bg-blog-articles

Was ist ein CA-Bündel in SSL und wie wird es erstellt?

Sie sind dabei, ein SSL-Zertifikat auf Ihrem Server zu installieren, und plötzlich stecken Sie fest. In der Konfiguration wird nach einer„CA-Bundle„-Datei gefragt, und Sie wissen nicht, was das ist oder wo Sie es finden können. Damit sind Sie nicht allein – viele Leute kommen bei der SSL-Installation nicht weiter.

Was ist ein CA-Bündel?

CA-Bundles sind nicht kompliziert, wenn Sie erst einmal verstehen, was sie tun. In diesem Leitfaden erklären wir Ihnen genau , was ein CA-Bundle ist, warum Ihr Server es braucht und wie Sie ein CA-Bundle in nur wenigen Minuten erstellen oder erhalten. Am Ende werden Sie in der Lage sein, CA-Bundles sicher zu handhaben und die frustrierenden Fehler „Zertifikat nicht vertrauenswürdig“ zu vermeiden.


Inhaltsübersicht

  1. Was ist ein CA-Bündel?
  2. Warum das CA-Bündel für die SSL-Sicherheit wichtig ist
  3. Wie Sie Ihr CA-Paket erhalten
  4. Wie Sie ein CA-Bündel erstellen
  5. Überprüfen Ihres CA-Bündels
  6. Installation des CA-Bündels auf Ihrem Server
  7. Häufige CA-Bundle-Probleme und Lösungen
  8. CA Bundle Bewährte Praktiken

Sparen Sie 10% auf SSL-Zertifikate, wenn Sie heute bei SSL Dragon bestellen!

Schnelle Ausgabe, starke Verschlüsselung, 99,99% Browservertrauen, engagierter Support und 25 Tage Geld-zurück-Garantie. Coupon-Code: SAVE10

Ein detailliertes Bild eines Drachens im Flug

Was ist ein CA-Bündel?

Ein CA-Bündel ist eine einzelne Datei, die Zwischenzertifikate und Stammzertifikate von Ihrer Zertifizierungsstelle enthält. In Kombination mit Ihrem Serverzertifikat vervollständigt es Ihre SSL-Zertifikatskette – die Abfolge von Zertifikaten, die Browser verwenden, um die Legitimität Ihrer Website zu überprüfen.

Stellen Sie sich das so vor: Auf Ihrem Serverzertifikat steht „Ich bin example.com“, aber die Browser brauchen einen Beweis. Das CA-Bündel liefert diesen Beweis, indem es den vertrauenswürdigen Pfad von Ihrem Zertifikat bis hin zu einem Stammzertifikat zeigt, dem die Browser bereits vertrauen.

Die meisten SSL-Zertifikate erfordern ein CA-Bundle (die wichtigste Ausnahme sind Zertifikate im PKCS#7-Format, die das Bundle bereits enthalten). Ohne dieses Bundle können Browser die Echtheit Ihres Zertifikats nicht überprüfen, was zu Sicherheitswarnungen führt, die Besucher vergraulen.

CA-Bündel Komponenten

Ein typisches CA-Bündel enthält zwei Arten von Zertifikaten:

  1. Zwischenzertifikate. Dies sind Zertifikate, die von der Zertifizierungsstelle ausgestellt werden, um die Lücke zwischen Ihrem Serverzertifikat und dem Stammzertifikat zu schließen. Große Zertifizierungsstellen wie Sectigo und DigiCert verwenden oft mehrere Zwischenzertifikate, um die Arbeitslast beim Signieren von Zertifikaten zu verteilen und verschiedene Zertifikatstypen zu verwalten.
  2. Root-Zertifikate. Dies sind die obersten Zertifikate in der Vertrauenskette. Auf Browsern und Betriebssystemen sind Stammzertifikate von vertrauenswürdigen Zertifizierungsstellen vorinstalliert. Wenn ein Browser ein Stammzertifikat sieht, das er erkennt, weiß er, dass die gesamte Zertifikatskette gültig ist.

The file itself usually has a .pem, .crt, or .ca-bundle extension. Inside, you’ll find the certificates in PEM format—blocks of text starting with —–BEGIN CERTIFICATE—– and ending with —–END CERTIFICATE—–.

