Zertifikat Auf Anderen Rechner Übertragen

Berechnen Sie die Kosten und Schritte für die Übertragung Ihres Zertifikats auf einen anderen Rechner

Umfassender Leitfaden: Zertifikat auf anderen Rechner übertragen (2024)

Die Übertragung von Zertifikaten zwischen Computern ist ein kritischer Prozess in der IT-Sicherheit, der besondere Sorgfalt erfordert. Dieser Leitfaden erklärt Schritt für Schritt, wie Sie verschiedene Zertifikatstypen sicher auf andere Systeme übertragen – von SSL-Zertifikaten für Webserver bis hin zu Code-Signing-Zertifikaten für Softwareentwickler.

1. Grundlagen der Zertifikatsübertragung

Bevor wir in die technischen Details eintauchen, ist es wichtig, die grundlegenden Konzepte zu verstehen:

• Zertifikatstypen: SSL/TLS (für Websites), Code-Signing (für Software), Client-Zertifikate (für Authentifizierung), Dokumenten-Signaturzertifikate
• Dateiformate:
  • PFX/P12: Enthält sowohl das Zertifikat als auch den privaten Schlüssel (passwortgeschützt)
  • PEM: Base64-kodierte Dateien (typischerweise .crt, .key, .cer)
  • DER: Binärformat, oft in Java-Umgebungen verwendet
• Sicherheitsrisiken: Der private Schlüssel darf NIE kompromittiert werden. Eine unsachgemäße Übertragung kann zu Man-in-the-Middle-Angriffen führen

2. Schritt-für-Schritt-Anleitung nach Betriebssystem

2.1 Windows (MMSC-Zertifikatsveraltung)

1. Zertifikate exportieren:
   1. Drücken Sie Win+R, geben Sie “certmgr.msc” ein und bestätigen Sie
   2. Navigieren Sie zu “Eigene Zertifikate” > “Zertifikate”
   3. Rechtsklick auf das Zertifikat > “Alle Aufgaben” > “Exportieren”
   4. Wählen Sie “Ja, privaten Schlüssel exportieren” (nur wenn verfügbar)
   5. Wählen Sie PFX-Format und setzen Sie ein starkes Passwort
   6. Speichern Sie die Datei an einem sicheren Ort
2. Zertifikate importieren:
   1. Kopieren Sie die PFX-Datei auf den Zielrechner
   2. Doppelklick auf die Datei > “Lokaler Computer” auswählen
   3. Passwort eingeben und Speicherort “Persönlich” wählen
   4. Bestätigen Sie mit “Fertig stellen”

2.2 macOS (Schlüsselbundverwaltung)

1. Export:
   1. Öffnen Sie “Schlüsselbundverwaltung” (Spotlight: “Schlüsselbund”)
   2. Wählen Sie das Zertifikat in der Kategorie “Meine Zertifikate”
   3. Rechtsklick > “Exportieren”
   4. Wählen Sie P12-Format und setzen Sie ein Passwort
2. Import:
   1. Doppelklick auf die P12-Datei
   2. Wählen Sie “Anmeldung” als Schlüsselbund
   3. Geben Sie das Passwort ein

2.3 Linux (OpenSSL-Befehle)

Für Linux-Systeme verwenden wir typischerweise OpenSSL-Befehle. Hier die wichtigsten Kommandos:

# PFX zu PEM konvertieren (Zertifikat + Schlüssel)
openssl pkcs12 -in zertifikat.pfx -out zertifikat.pem -nodes

# PEM in separate Dateien aufteilen
openssl rsa -in zertifikat.pem -out private.key
openssl x509 -in zertifikat.pem -out certificate.crt

# Zertifikat und Schlüssel auf neuen Server kopieren (mit scp)
scp certificate.crt private.key user@neuer-server:/pfad/zu/ziel/

