL/TLS-Zertifikats, das Sie hochladen möchten, und klicken Sie auf Öffnen.

Das SSL/TLS-Zertifikat wird automatisch auf der Domain installiert.

Erneuern von SSL/TLS-Zertifikaten

Um sicherzustellen, dass Ihre Website ohne Unterbrechungen geschützt ist, müssen Sie die installierten SSL/TLS-Zertifikate rechtzeitig erneuern. Dabei unterstützt Sie die Erweiterung SSL It!.

SSL It! erneuert kostenlose SSL/TLS-Zertifikate von Let’s Encrypt und DigiCert automatisch 30 Tage vor Ablauf.

image-renew.png

Kostenpflichtige SSL/TLS-Zertifikate können über SSL It! nicht automatisch verlängert werden. Sie haben jedoch die folgenden Optionen:

  • Stellen Sie die Zertifikate manuell erneut aus.
  • Ersetzen Sie abgelaufene SSL/TLS-Zertifikate automatisch mit kostenlosen Zertifikaten von Let’s Encrypt.

So stellen Sie kostenpflichtige SSL/TLS-Zertifikate erneut aus:

  1. Gehen Sie zu Websites & Domains > Ihre Domain, die über ein kostenpflichtiges und bald ablaufendes SSL/TLS-Zertifikat geschützt ist > SSL/TLS-Zertifikate.

  2. Klicken Sie auf „Zertifikat erneut ausstellen“. Sie werden dann automatisch zum Online-Shop von Plesk weiterleitet.

  3. Geben Sie im Pop-up-Fenster des Plesk Online-Shops Ihre Adresse und Zahlungsinformationen ein und kaufen Sie das Zertifikat.

  4. Schließen Sie das Pop-up-Fenster.

  5. Warten Sie, bis Plesk den Zahlungsstatus aktualisiert, oder aktualisieren Sie ihn manuell, indem Sie auf Neu laden klicken. Plesk aktualisiert den Zahlungsstatus automatisch einmal pro Stunde.

    image-waiting-payment.png

  6. Nachdem die Zahlung bearbeitet wurde, klicken Sie auf Erforderliche Daten angeben.

    image-payment-received.png

  7. Geben Sie die Kontaktdaten ein und klicken Sie dann auf OK.

Plesk erstellt nun automatisch eine Zertifikatsignieranforderung (Certificate Signing Request, CSR). Anschließend wird das SSL/TLS-Zertifikat abgerufen und installiert. Je nach Zertifikattyp kann dies eine Weile dauern. Sie können den Status des SSL/TLS-Zertifikats manuell aktualisieren, indem Sie auf Neu laden klicken. Plesk aktualisiert den Status stündlich automatisch.

So ersetzen Sie abgelaufene kostenpflichtige SSL/TLS-Zertifikate automatisch durch kostenlose Zertifikate von Let’s Encrypt:

  1. Gehen Sie zu Websites & Domains > Ihre Domain, die über ein kostenpflichtiges und bald ablaufendes SSL/TLS-Zertifikat geschützt ist > SSL/TLS-Zertifikate.
  2. Aktivieren Sie Websites schützen.

Wenn Ihr kostenpflichtiges SSL/TLS-Zertifikat nun abläuft, stellt SSL It! automatisch ein kostenloses SSL/TLS-Zertifikat von Let’s Encrypt aus. So werden Domains, Subdomains, Domain-Aliasse und Webmail des Abonnements geschützt. Das neue Zertifikat sollte innerhalb einer Stunde ausgestellt werden, nachdem das bisherige Zertifikat abgelaufen ist.

Aufheben der Zuweisung von SSL/TLS-Zertifikaten

  1. Gehen Sie zu Websites & Domains > Ihre Domain, deren SSL/TLS-Zertifikate Sie nicht mehr verwenden möchten > SSL/TLS-Zertifikate.
  2. Klicken Sie auf Zertifikatzuweisung aufheben und dann auf OK.