Die Zertifikatskette des Vertrauens

Hier sehen Sie, wie die SSL-Zertifikatskette in der Praxis funktioniert:

  1. Serverzertifikat (das Zertifikat Ihrer Website) – Enthält Ihren Domainnamen und den öffentlichen Schlüssel
  2. Zwischenzertifikat(e) ( aus CA-Bundle) – Signiert von der Stammzertifizierungsstelle, signiert Ihr Zertifikat
  3. Root-Zertifikat (von CA Bundle) – von Browsern und Betriebssystemen als vertrauenswürdig eingestuft
Vertrauenskette für Zertifikate

Wenn jemand Ihre Website über HTTPS besucht, führt sein Browser einen SSL-Handshake durch. Während dieses Prozesses überprüft der Browser jedes Glied in der Kette, angefangen bei Ihrem Serverzertifikat bis hin zu einem vertrauenswürdigen Stammzertifikat. Dies ist die PKI (Public Key Infrastructure) in Aktion.

Wenn ein Glied in dieser Kette fehlt – typischerweise weil das CA-Bündel nicht installiert wurde – kann der Browser die Validierung nicht abschließen. Das Ergebnis? Sicherheitswarnungen wie „Ihre Verbindung ist nicht privat“ oder „Zertifikat nicht vertrauenswürdig“.


Warum das CA-Bündel für die SSL-Sicherheit wichtig ist

Das CA-Bündel hat mehrere wichtige Funktionen, die über die Anzeige des Vorhängeschloss-Symbols hinausgehen.

Browser-Kompatibilität
Verschiedene Browser und Betriebssysteme unterhalten unterschiedliche Zertifikats-Vertrauensspeicher. Ihr CA-Bundle gewährleistet die Kompatibilität zwischen Desktop-Browsern, mobilen Geräten, E-Mail-Clients und API-Tools. Dies ist besonders wichtig für ältere Browserversionen, die möglicherweise nicht über die neuesten Zwischenzertifikate verfügen.

Schutz vor Sicherheitsbedrohungen
Ein richtig konfiguriertes CA-Bündel trägt dazu bei, Man-in-the-Middle-Angriffe zu verhindern, indem die Authentizität von Zertifikaten auf mehreren Ebenen überprüft wird. Die Zertifikatskette macht Fälschungen nahezu unmöglich, da jedes Zertifikat von dem darüber liegenden kryptografisch signiert ist.

Erfüllung von Compliance-Anforderungen
Viele Branchen verlangen eine ordnungsgemäße SSL/TLS-Konfiguration:

  • PCI DSS erfordert eine sichere Übertragung von Karteninhaberdaten
  • Die GDPR schreibt angemessene Sicherheitsmaßnahmen für personenbezogene Daten vor
  • HIPAA erfordert eine sichere Kommunikation für Informationen aus dem Gesundheitswesen

Ein fehlendes oder falsch konfiguriertes CA-Bündel kann dazu führen, dass Sie die Vorschriften nicht einhalten, selbst wenn Ihr Zertifikat selbst gültig ist.


Wie Sie Ihr CA-Paket erhalten

Sie müssen nicht jedes Mal ein CA-Bündel von Grund auf neu erstellen. Hier sind die wichtigsten Möglichkeiten, eines zu erhalten:

1. Von Ihrer Zertifizierungsstelle
Wenn Sie ein SSL-Zertifikat von Anbietern wie Sectigo, DigiCert oder GeoTrust erwerben, erhalten Sie das CA-Bundle normalerweise zusammen mit Ihrem Serverzertifikat. Bei SSL Dragon-Kunden finden Sie Ihr CA-Bundle direkt nach der Ausstellung in Ihrem Zertifikats-Dashboard.

2. Download von offiziellen CA-Repositories
Die meisten großen Zertifizierungsstellen unterhalten öffentliche Repositories, von denen Sie Stamm- und Zwischenzertifikate herunterladen können. Sectigo, DigiCert, Let’s Encrypt und andere CAs veröffentlichen ihre Zertifikatsketten auf ihren Support-Seiten.

3. Extrahieren aus dem Zertifikatspeicher
Betriebssysteme unterhalten Vertrauensspeicher für Zertifikate, auf die Sie zugreifen können:

  • Windows: Verwenden Sie certmgr.msc für den Zugriff auf den Zertifikatsmanager
  • Linux/macOS: Verzeichnis /etc/ssl/certs/

So erstellen Sie ein CA-Bundle (Schritt-für-Schritt-Anleitung)

Manchmal müssen Sie ein CA-Bündel manuell erstellen – vielleicht haben Sie nur einzelne Zertifikatsdateien erhalten. Hier erfahren Sie, wie Sie es richtig machen.

