Sie sind dabei, ein SSL-Zertifikat auf Ihrem Server zu installieren, und plötzlich stecken Sie fest. In der Konfiguration wird nach einer„CA-Bundle„-Datei gefragt, und Sie wissen nicht, was das ist oder wo Sie es finden können. Damit sind Sie nicht allein – viele Leute kommen bei der SSL-Installation nicht weiter.

CA-Bundles sind nicht kompliziert, wenn Sie erst einmal verstehen, was sie tun. In diesem Leitfaden erklären wir Ihnen genau , was ein CA-Bundle ist, warum Ihr Server es braucht und wie Sie ein CA-Bundle in nur wenigen Minuten erstellen oder erhalten. Am Ende werden Sie in der Lage sein, CA-Bundles sicher zu handhaben und die frustrierenden Fehler „Zertifikat nicht vertrauenswürdig“ zu vermeiden.
Inhaltsübersicht
- Was ist ein CA-Bündel?
- Warum das CA-Bündel für die SSL-Sicherheit wichtig ist
- Wie Sie Ihr CA-Paket erhalten
- Wie Sie ein CA-Bündel erstellen
- Überprüfen Ihres CA-Bündels
- Installation des CA-Bündels auf Ihrem Server
- Häufige CA-Bundle-Probleme und Lösungen
- CA Bundle Bewährte Praktiken
Sparen Sie 10% auf SSL-Zertifikate, wenn Sie heute bei SSL Dragon bestellen!
Schnelle Ausgabe, starke Verschlüsselung, 99,99% Browservertrauen, engagierter Support und 25 Tage Geld-zurück-Garantie. Coupon-Code: SAVE10
Was ist ein CA-Bündel?
Ein CA-Bündel ist eine einzelne Datei, die Zwischenzertifikate und Stammzertifikate von Ihrer Zertifizierungsstelle enthält. In Kombination mit Ihrem Serverzertifikat vervollständigt es Ihre SSL-Zertifikatskette – die Abfolge von Zertifikaten, die Browser verwenden, um die Legitimität Ihrer Website zu überprüfen.
Stellen Sie sich das so vor: Auf Ihrem Serverzertifikat steht „Ich bin example.com“, aber die Browser brauchen einen Beweis. Das CA-Bündel liefert diesen Beweis, indem es den vertrauenswürdigen Pfad von Ihrem Zertifikat bis hin zu einem Stammzertifikat zeigt, dem die Browser bereits vertrauen.
Die meisten SSL-Zertifikate erfordern ein CA-Bundle (die wichtigste Ausnahme sind Zertifikate im PKCS#7-Format, die das Bundle bereits enthalten). Ohne dieses Bundle können Browser die Echtheit Ihres Zertifikats nicht überprüfen, was zu Sicherheitswarnungen führt, die Besucher vergraulen.
CA-Bündel Komponenten
Ein typisches CA-Bündel enthält zwei Arten von Zertifikaten:
- Zwischenzertifikate. Dies sind Zertifikate, die von der Zertifizierungsstelle ausgestellt werden, um die Lücke zwischen Ihrem Serverzertifikat und dem Stammzertifikat zu schließen. Große Zertifizierungsstellen wie Sectigo und DigiCert verwenden oft mehrere Zwischenzertifikate, um die Arbeitslast beim Signieren von Zertifikaten zu verteilen und verschiedene Zertifikatstypen zu verwalten.
- Root-Zertifikate. Dies sind die obersten Zertifikate in der Vertrauenskette. Auf Browsern und Betriebssystemen sind Stammzertifikate von vertrauenswürdigen Zertifizierungsstellen vorinstalliert. Wenn ein Browser ein Stammzertifikat sieht, das er erkennt, weiß er, dass die gesamte Zertifikatskette gültig ist.
The file itself usually has a .pem, .crt, or .ca-bundle extension. Inside, you’ll find the certificates in PEM format—blocks of text starting with —–BEGIN CERTIFICATE—– and ending with —–END CERTIFICATE—–.