Erhöhen der Sicherheit von Websites und verschlüsselten Serververbindungen

Eine Website mit einem gültigen SSL/TLS-Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle zu schützen, reicht jedoch nicht, um für den Rundumschutz Ihrer Website zu sorgen. SSL ist eine komplexe Technologie, die verschiedene Funktionen wie Verschlüsselungsalgorithmen für Schlüssel, sichere Verschlüsselungsverfahren und HSTS umfasst. Über SSL können Sie Folgendes tun:

  • Sicherheit der Websitebesucher erhöhen
  • Leistung der Website verbessern
  • Sicherheit aller verschlüsselten Verbindungen des Servers steigern

Wenn Sie die folgenden Funktionen aktivieren, können Sie das Ranking Ihrer Website in den Ergebnissen von Suchmaschinen verbessern:

  • Von HTTP auf HTTPS umleiten: Eine permanente und SEO-freundliche 301-Umleitung wird von der nicht sicheren HTTP-Verbindung auf die sichere HTTPS-Version der Website oder von Webmail eingerichtet.
  • HSTS: Webbrowser können nicht mehr über nicht sichere HTTP-Verbindungen auf die Website zugreifen.
  • OSCP: Der Webserver und nicht der Webbrowser des Besuchers ruft den Status des Website-Zertifikats von der Zertifizierungsstelle ab. Das Zertifikat kann dabei gültig, gesperrt oder unbekannt sein.
  • TLS: Durch TLS-Versionen und -Verschlüsselungsverfahren von Mozilla werden über SSL/TLS-Zertifikate geschützte Verbindungen (Website, E-Mail, Plesk usw.) noch sicherer.

Vorsicht

Bevor Sie diese Funktionen aktivieren, vergewissern Sie sich, dass Ihre Website ohne Probleme über HTTPS erreicht werden kann. Andernfalls können Besucher möglicherweise nicht auf Ihre Website zugreifen.

Bemerkung

Falls Sie HSTS oder die OCSP-Anheftung bereits manuell in Ihrem Webserver eingerichtet haben, löschen Sie diese Anpassungen, bevor Sie HSTS oder die OCSP-Anheftung in SSL It! aktivieren.

So erhöhen Sie die Sicherheit von Websites und verschlüsselten Serververbindungen:

  1. Schützen Sie Ihre Website mit einem gültigen SSL/TLS-Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle.

  2. Gehen Sie zu Websites & Domains > Ihre Domain > SSL/TLS-Zertifikate.

  3. Wenn Sie ein Upgrade von früheren Plesk Versionen auf Plesk Obsidian durchgeführt haben, aktivieren Sie Von HTTP auf HTTPS umleiten. Die Umleitung gilt dann standardmäßig auch für Webmail. In neuen Installationen von Plesk Obsidian ist die Umleitung für die Domain und Webmail standardmäßig aktiviert.

    Bemerkung

    Wenn Webmail nicht über ein gültiges SSL/TLS-Zertifikat geschützt ist oder Sie Webmail nicht einsetzen, heben Sie die Auswahl von Auf Webmail anwenden über den Schieberegler auf. Klicken Sie dann auf Anwenden.

  4. Aktivieren Sie HSTS.

    Bemerkung

    Falls das SSL/TLS-Zertifikat vor dem Zeitraum Max. Alter abläuft, Sie jedoch HSTS verwenden möchten, sollten Sie die Option „Websites schützen“ aktivieren. Wenn das SSL/TLS-Zertifikat dann abläuft, stellt SSL It! automatisch ein kostenloses Zertifikat von Let’s Encrypt aus. So werden Domains, Subdomains, Domain-Aliasse und Webmail des Abonnements geschützt. Die Website bleibt geschützt und HSTS funktioniert weiterhin.

  5. Aktivieren Sie OCSP-Anheftung.

  6. Aktivieren Sie die TLS-Versionen und -Verschlüsselungsverfahren von Mozilla.

Nachdem Sie die Sicherheit Ihrer Website und Ihres Servers über SSL verbessert haben, können Sie die SSL-Sicherheit Ihrer Website bewerten.

Bemerkung

Sie können HSTS und OCSP auch über die Befehlszeilenschnittstelle aktivieren. Um beispielsweise HSTS für die Domain example.com zu aktivieren, die bereits ein SSL/TLS-Zertifikat verwendet, führen Sie den folgenden Befehl aus:

plesk ext sslit --hsts -enable -domain example.com -max-age 6months

Um OCSP für die gleiche Domain zu aktivieren, führen Sie den folgenden Befehl aus:

plesk ext sslit --ocsp-stapling -enable -domain example.com

Um mehr über die Verwendung von SSL It! über die Befehlszeilenschnittstelle zu erfahren, führen Sie den Befehl plesk ext sslit --help aus.

Aktivieren von HSTS

  1. Aktivieren Sie HSTS.

  2. Vergewissern Sie sich, dass das SSL/TLS-Zertifikat, mit dem Ihre Website geschützt ist, während des Zeitraums Max. Alter gültig ist. Überprüfen Sie dies auch für Subdomains und die Webmail-Subdomain.