Voraussetzungen

Bevor Sie beginnen, stellen Sie sicher, dass Sie alles haben:

  • Ihre Zwischenzertifikatsdatei(en)
  • Ihre Stammzertifikatsdatei
  • Ein Texteditor (Notepad++, nano, vim oder sogar ein einfacher Notepad)

Methode 1: Verwendung eines Texteditors

Diese Methode funktioniert auf jeder Plattform und erfordert keine technischen Kenntnisse.

Schritt 1: Suchen Sie Ihre Zertifikatsdateien

Suchen Sie die Zertifikatsdateien, die Sie von Ihrer CA erhalten haben. Sie suchen nach den Zwischen- und Stammzertifikaten – nicht nach Ihrem Serverzertifikat. Die Dateien haben normalerweise Erweiterungen wie .crt, .pem oder .cer.

Schritt 2: Öffnen Sie jedes Zertifikat

Öffnen Sie Ihr Zwischenzertifikat in einem Texteditor. Sie werden einen Inhalt wie den folgenden sehen:

-----BEGIN CERTIFICATE-----
MIIGEzCCA/ugAwIBAgIQfVtRJrR2uhHbdBYLvFMNpzANBgkqhkiG9w0BAQwFADCB
[many lines of encoded data]
-----END CERTIFICATE-----

Die wichtigsten Teile sind die Kopfzeile —–BEGIN CERTIFICATE—– und die Fußzeile —–END CERTIFICATE—–. Stellen Sie sicher, dass beide vorhanden und vollständig sind.

Schritt 3: Erstellen Sie Ihre Bundle-Datei

Erstellen Sie eine neue leere Datei in Ihrem Texteditor. Nennen Sie sie yourdomain.ca-bundle oder ca-bundle.crt. Die Dateierweiterung spielt keine große Rolle – Sie können .pem, .crt oder .ca-bundle verwenden.

Schritt 4: Kopieren von Zertifikaten in der richtigen Reihenfolge

Dies ist der entscheidende Schritt. Der Auftrag muss lauten:

  1. Erstens: Ihr Zwischenzertifikat (dasjenige, das Ihr Serverzertifikat direkt signiert hat)
  2. Zweitens: Alle zusätzlichen Zwischenzertifikate (falls Sie mehrere haben)
  3. Zuletzt: Das Stammzertifikat

Kopieren Sie jedes Zertifikat vollständig, einschließlich der Zeilen BEGIN und END. Fügen Sie keine zusätzlichen Leerzeichen oder Leerzeilen zwischen den Zertifikaten ein.

So sieht ein korrektes CA-Bündel aus:

-----BEGIN CERTIFICATE-----
[Intermediate Certificate 1]
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
[Root Certificate]
-----END CERTIFICATE-----

Schritt 5: Speichern Sie die Datei

Speichern Sie Ihre Datei mit UTF-8-Kodierung. Vergewissern Sie sich, dass jedes Zertifikat mit —–BEGIN CERTIFICATE—– beginnt und mit —–END CERTIFICATE—– ohne zusätzliche Leerzeichen endet.

Methode 2: Verwendung der Kommandozeile

Wenn Sie mit der Befehlszeile vertraut sind, können Sie ein CA-Bündel in Sekundenschnelle erstellen.

Linux/macOS:

cat intermediate.crt root.crt > ca-bundle.crt

Windows-Eingabeaufforderung:

copy /b intermediate.crt + root.crt ca-bundle.crt

Diese Befehle verketten die Zertifikatsdateien in der richtigen Reihenfolge. Achten Sie darauf, dass Sie sie in der richtigen Reihenfolge auflisten: zuerst die Zwischenzertifikate, dann das Stammzertifikat.

Häufige Fehler, die Sie vermeiden sollten

  • Falsche Zertifikatsreihenfolge – Der häufigste Fehler ist, dass das Stammzertifikat an erster Stelle steht
  • Zusätzlicher Leerraum – Fügen Sie keine Leerzeilen zwischen Zertifikaten ein.
  • Fehlende Kopfzeilen – Kopieren Sie den gesamten Zertifikatsblock einschließlich der BEGIN/END-Zeilen
  • Einschließlich Ihres Server-Zertifikats – Das CA-Bündel sollte nur Zwischen- und Stammzertifikate enthalten

Sparen Sie 10% auf SSL-Zertifikate, wenn Sie heute bei SSL Dragon bestellen!