Die Zertifikatskette des Vertrauens
Hier sehen Sie, wie die SSL-Zertifikatskette in der Praxis funktioniert:
- Serverzertifikat (das Zertifikat Ihrer Website) – Enthält Ihren Domainnamen und den öffentlichen Schlüssel
- Zwischenzertifikat(e) ( aus CA-Bundle) – Signiert von der Stammzertifizierungsstelle, signiert Ihr Zertifikat
- Root-Zertifikat (von CA Bundle) – von Browsern und Betriebssystemen als vertrauenswürdig eingestuft

Wenn jemand Ihre Website über HTTPS besucht, führt sein Browser einen SSL-Handshake durch. Während dieses Prozesses überprüft der Browser jedes Glied in der Kette, angefangen bei Ihrem Serverzertifikat bis hin zu einem vertrauenswürdigen Stammzertifikat. Dies ist die PKI (Public Key Infrastructure) in Aktion.
Wenn ein Glied in dieser Kette fehlt – typischerweise weil das CA-Bündel nicht installiert wurde – kann der Browser die Validierung nicht abschließen. Das Ergebnis? Sicherheitswarnungen wie „Ihre Verbindung ist nicht privat“ oder „Zertifikat nicht vertrauenswürdig“.
Warum das CA-Bündel für die SSL-Sicherheit wichtig ist
Das CA-Bündel hat mehrere wichtige Funktionen, die über die Anzeige des Vorhängeschloss-Symbols hinausgehen.
Browser-Kompatibilität
Verschiedene Browser und Betriebssysteme unterhalten unterschiedliche Zertifikats-Vertrauensspeicher. Ihr CA-Bundle gewährleistet die Kompatibilität zwischen Desktop-Browsern, mobilen Geräten, E-Mail-Clients und API-Tools. Dies ist besonders wichtig für ältere Browserversionen, die möglicherweise nicht über die neuesten Zwischenzertifikate verfügen.
Schutz vor Sicherheitsbedrohungen
Ein richtig konfiguriertes CA-Bündel trägt dazu bei, Man-in-the-Middle-Angriffe zu verhindern, indem die Authentizität von Zertifikaten auf mehreren Ebenen überprüft wird. Die Zertifikatskette macht Fälschungen nahezu unmöglich, da jedes Zertifikat von dem darüber liegenden kryptografisch signiert ist.
Erfüllung von Compliance-Anforderungen
Viele Branchen verlangen eine ordnungsgemäße SSL/TLS-Konfiguration:
- PCI DSS erfordert eine sichere Übertragung von Karteninhaberdaten
- Die GDPR schreibt angemessene Sicherheitsmaßnahmen für personenbezogene Daten vor
- HIPAA erfordert eine sichere Kommunikation für Informationen aus dem Gesundheitswesen
Ein fehlendes oder falsch konfiguriertes CA-Bündel kann dazu führen, dass Sie die Vorschriften nicht einhalten, selbst wenn Ihr Zertifikat selbst gültig ist.
Wie Sie Ihr CA-Paket erhalten
Sie müssen nicht jedes Mal ein CA-Bündel von Grund auf neu erstellen. Hier sind die wichtigsten Möglichkeiten, eines zu erhalten:
1. Von Ihrer Zertifizierungsstelle
Wenn Sie ein SSL-Zertifikat von Anbietern wie Sectigo, DigiCert oder GeoTrust erwerben, erhalten Sie das CA-Bundle normalerweise zusammen mit Ihrem Serverzertifikat. Bei SSL Dragon-Kunden finden Sie Ihr CA-Bundle direkt nach der Ausstellung in Ihrem Zertifikats-Dashboard.
2. Download von offiziellen CA-Repositories
Die meisten großen Zertifizierungsstellen unterhalten öffentliche Repositories, von denen Sie Stamm- und Zwischenzertifikate herunterladen können. Sectigo, DigiCert, Let’s Encrypt und andere CAs veröffentlichen ihre Zertifikatsketten auf ihren Support-Seiten.
3. Extrahieren aus dem Zertifikatspeicher
Betriebssysteme unterhalten Vertrauensspeicher für Zertifikate, auf die Sie zugreifen können:
- Windows: Verwenden Sie certmgr.msc für den Zugriff auf den Zertifikatsmanager
- Linux/macOS: Verzeichnis /etc/ssl/certs/
So erstellen Sie ein CA-Bundle (Schritt-für-Schritt-Anleitung)
Manchmal müssen Sie ein CA-Bündel manuell erstellen – vielleicht haben Sie nur einzelne Zertifikatsdateien erhalten. Hier erfahren Sie, wie Sie es richtig machen.