    Warnung

    Falls das SSL/TLS-Zertifikat vor dem Zeitraum Max. Alter abläuft und HSTS aktiviert ist, können Besucher nicht auf Ihre Website zugreifen.

  3. Wenn Ihre Subdomains nicht über ein gültiges SSL/TLS-Zertifikat geschützt sind oder Sie keine Subdomains verwenden, heben Sie die Auswahl von Subdomain einschließen auf.

  4. Wenn Ihre Webmail-Subdomain nicht über ein gültiges SSL/TLS-Zertifikat geschützt ist oder Sie Webmail nicht verwenden, heben Sie die Auswahl von Webmail einschließen auf.

  5. Klicken Sie auf HSTS aktivieren.

TLS-Versionen und -Verschlüsselungsverfahren von Mozilla aktivieren

  1. Gehen Sie zu Erweiterungen > Tab Meine Erweiterungen und klicken Sie neben SSL It! auf Öffnen.
  2. Klicken Sie auf Einstellungen.
  3. Aktivieren Sie den Schalter unter TLS-Versionen und -Verschlüsselungen von Mozilla.
  4. Behalten Sie Ausgewogen (empfohlenen) bei und klicken Sie dann auf Aktivieren und synchronisieren.
  5. Um auf dem aktuellen Stand zu bleiben, klicken Sie alle paar Monate auf Jetzt synchronisieren.

Bekannte Probleme und Einschränkungen

  • OCSP-Anheftung funktioniert nur für Websites, die über nginx mit Apache oder nur nginx bereitgestellt werden. Wenn Ihre Websites nur über Apache laufen, müssen Sie „OCSP-Anheftung“ nicht aktivieren.
  • Die OCSP-Anheftung funktioniert möglicherweise nicht für SSL/TLS-Zertifikate von bestimmten Anbietern (z. B. kostenlose Zertifikate von DigiCert), wenn nicht die komplette Vertrauenskette vorhanden ist. Um herauszufinden, ob Ihr Zertifikat die OCSP-Anheftung unterstützt, führen Sie den SSL Labs-Test in Ihrer SSL-Konfiguration aus.
  • Die automatische Synchronisierung von TLS-Versionen und Verschlüsselungsverfahren von Mozilla wird derzeit nicht unterstützt.

Bewerten der SSL-Sicherheit Ihrer Website

In den gängigen Suchmaschinen wie Google werden Websites mit hohem SSL-Schutz weiter oben in den Ergebnissen angezeigt. Über die Erweiterung SSL It! haben Sie Zugriff auf eines der beliebtesten Testtools: Qualys SSL Labs. Damit können Sie Folgendes erreichen:

  • SSL-Schutz der Website einstufen
  • Mögliche Optimierungen erkennen
  • Bestnote A+ erreichen (nach Erhöhung des SSL-Schutzes, falls notwendig)

So bewerten Sie die SSL-Sicherheit Ihrer Website:

  1. Gehen Sie zu Websites & Domains > Ihre Domain > SSL/TLS-Zertifikate.
  2. Klicken Sie auf SSL Labs-Test ausführen.

Die Website von Qualys SSL Labs wird in einem neuen Tab geöffnet und der Test beginnt automatisch. Nachdem der Test abgeschlossen wurde, erhalten Sie die Bewertung. Dies kann einige Minuten dauern.

Wenn Sie Ihre Website mit einem gültigen SSL/TLS-Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle geschützt und alle Sicherheitsmaßnahme in SSL It! aktiviert haben, erhalten Sie in der Regel die Bestnote A+.

Anpassen der Liste von SSL/TLS-Zertifikaten, die in SSL It! verfügbar sind

Über SSL It! können SSL/TLS-Zertifikate bei einer Vielzahl von Anbietern bestellt werden. Sie entscheiden, welche Anbieter in der Benutzeroberfläche von SSL It! für Sie, Ihre Kunden und Reseller sichtbar sein sollen. Installieren (aktivieren) oder entfernen (deaktivieren) Sie dazu Plugin-Erweiterungen für SSL It!, die zur Integration von SSL It! mit einem bestimmten Anbieter dienen.

So fügen Sie die Möglichkeit hinzu, SSL/TLS-Zertifikate von einem bestimmten Anbieter zu bestellen:

  1. Gehen Sie zu Erweiterungen und geben Sie im Suchfeld den Namen der Plugin-Erweiterung des gewünschten Anbieters ein.
  2. Installieren Sie die Erweiterung. Falls die Erweiterung bereits installiert ist, stellen Sie sicher, dass sie nicht deaktiviert ist, und aktivieren Sie sie gegebenenfalls.