Schnelle Ausgabe, starke Verschlüsselung, 99,99% Browservertrauen, engagierter Support und 25 Tage Geld-zurück-Garantie. Coupon-Code: SAVE10

Ein detailliertes Bild eines Drachens im Flug

Überprüfen Ihres CA-Bündels

Bevor Sie Ihr CA-Bundle auf einem Produktionsserver installieren, überprüfen Sie, ob es korrekt ist.

OpenSSL verwenden

OpenSSL ist das Standardwerkzeug für die Arbeit mit SSL-Zertifikaten:

openssl verify -CAfile ca-bundle.crt your-server-certificate.crt

Wenn alles korrekt ist, werden Sie es sehen:

your-server-certificate.crt: OK

Wenn es ein Problem gibt, teilt OpenSSL Ihnen mit, was los ist, z. B. fehlende Zertifikate oder eine falsche Reihenfolge.

Online-Tools zur SSL-Überprüfung verwenden

SSL Dragon bietet ein kostenloses SSL-Checker-Tool, das Ihre Zertifikatskette überprüft. Sobald Ihr Zertifikat installiert ist, wird das Tool:

  • Die komplette Zertifikatskette anzeigen
  • Identifizieren Sie alle fehlenden Zwischenzertifikate
  • Prüfen Sie das Ablaufdatum des Zertifikats
  • Kompatibilität mit verschiedenen Browsern testen

Installation des CA-Bündels auf Ihrem Server

Der Installationsvorgang variiert je nach Plattform. Hier ist ein kurzer Überblick:

Apache. Verwenden Sie die Richtlinie SSLCertificateChainFile:

SSLCertificateChainFile /path/to/ca-bundle.crt

Nginx. Geben Sie das vertrauenswürdige Zertifikat an:

ssl_trusted_certificate /path/to/ca-bundle.crt;

cPanel/WHM. Fügen Sie über die Weboberfläche Ihr CA-Bundle in das Feld „Certificate Authority Bundle“ ein.

IIS (Windows Server). Importieren Sie mit dem Zertifikatsmanager Zwischenzertifikate in „Zwischenzertifizierungsstellen“ und Stammzertifikate in „Vertrauenswürdige Stammzertifizierungsstellen“.

Detaillierte Installationsanleitungen für Ihre Serverumgebung finden Sie in der Installationsdokumentation von SSL Dragon.


Häufige CA-Bundle-Probleme und Lösungen

Problem 1: „Zertifikatskette unvollständig“ Fehler

Die Symptome: SSL-Testtools melden ein fehlendes Zwischenzertifikat, oder einige Browser zeigen Warnungen an.

Lösung: Laden Sie das komplette Zertifikatspaket von der Website Ihrer CA herunter. Überprüfen Sie, ob ALLE Zwischenzertifikate enthalten sind, nicht nur eines. Stellen Sie sicher, dass die Reihenfolge korrekt ist.

Problem 2: Falsche Zertifikatsbestellung

Die Symptome: Fehler bei der Zertifikatsvalidierung oder intermittierende SSL-Warnungen in Browsern.

Lösung: Ordnen Sie Ihre Zertifikate neu an, so dass das Zertifikat, das Ihr Serverzertifikat signiert hat, an erster Stelle steht und das Stammzertifikat an letzter Stelle. Speichern Sie und laden Sie es erneut auf Ihren Server hoch.

Problem 3: PKCS#7 Format Verwirrung

Die Symptome: Sie haben eine .p7b-Datei erhalten und sind sich nicht sicher, ob Sie ein CA-Bündel benötigen.

Lösung: PKCS#7-Dateien (.p7b) enthalten bereits das CA-Bündel. Sie brauchen keine separate Datei zu erstellen. Wenn Ihr Server das PEM-Format erfordert, konvertieren Sie es:

openssl pkcs7 -print_certs -in certificate.p7b -out certificate-with-chain.pem

Problem 4: Abgelaufenes Zwischenzertifikat

Die Symptome: Plötzliche SSL-Fehler auf einer zuvor funktionierenden Website.

