Partner Login

Was ist ein Server-Zertifikat?

Ein Server-Zertifikat ist eine digitale Bescheinigung, die eine Zertifizierungsstelle (Certificate Authority, kurz CA) einem Server ausstellt. Fachlich korrekt bezeichnet man es als TLS-Zertifikat. Der Begriff SSL-Zertifikat – der technische Vorgänger – ist jedoch weiterhin weit verbreitet und wird oft als Synonym verwendet.

Wozu dient ein Server-Zertifikat?

Ein TLS-Zertifikat bestätigt, dass ein Server vertrauenswürdig ist und eine HTTPS-Adresse (z. B. https://www.venabo.de) echt ist. Ruft ein Nutzer eine HTTPS-Seite auf, prüft der Browser automatisch, ob auf dem Server ein gültiges Zertifikat vorliegt. Ist das Zertifikat ungültig oder abgelaufen, zeigt der Browser eine Warnmeldung und empfiehlt, die Verbindung nicht herzustellen.

Warum müssen Zertifikate erneuert werden?

Es gibt zwei typische Gründe für eine Zertifikatserneuerung:

  • Wechsel der Zertifizierungsstelle: Ein neues Zertifikat muss ausgestellt und eingespielt werden.
  • Ablauf des Gültigkeitszeitraums: Das bestehende Zertifikat wird mit einem aktualisierten Gültigkeitszeitraum neu ausgestellt.

Zertifikat unter Windows erneuern

Gehen Sie wie folgt vor, um das Zertifikat auf einem Windows-Server auszutauschen:

Schritt 1 – Neues Zertifikat herunterladen

Laden Sie das neue Zertifikat von der Website Ihres Internetdienstleisters herunter, bei dem Sie den venabo Server hosten (z. B. GoDaddy, IONOS oder Strato).

Schritt 2 – Zertifikatsdatei speichern

Legen Sie die Zertifikatsdatei (.crt) im Ordner ssl.crt ab:

Speicherort für das venabo Server-Zertifikat unter Windows

Schritt 3 – Key-Datei speichern

Legen Sie die Key-Datei (.key) im Ordner ssl.key ab:

💡 Speicherpfade unter Windows:
Zertifikat: C:\Programme\venabo GmbH\venabo\server\apache\conf\ssl.crt
Schlüssel: C:\Programme\venabo GmbH\venabo\server\apache\conf\ssl.key

Schritt 4 – Altes Zertifikat umbenennen

Benennen Sie die alte Zertifikatsdatei so um, dass ihre Dateiendung unwirksam wird. Ersetzen Sie die Endung z. B. durch .alt.2025. Die Jahreszahl dokumentiert, wann die Gültigkeit des alten Zertifikats abgelaufen ist. Bestätigen Sie die Warnmeldung beim Ändern der Dateiendung.

Schritt 5 – Dienst neu starten

Starten Sie den Dienst venabo_Apache neu. Erst nach dem Neustart ist das neue Zertifikat aktiv.

⚠️ Hinweis: Lässt sich der Dienst nach dem Neustart nicht starten, prüfen Sie zunächst die vorherigen Schritte. Sind alle Schritte korrekt ausgeführt und der Dienst startet weiterhin nicht, prüfen Sie das Zertifikat selbst auf Vollständigkeit und Gültigkeit.

Zertifikat unter Linux erneuern

Schritt 1 – Dateien vorbereiten

Laden Sie das neue SSL-Zertifikat sowie den neuen privaten Schlüssel herunter. Die Dateien müssen exakt diese Namen tragen:

Datei Beschreibung
fullchain.crtNeues SSL-Zertifikat (vollständige Zertifikatskette)
private.keyNeuer privater Schlüssel

⚠️ Hinweis: Achten Sie unbedingt auf die korrekte Groß- und Kleinschreibung der Dateinamen. Abweichungen führen dazu, dass das Zertifikat nicht erkannt wird.

Schritt 2 – Konfigurationsdatei anlegen (nur bei Erstinstallation)

Legen Sie im Verzeichnis /opt/venabo/shared/ssl/conf/ eine neue Datei namens firma.conf an.

💡 Hinweis: Die Datei muss die Endung .conf tragen – venabo prüft automatisch alle Dateien mit dieser Endung. Dieser Schritt ist nur bei der Erstinstallation erforderlich.