Voraussetzungen
Bevor Sie beginnen, stellen Sie sicher, dass Sie alles haben:
- Ihre Zwischenzertifikatsdatei(en)
- Ihre Stammzertifikatsdatei
- Ein Texteditor (Notepad++, nano, vim oder sogar ein einfacher Notepad)
Methode 1: Verwendung eines Texteditors
Diese Methode funktioniert auf jeder Plattform und erfordert keine technischen Kenntnisse.
Schritt 1: Suchen Sie Ihre Zertifikatsdateien
Suchen Sie die Zertifikatsdateien, die Sie von Ihrer CA erhalten haben. Sie suchen nach den Zwischen- und Stammzertifikaten – nicht nach Ihrem Serverzertifikat. Die Dateien haben normalerweise Erweiterungen wie .crt, .pem oder .cer.
Schritt 2: Öffnen Sie jedes Zertifikat
Öffnen Sie Ihr Zwischenzertifikat in einem Texteditor. Sie werden einen Inhalt wie den folgenden sehen:
-----BEGIN CERTIFICATE-----
MIIGEzCCA/ugAwIBAgIQfVtRJrR2uhHbdBYLvFMNpzANBgkqhkiG9w0BAQwFADCB
[many lines of encoded data]
-----END CERTIFICATE-----
Die wichtigsten Teile sind die Kopfzeile —–BEGIN CERTIFICATE—– und die Fußzeile —–END CERTIFICATE—–. Stellen Sie sicher, dass beide vorhanden und vollständig sind.
Schritt 3: Erstellen Sie Ihre Bundle-Datei
Erstellen Sie eine neue leere Datei in Ihrem Texteditor. Nennen Sie sie yourdomain.ca-bundle oder ca-bundle.crt. Die Dateierweiterung spielt keine große Rolle – Sie können .pem, .crt oder .ca-bundle verwenden.
Schritt 4: Kopieren von Zertifikaten in der richtigen Reihenfolge
Dies ist der entscheidende Schritt. Der Auftrag muss lauten:
- Erstens: Ihr Zwischenzertifikat (dasjenige, das Ihr Serverzertifikat direkt signiert hat)
- Zweitens: Alle zusätzlichen Zwischenzertifikate (falls Sie mehrere haben)
- Zuletzt: Das Stammzertifikat
Kopieren Sie jedes Zertifikat vollständig, einschließlich der Zeilen BEGIN und END. Fügen Sie keine zusätzlichen Leerzeichen oder Leerzeilen zwischen den Zertifikaten ein.
So sieht ein korrektes CA-Bündel aus:
-----BEGIN CERTIFICATE-----
[Intermediate Certificate 1]
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
[Root Certificate]
-----END CERTIFICATE-----
Schritt 5: Speichern Sie die Datei
Speichern Sie Ihre Datei mit UTF-8-Kodierung. Vergewissern Sie sich, dass jedes Zertifikat mit —–BEGIN CERTIFICATE—– beginnt und mit —–END CERTIFICATE—– ohne zusätzliche Leerzeichen endet.
Methode 2: Verwendung der Kommandozeile
Wenn Sie mit der Befehlszeile vertraut sind, können Sie ein CA-Bündel in Sekundenschnelle erstellen.
Linux/macOS:
cat intermediate.crt root.crt > ca-bundle.crt
Windows-Eingabeaufforderung:
copy /b intermediate.crt + root.crt ca-bundle.crt
Diese Befehle verketten die Zertifikatsdateien in der richtigen Reihenfolge. Achten Sie darauf, dass Sie sie in der richtigen Reihenfolge auflisten: zuerst die Zwischenzertifikate, dann das Stammzertifikat.
Häufige Fehler, die Sie vermeiden sollten
- Falsche Zertifikatsreihenfolge – Der häufigste Fehler ist, dass das Stammzertifikat an erster Stelle steht
- Zusätzlicher Leerraum – Fügen Sie keine Leerzeilen zwischen Zertifikaten ein.
