SHA-1-Zertifikate auf die SHA-2-Hash-Funktion umstellen
Eine unmittelbare Gefahr ist vielleicht nicht zu erwarten, doch auch DigiCert empfiehlt Administratoren dringend die schnellstmögliche Umstellung auf SHA-2.
Der folgende Migrationsleitfaden soll ihnen helfen, den Einsatz von SHA-2-TLS/SSL-Zertifikaten zu planen und zu realisieren.
- Schritte der Migration zu SHA-2
- Tools für die Migration zu SHA-2
- SHA-2-Ersetzungsoptionen
Schritte der Migration von SHA-1 zu SHA-2
- Umgebungsprüfung als Vorbereitung auf SHA-2-Unterstützung
Im ersten Schritt müssen Sie prüfen, ob Ihre Soft- und Hardware in der Lage ist, SHA-2-Zertifikate zu unterstützen. Auf der SHA-2-Kompatibilitätsseite finden Sie eine Liste der unterstützten Geräte und Software.
Wenn Teile Ihre Umgebung SHA-2 nicht unterstützen, müssen Sie diese vor der Einführung neuer Zertifikate ersetzen oder upgraden.
- Erfassen aller SHA-1 Zertifikate
Suchen Sie mit einem Scan-Tool wie Discovery alle SHA-1-Zertifikate in Ihrem Netzwerk, und zwar unabhängig vom Aussteller.
- Erzeugen neuer Signaturanforderungen für jedes SHA-1-Zertifikat
Für jedes SHA-1-Zertifikat muss eine neue Signaturanforderung (Certificate Signing Request, CSR) auf dem Server erzeugt werden, auf dem es installiert ist.
DigiCert bietet praktische CSR-Generatoren für alle wichtigen Servertypen, die den CSR-Generierungsprozess automatisieren. Die CSR-Generatoren von DigiCert finden Sie in unserer Knowledge-Base (auf Englisch), auf der Seite Create a CSR (Certificate Signing Request) mit Informationen zum Erzeugen von CSRs im Abschnitt „Common Platforms & Operating Systems“ (Häufig genutzte Plattformen und Betriebssysteme).
- Ersetzen von SHA-1-Zertifikaten durch SHA-2-Zertifikate
Um Zertifikate mit SHA-1 durch SHA-2-Zertifikate zu ersetzen, stellen Sie das jeweilige Zertifikat neu aus, verlängern Sie es oder erwerben Sie ein neues Zertifikat.
- Installieren neuer SHA-2-Zertifikate
Sobald Sie Ihre neuen Zertifikate haben, installieren Sie sie zusammen mit allen zusätzlich erforderlichen Zwischenzertifikaten im Netzwerk.
Antworten auf Fragen zur Installation von Zertifikaten in Ihrer Umgebung finden Sie im umfangreichen Support-Abschnitt der DigiCert-Website.
Mit der DigiCert® Certificate Utility für Windows haben Sie die Möglichkeit einer Expressinstallation, die den Prozess automatisiert. So installieren Sie Ihre Zertifikate mit nur wenigen Klicks. Weitere Informationen zum TLS/SSL-Zertifikatimport finden Sie in diesem englischsprachigen Artikel: SSL Certificate Importing Instructions: DigiCert® Certificate Utility for Windows.
- Installieren von Testzertifikaten
Im letzten Schritt testen Sie die Website darauf, ob alle Zertifikate installiert sind und ordnungsgemäß funktionieren. Mit unserem kostenlosen DigiCert SSL Installation Diagnostics Tool können Sie etwaige Probleme ausfindig machen. Darüber hinaus steht Ihnen das Discovery-Tool zu Verfügung, das Ihnen zeigt, ob Sie mit der Konfiguration Ihrer Zertifikate vielleicht neue potenzielle Schwachstellen eingeführt haben.
SHA-1-Zertifikate kostenlos ersetzen
DigiCert weiß, dass die Umstellung auf SHA-2 schwierig sein kann. Um den Vorgang so einfach wie möglich zu gestalten, stehen Ihnen bei uns mehrere Optionen kostenlos zur Verfügung.
So migrieren Sie zu SHA-2:
Sie können Zertifikate neu ausstellen, verlängern oder ersetzen. DigiCert-Zertifikate lassen sich beliebig häufig kostenlos verlängern, daher geht der Austausch eines SHA-1-Zertifikats gegen ein SHA-2-Zertifikat leicht vonstatten.
So stellen Sie vorhandene DigiCert-Zertifikate neu aus:
Melden Sie sich bei Ihrem DigiCert-Kundenkonto an und folgen Sie dort der Anleitung Ein DigiCert®-TLS/SSL-Zertifikat erneut ausstellen.
So verlängern Sie vorhandene DigiCert-Zertifikate:
DigiCert-Kunden können ihre vorhandenen Zertifikate auch verlängern, um von SHA-2 zu profitieren. Ab 90 Tagen vor Ablauf des jeweiligen Zertifikats wird im DigiCert-Kundenkonto eine Schaltfläche angezeigt, über die Sie es verlängern können.
Zertifikate, die nicht von DigiCert stammen:
SHA-1-Zertifikate von anderen Ausstellern können Sie kostenfrei durch ein Upgrade auf SHA-2-Zertifikate von DigiCert ersetzen.