Fügen Sie folgenden Inhalt in die Datei ein:

server {
    root /app/web;

    client_max_body_size 32M;

    listen 443 ssl http2 default_server;

    ssl_certificate /etc/ssl/external-certificate/fullchain.crt;
    ssl_certificate_key /etc/ssl/external-certificate/private.key;

    include snippets/ssl-params.conf;

    location /socket.io/ {
        proxy_pass http://node:3000;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "Upgrade";
        proxy_set_header Host $host;
    }

    location ~ /app/?$ {
        # try to serve file directly, fallback to app/index.html
        try_files $uri /app/index.html;
    }

    location / {
        # try to serve file directly, fallback to app.php
        try_files $uri /app.php$is_args$args;
    }

    location ~ ^/(app)\.php(/|$) {
        fastcgi_pass php:9000;
        fastcgi_split_path_info ^(.+\.php)(/.*)$;
        include fastcgi_params;

        fastcgi_param  SCRIPT_FILENAME  $realpath_root$fastcgi_script_name;
        fastcgi_param DOCUMENT_ROOT $realpath_root;
    }
}

Schritt 3 – Zertifikat aktivieren

Kopieren Sie die Dateien fullchain.crt und private.key direkt (ohne Unterordner) in das folgende Verzeichnis:

/opt/venabo/shared/ssl/certificate/

Schritt 4 – Docker-Container neu starten

Führen Sie anschließend die folgenden Befehle aus, um das neue Zertifikat zu aktivieren:

sudo su venabo
cd /opt/venabo/releases/current
docker compose down
docker compose up -d --build

✅ Fertig: Das Zertifikat wurde erfolgreich ausgetauscht. venabo verwendet ab sofort das neue TLS-Zertifikat.

Praxisbeispiel

Szenario: Das TLS-Zertifikat Ihres venabo Linux-Servers läuft am 30. Juni ab. Ihr Hoster stellt Ihnen rechtzeitig neue Dateien bereit. So gehen Sie vor:

Schritt Aktion Ergebnis
1Neue Dateien vom Hoster herunterladen und in fullchain.crt sowie private.key umbenennenDateien liegen korrekt benannt vor
2Dateien nach /opt/venabo/shared/ssl/certificate/ kopierenZertifikat liegt im richtigen Ordner
3docker compose down und docker compose up -d --build ausführenContainer startet mit neuem Zertifikat
FertigBrowser zeigt kein Zertifikat-Warnfenster mehrZertifikat aktiv bis 30. Juni Folgejahr

Häufige Fragen

Was passiert, wenn ich das alte Zertifikat nicht umbenenne (Windows)?

Windows kann dann nicht eindeutig unterscheiden, welche Datei das aktive Zertifikat ist. venabo empfiehlt, die alte Datei umzubenennen (z. B. .alt.2025), damit der Apache-Dienst klar das neue Zertifikat lädt. Löschen sollten Sie die alte Datei vorerst nicht – sie dient als Sicherungskopie.

Muss ich die Konfigurationsdatei (firma.conf) bei jeder Erneuerung neu anlegen?

Nein. Die Konfigurationsdatei legen Sie nur einmal bei der Erstinstallation an. Bei einer reinen Zertifikatserneuerung genügt es, die Dateien fullchain.crt und private.key auszutauschen und die Container neu zu starten.

Warum startet der venabo_Apache-Dienst nach dem Zertifikatstausch nicht?

Mögliche Ursachen sind: falscher Speicherpfad der Zertifikatsdateien, fehlerhafte Dateiendung oder ein beschädigtes Zertifikat. Prüfen Sie zunächst die Pfade und Dateinamen. Tritt das Problem weiterhin auf, validieren Sie das Zertifikat mit einem Online-Tool (z. B. sslshopper.com) oder wenden Sie sich an Ihren Zertifikatsanbieter.

Wie lange ist ein TLS-Zertifikat gültig?

Die maximale Gültigkeitsdauer beträgt derzeit 398 Tage (ca. 13 Monate). Viele Anbieter stellen Zertifikate mit einer Laufzeit von 90 Tagen oder einem Jahr aus. Planen Sie die Erneuerung rechtzeitig – idealerweise 4 Wochen vor Ablauf.

Zusammenfassung

Betriebssystem Zertifikatspfad Aktivierung
WindowsC:\Programme\venabo GmbH\venabo\server\apache\conf\ssl.crt und ssl.keyDienst venabo_Apache neu starten
Linux/opt/venabo/shared/ssl/certificate/docker compose down + docker compose up -d --build
BeideDateinamen exakt einhaltenAlte Dateien sichern, nicht sofort löschen
Inhaltsverzeichnis