Lösung: Laden Sie das neueste CA-Bundle von Ihrer Zertifizierungsstelle herunter. Die großen CAs veröffentlichen aktualisierte Zwischenzertifikate, bevor die alten auslaufen. Ersetzen Sie Ihr altes Bundle durch das neue.


CA Bundle Bewährte Praktiken

  • Bewahren Sie Backups auf – Bewahren Sie Ihr Serverzertifikat, Ihren privaten Schlüssel und Ihr CA-Bundle an einem sicheren Ort auf. Sie benötigen sie, wenn Sie den Server wechseln oder neu installieren.
  • Verwenden Sie nur offizielle Quellen – Beziehen Sie Ihr CA-Bundle immer von der offiziellen Website Ihrer Zertifizierungsstelle. Die Repositories von Drittanbietern könnten veraltet oder kompromittiert sein.
  • Überwachen Sie VerfallsdatenStamm- und Zwischenzertifikate laufen ebenfalls ab. Stellen Sie Erinnerungen ein, um nach CA-Updates zu suchen.
  • Vor der Produktion testen – Testen Sie neue Konfigurationen zunächst in einer Staging-Umgebung. Verwenden Sie SSL-Testtools, um zu überprüfen, ob alles funktioniert, bevor Sie die Produktion starten.
  • Dokumentieren Sie Ihre Einrichtung – Machen Sie sich Notizen darüber, welche Zertifikate Sie verwenden, wo sie installiert sind und wann sie erneuert werden. In Zukunft werden Sie das zu schätzen wissen.

CA Bundle FAQs

Kann ich ein CA-Bündel automatisch erstellen?
Nein. Im Gegensatz zu einer CSR, die Sie selbst erstellen, muss ein CA-Bündel von Ihrer Zertifizierungsstelle stammen. Sie können es manuell erstellen, indem Sie die von ihr bereitgestellten Zertifikate kombinieren.

Was ist der Unterschied zwischen einem CA-Bündel und einer Zertifikatskette?
Das CA-Bundle enthält nur die Zwischen- und Stammzertifikate. Die vollständige Zertifikatskette umfasst Ihr Serverzertifikat und das CA-Bundle.

Ist für alle Zertifikate ein CA-Bündel erforderlich?
Für die meisten SSL/TLS-Zertifikate ist eine solche erforderlich. Die wichtigste Ausnahme sind Zertifikate im PKCS#7-Format (.p7b-Dateien), die die Vermittler in der Datei selbst enthalten.

Ist das CA-Bündel für alle Zertifikate einer CA identisch?
Im Allgemeinen ja. Zertifikate desselben Typs (DV, OV oder EV) von derselben Zertifizierungsstelle verwenden normalerweise dieselben Zwischenzertifikate.


Holen Sie sich Ihr SSL-Zertifikat mit dem problemlosen CA-Paket von SSL Dragon

Die Einrichtung von SSL-Zertifikaten muss nicht kompliziert sein. SSL Dragon bietet alles, was Sie für eine reibungslose Installation benötigen, einschließlich vorkonfigurierter CA-Bündel, detaillierter Installationsanleitungen und fachkundiger Unterstützung.

Warum SSL Dragon-Kunden CA Bundle-Kopfschmerzen vermeiden:

Komplette Installationspakete – Serverzertifikat, privater Schlüssel und CA-Paket zusammen
Vorvalidierte Pakete – Alle Zertifikate werden vor der Auslieferung getestet
24/7 Experten-Support – Echte Menschen, die SSL verstehen
Schnelle Ausstellung – Domainvalidierte Zertifikate in nur 5 Minuten
Universelle Kompatibilität – 99,99% Browser-Erkennung
25 Tage Geld-zurück-Garantie – Testen Sie risikofrei

SSL-Zertifikate durchsuchen

Sparen Sie 10% auf SSL-Zertifikate, wenn Sie noch heute bestellen!

Schnelle Ausstellung, starke Verschlüsselung, 99,99% Browser-Vertrauen, engagierter Support und 25-tägige Geld-zurück-Garantie. Gutscheincode: SAVE10

A detailed image of a dragon in flight
Geschrieben von

Erfahrener Content-Autor, spezialisiert auf SSL-Zertifikate. Verwandeln Sie komplexe Cybersicherheitsthemen in klare, ansprechende Inhalte. Tragen Sie durch wirkungsvolle Narrative zur Verbesserung der digitalen Sicherheit bei.