Sie, Ihre Kunden und die Reseller sehen nun die Zertifikate des Anbieters in der Benutzeroberfläche von SSL It!.

So entfernen Sie die Möglichkeit, SSL/TLS-Zertifikate bei einem bestimmten Anbieter zu bestellen:

  1. Gehen Sie zu Erweiterungen > Meine Erweiterungen und suchen Sie die Plugin-Erweiterung für den gewünschten Anbieter.
  2. Entfernen Sie die Erweiterung oder deaktivieren Sie sie.

Sie, Ihre Kunden und die Reseller sehen die von diesem Anbieter verkauften Zertifikate nun nicht mehr in der Benutzeroberfläche von SSL It!. Dies hat keine Auswirkungen auf Kunden, die bereits SSL/TLS-Zertifikate von diesem Anbieter gekauft haben.

Erhöhte Wahrscheinlichkeit der Ausstellung eines Zertifikats mit SSL It!

SSL It! verfügt über eine Standardfunktion, mit der die Anzahl der Fälle erheblich reduziert werden kann, in denen SSL/TLS-Zertifikate von Let’s Encrypt aufgrund inkompatibler Domainkonfigurationen nicht ausgestellt werden können.

Wenn Sie ein SSL/TLS-Zertifikat von Let’s Encrypt abrufen, muss zunächst überprüft werden, ob Sie die Kontrolle über die Domainnamen im Zertifikat haben. Dazu werden in Let’s Encrypt sogenannte „Challenges“ verwendet: Let’s Encrypt gibt eine Token-Datei aus, die Plesk unter http://<your_domain>/.well-known/acme-challenge/<token> ablegt. Wir nennen dieses Verzeichnis das allgemeine Challenge-Verzeichnis. Das Zertifikat kann nicht ausgestellt werden, wenn der Zugriff auf dieses Verzeichnis nicht möglich ist. Dies kann auf die folgenden Konfigurationen zurückzuführen zu sein:

Nach der Installation stellt SSL It! sicher, dass das allgemeine Challenge-Verzeichnis auch dann unterstützt wird und zugänglich ist, wenn bestimmte inkompatible Konfigurationen erkannt werden. Das allgemeine Challenge-Verzeichnis wird in Plesk für Linux und Windows standardmäßig unterstützt.

Falls nötig können Sie die Funktion über die Befehlszeilenschnittstelle mit dem folgenden Befehl deaktivieren:

plesk ext sslit --common-challenge-dir –disable

Sie sollten die Unterstützung des allgemeinen Challenge-Verzeichnisses jedoch aktiviert lassen.

Wenn Sie von einer früheren Version auf SSL It! 1.4.0 aktualisiert haben, wird die Unterstützung des allgemeinen Challenge-Verzeichnisses automatisch aktiviert. Dies gilt jedoch nicht, wenn die Einstellung use-common-challenge-dir in panel.ini deaktiviert wurde. In dem Fall müssen Sie die Unterstützung manuell aktivieren. Führen Sie dazu den folgenden Befehl aus:

plesk ext sslit --common-challenge-dir –enable

Ab SSL It! 1.4.0 ist die Einstellung use-common-challenge-dir nicht mehr verfügbar.

Verhindern, dass die Ausstellung von Platzhalterzertifikaten von Let’s Encrypt durch Kunden fehlschlägt

Standardmäßig können Ihre Kunden Platzhalterzertifikate von Let’s Encrypt für alle ihre Domains ausstellen. Dies kann jedoch abhängig von der DNS-Konfiguration der Domains fehlschlagen. In SSL It! haben Sie die Möglichkeit, die Option zum Ausstellen von Platzhalterzertifikaten von Let’s Encrypt für Domains auszublenden, die nicht automatisch mit diesen Zertifikaten geschützt werden können.

Über SSL It! können Platzhalterzertifikate von Let’s Encrypt nur für Domains automatisch ausgestellt werden, die Plesk als primären DNS-Server oder einen mit Plesk synchronisierten DNS-Dienst eines Drittanbieters verwenden. Wenn ein DNS-Dienst nicht mit Plesk synchronisiert ist, können Domains nicht über SSL It! mit Platzhalterzertifikaten von Let’s Encrypt geschützt werden. Falls Kunden dies dennoch versuchen, schlägt der Vorgang zwangsläufig fehl. Dies kann dazu führen, dass Kunden Sie über ein Support-Ticket kontaktieren. Um Ihren Support-Aufwand zu reduzieren, können Sie die Option zum Ausstellen von Platzhalterzertifikaten von Let’s Encrypt für Domains deaktivieren, deren DNS-Einträge nicht in Plesk gehostet werden.