- Fehlende Kopfzeilen – Kopieren Sie den gesamten Zertifikatsblock einschließlich der BEGIN/END-Zeilen
- Einschließlich Ihres Server-Zertifikats – Das CA-Bündel sollte nur Zwischen- und Stammzertifikate enthalten
Sparen Sie 10% auf SSL-Zertifikate, wenn Sie heute bei SSL Dragon bestellen!
Schnelle Ausgabe, starke Verschlüsselung, 99,99% Browservertrauen, engagierter Support und 25 Tage Geld-zurück-Garantie. Coupon-Code: SAVE10
Überprüfen Ihres CA-Bündels
Bevor Sie Ihr CA-Bundle auf einem Produktionsserver installieren, überprüfen Sie, ob es korrekt ist.
OpenSSL verwenden
OpenSSL ist das Standardwerkzeug für die Arbeit mit SSL-Zertifikaten:
openssl verify -CAfile ca-bundle.crt your-server-certificate.crt
Wenn alles korrekt ist, werden Sie es sehen:
your-server-certificate.crt: OK
Wenn es ein Problem gibt, teilt OpenSSL Ihnen mit, was los ist, z. B. fehlende Zertifikate oder eine falsche Reihenfolge.
Online-Tools zur SSL-Überprüfung verwenden
SSL Dragon bietet ein kostenloses SSL-Checker-Tool, das Ihre Zertifikatskette überprüft. Sobald Ihr Zertifikat installiert ist, wird das Tool:
- Die komplette Zertifikatskette anzeigen
- Identifizieren Sie alle fehlenden Zwischenzertifikate
- Prüfen Sie das Ablaufdatum des Zertifikats
- Kompatibilität mit verschiedenen Browsern testen
Installation des CA-Bündels auf Ihrem Server
Der Installationsvorgang variiert je nach Plattform. Hier ist ein kurzer Überblick:
Apache. Verwenden Sie die Richtlinie SSLCertificateChainFile:
SSLCertificateChainFile /path/to/ca-bundle.crt
Nginx. Geben Sie das vertrauenswürdige Zertifikat an:
ssl_trusted_certificate /path/to/ca-bundle.crt;
cPanel/WHM. Fügen Sie über die Weboberfläche Ihr CA-Bundle in das Feld „Certificate Authority Bundle“ ein.
IIS (Windows Server). Importieren Sie mit dem Zertifikatsmanager Zwischenzertifikate in „Zwischenzertifizierungsstellen“ und Stammzertifikate in „Vertrauenswürdige Stammzertifizierungsstellen“.
Detaillierte Installationsanleitungen für Ihre Serverumgebung finden Sie in der Installationsdokumentation von SSL Dragon.
Häufige CA-Bundle-Probleme und Lösungen
Problem 1: „Zertifikatskette unvollständig“ Fehler
Die Symptome: SSL-Testtools melden ein fehlendes Zwischenzertifikat, oder einige Browser zeigen Warnungen an.
Lösung: Laden Sie das komplette Zertifikatspaket von der Website Ihrer CA herunter. Überprüfen Sie, ob ALLE Zwischenzertifikate enthalten sind, nicht nur eines. Stellen Sie sicher, dass die Reihenfolge korrekt ist.
Problem 2: Falsche Zertifikatsbestellung
Die Symptome: Fehler bei der Zertifikatsvalidierung oder intermittierende SSL-Warnungen in Browsern.
Lösung: Ordnen Sie Ihre Zertifikate neu an, so dass das Zertifikat, das Ihr Serverzertifikat signiert hat, an erster Stelle steht und das Stammzertifikat an letzter Stelle. Speichern Sie und laden Sie es erneut auf Ihren Server hoch.
Problem 3: PKCS#7 Format Verwirrung
Die Symptome: Sie haben eine .p7b-Datei erhalten und sind sich nicht sicher, ob Sie ein CA-Bündel benötigen.
Lösung: PKCS#7-Dateien (.p7b) enthalten bereits das CA-Bündel. Sie brauchen keine separate Datei zu erstellen. Wenn Ihr Server das PEM-Format erfordert, konvertieren Sie es:
openssl pkcs7 -print_certs -in certificate.p7b -out certificate-with-chain.pem
Problem 4: Abgelaufenes Zwischenzertifikat
Die Symptome: Plötzliche SSL-Fehler auf einer zuvor funktionierenden Website.