So können Sie verhindern, dass die Ausstellung von Platzhalterzertifikaten von Let’s Encrypt durch Kunden fehlschlägt:

  1. Gehen Sie zu Erweiterungen > Tab „Meine Erweiterungen“ > klicken Sie neben SSL It! auf Öffnen.

  2. Klicken Sie oben auf dem Bildschirm auf „Einstellungen“ und wählen Sie dann „Domains mit den angegebenen Nameservern“ aus.

  3. Geben Sie im Textfeld unten die Nameserver der Domains an, deren DNS-Einträge in Plesk oder in einem mit Plesk synchronisierten DNS-Dienst eines Drittanbieters (DigitalOcean DNS, Amazon Route 53 oder Azure DNS) gehostet werden.

    Trennen Sie die Nameserver mit Kommas. Um die Nameserver aller Domains anzugeben, deren DNS-Einträge in Plesk gehostet werden, können Sie den Platzhalter <domain> verwenden:

    ns1.<domain>, ns2.<domain>
    
  4. Klicken Sie auf Speichern.

image-wildcard-nameservers

Kunden können jetzt Platzhalterzertifikate von Let’s Encrypt nur für Domains ausstellen, die automatisch geschützt werden können.

Sie können die Option zum Ausstellen von Platzhalterzertifikaten von Let’s Encrypt auch über die Befehlszeilenschnittstelle ausblenden. Führen Sie dazu den Befehl nach folgendem Muster aus:

plesk ext sslit --wildcard-configuration -enable –nameservers 'ns1.<domain>,ns2.<domain>'

Um weitere Details anzuzeigen, führen Sie den Befehl plesk ext sslit --help aus.

Einschränken der Möglichkeit, kostenpflichtige SSL/TLS-Zertifikate zu bestellen

Sie können die Möglichkeit für Kunden einschränken, kostenpflichtige SSL/TLS-Zertifikate von bestimmten Anbietern zu bestellen. Auch die Schaltfläche „Zertifikate abrufen“ lässt sich ausblenden. Kunden können ihre Websites weiterhin mit SSL/TLS-Zertifikaten von Let’s Encrypt schützen.

So schränken Sie die Möglichkeit ein, kostenpflichtige SSL/TLS-Zertifikate von einem oder mehreren Anbietern zu bestellen:

  1. Öffnen Sie die Datei panel.ini, um sie zu bearbeiten.

  2. Geben Sie unter „[extensions]“ die folgende Zeile ein:

    blacklist = <comma-separated list of IDs of SSL It! plugin extensions>
    

    Wenn Sie zum Beispiel die Möglichkeit einschränken möchten, SSL/TLS-Zertifikate von Symantec (DigiCert) zu bestellen, fügen Sie die folgenden Zeilen ein:

    [extensions]
    blacklist = symantec
    

Wenn Sie die Bestellung von kostenpflichtigen SSL/TLS-Zertifikaten von einem bestimmten Anbieter einschränken, hat dies keine Auswirkungen auf Kunden, die bereits SSL/TLS-Zertifikate von diesem Anbieter gekauft haben. Um den Kauf von SSL/TLS-Zertifikaten von einem Anbieter wieder zu ermöglichen, entfernen Sie die IDs der entsprechenden Plugin-Erweiterung für SSL It! aus der Sperrliste, indem Sie die Datei panel.ini erneut bearbeiten.

So blenden Sie die Schaltfläche „Zertifikate abrufen“ aus:

  1. Öffnen Sie die Datei panel.ini, um sie zu bearbeiten.

  2. Geben Sie unter [ext-sslit] die folgende Zeile ein:

    showGetMoreCertificatesLink = false
    

Wenn Sie die Schaltfläche „Zertifikate abrufen“ ausblenden, hat dies keine Auswirkung auf Kunden, die bereits SSL/TLS-Zertifikate gekauft haben. Kunden können ihre Websites außerdem auch weiterhin über SSL/TLS-Zertifikate von Let’s Encrypt schützen. Wenn die Sectigo-Erweiterung auf dem Server installiert ist, können Kunden auch dann kostenpflichtige Zertifikate von Sectigo bestellen, wenn die Schaltfläche „Zertifikate abrufen“ ausgeblendet ist. Um die Schaltfläche wieder sichtbar zu machen, entfernen Sie die Zeile, indem Sie die Datei panel.ini erneut bearbeiten.