Lösung: Laden Sie das neueste CA-Bundle von Ihrer Zertifizierungsstelle herunter. Die großen CAs veröffentlichen aktualisierte Zwischenzertifikate, bevor die alten auslaufen. Ersetzen Sie Ihr altes Bundle durch das neue.
CA Bundle Bewährte Praktiken
- Bewahren Sie Backups auf – Bewahren Sie Ihr Serverzertifikat, Ihren privaten Schlüssel und Ihr CA-Bundle an einem sicheren Ort auf. Sie benötigen sie, wenn Sie den Server wechseln oder neu installieren.
- Verwenden Sie nur offizielle Quellen – Beziehen Sie Ihr CA-Bundle immer von der offiziellen Website Ihrer Zertifizierungsstelle. Die Repositories von Drittanbietern könnten veraltet oder kompromittiert sein.
- Überwachen Sie Verfallsdaten – Stamm- und Zwischenzertifikate laufen ebenfalls ab. Stellen Sie Erinnerungen ein, um nach CA-Updates zu suchen.
- Vor der Produktion testen – Testen Sie neue Konfigurationen zunächst in einer Staging-Umgebung. Verwenden Sie SSL-Testtools, um zu überprüfen, ob alles funktioniert, bevor Sie die Produktion starten.
- Dokumentieren Sie Ihre Einrichtung – Machen Sie sich Notizen darüber, welche Zertifikate Sie verwenden, wo sie installiert sind und wann sie erneuert werden. In Zukunft werden Sie das zu schätzen wissen.
CA Bundle FAQs
Kann ich ein CA-Bündel automatisch erstellen?
Nein. Im Gegensatz zu einer CSR, die Sie selbst erstellen, muss ein CA-Bündel von Ihrer Zertifizierungsstelle stammen. Sie können es manuell erstellen, indem Sie die von ihr bereitgestellten Zertifikate kombinieren.
Was ist der Unterschied zwischen einem CA-Bündel und einer Zertifikatskette?
Das CA-Bundle enthält nur die Zwischen- und Stammzertifikate. Die vollständige Zertifikatskette umfasst Ihr Serverzertifikat und das CA-Bundle.
Ist für alle Zertifikate ein CA-Bündel erforderlich?
Für die meisten SSL/TLS-Zertifikate ist eine solche erforderlich. Die wichtigste Ausnahme sind Zertifikate im PKCS#7-Format (.p7b-Dateien), die die Vermittler in der Datei selbst enthalten.
Ist das CA-Bündel für alle Zertifikate einer CA identisch?
Im Allgemeinen ja. Zertifikate desselben Typs (DV, OV oder EV) von derselben Zertifizierungsstelle verwenden normalerweise dieselben Zwischenzertifikate.
Holen Sie sich Ihr SSL-Zertifikat mit dem problemlosen CA-Paket von SSL Dragon
Die Einrichtung von SSL-Zertifikaten muss nicht kompliziert sein. SSL Dragon bietet alles, was Sie für eine reibungslose Installation benötigen, einschließlich vorkonfigurierter CA-Bündel, detaillierter Installationsanleitungen und fachkundiger Unterstützung.
Warum SSL Dragon-Kunden CA Bundle-Kopfschmerzen vermeiden:
✓ Komplette Installationspakete – Serverzertifikat, privater Schlüssel und CA-Paket zusammen
✓ Vorvalidierte Pakete – Alle Zertifikate werden vor der Auslieferung getestet
✓ 24/7 Experten-Support – Echte Menschen, die SSL verstehen
✓ Schnelle Ausstellung – Domainvalidierte Zertifikate in nur 5 Minuten
✓ Universelle Kompatibilität – 99,99% Browser-Erkennung
✓ 25 Tage Geld-zurück-Garantie – Testen Sie risikofrei
Sparen Sie 10% auf SSL-Zertifikate, wenn Sie noch heute bestellen!
Schnelle Ausstellung, starke Verschlüsselung, 99,99% Browser-Vertrauen, engagierter Support und 25-tägige Geld-zurück-Garantie. Gutscheincode: SAVE10