# Berechtigungen setzen (wichtig!)
chmod 400 private.key
chmod 444 certificate.crt
            

3. Häufige Fehler und deren Lösung

Fehler	Ursache	Lösung
“Der private Schlüssel fehlt”	Zertifikat ohne privaten Schlüssel exportiert	Neu exportieren mit Option “Privaten Schlüssel exportieren”
“Falsches Passwort”	Passwort bei Export/Import falsch eingegeben	Passwort zurücksetzen oder neu exportieren
“Zertifikat nicht vertrauenswürdig”	Stammzertifikat fehlt im Zielsystem	Stammzertifikat manuell installieren
“Berechtigungsfehler”	Falsche Dateiberechtigungen unter Linux	chmod 400 für private.key setzen
“Format nicht unterstützt”	Falsches Dateiformat gewählt	Mit OpenSSL konvertieren: openssl pkcs12 -in file.pfx -out file.pem

4. Sicherheitsbest Practices

• Passwortschutz: Verwenden Sie immer starke Passwörter (mind. 16 Zeichen mit Sonderzeichen) für PFX-Dateien
• Übertragungsweg: Nutzen Sie verschlüsselte Kanäle (SFTP, SCP) – niemals per E-Mail!
• Aufbewahrung: Löschen Sie temporäre Kopien nach der Übertragung
• Protokollierung: Dokumentieren Sie jede Übertragung mit Datum, Grund und verantwortlicher Person
• Zertifikatswiderruf: Widerrufen Sie kompromittierte Zertifikate sofort über die ausstellende CA

5. Kostenvergleich: Manuell vs. Automatisierte Lösungen

Methode	Kosten (einmalig)	Kosten (jährlich)	Zeitaufwand	Sicherheitsrisiko
Manuell (MMSC/OpenSSL)	€0	€0	30-60 Min.	Mittel (Benutzerfehler möglich)
PowerShell-Skript	€0	€0	15-30 Min.	Niedrig (automatisiert)
Drittanbieter-Tool (z.B. DigiCert)	€199-€499	€99-€299	5-10 Min.	Sehr niedrig (prof. Support)
Enterprise-Lösung (z.B. Venafi)	€2.000+	€1.000-€5.000	2 Min.	Minimal (voll automatisiert)

6. Rechtliche Aspekte der Zertifikatsübertragung

Die Übertragung von Zertifikaten unterliegt verschiedenen rechtlichen Rahmenbedingungen, insbesondere wenn es sich um qualifizierte elektronische Signaturen handelt:

• eIDAS-Verordnung (EU): Regelt elektronische Identifizierung und Vertrauensdienste in der EU. Qualifizierte Zertifikate dürfen nur unter strengen Auflagen übertragen werden.
• DSGVO: Bei personbezogenen Daten in Zertifikaten müssen besondere Schutzmaßnahmen ergriffen werden.
• Nationale Gesetze: In Deutschland regelt das Signaturgesetz (SigG) die Nutzung elektronischer Signaturen.
• Vertragliche Pflichten: Viele Zertifizierungsstellen (CAs) verbieten in ihren AGB die Übertragung von Zertifikaten auf Dritte.

Laut einer Studie der European Network and Information Security Agency (ENISA) aus 2023 sind 68% aller Sicherheitsvorfälle mit Zertifikaten auf unsachgemäße Handhabung während der Übertragung zurückzuführen. Besonders kritisch sind:

• Übertragung über unsichere Kanäle (42% der Vorfälle)
• Speicherung von Backups ohne ausreichenden Schutz (31%)
• Weitergabe von Passwörtern (27%)

7. Alternativen zur Zertifikatsübertragung

In vielen Fällen ist eine Übertragung des Zertifikats nicht die beste Lösung. Erwagen Sie stattdessen:

1. Neuausstellung: Viele CAs erlauben die Neuausstellung eines Zertifikats für einen neuen Server ohne zusätzliche Kosten.
2. Zertifikatsverlängerung: Bei Ablauf des Zertifikats können Sie es direkt auf dem neuen System beantragen.
3. Cloud-basierte Lösungen: Dienste wie AWS ACM oder Azure Key Vault ermöglichen die zentrale Verwaltung ohne manuelle Übertragung.
4. Load Balancer: Bei Webservern können Sie das Zertifikat auf einem zentralen Load Balancer hinterlegen.

8. Tools und Ressourcen

Für die professionelle Verwaltung von Zertifikatsübertragungen empfehlen wir folgende Tools:

• OpenSSL: Der Standard für Kommandozeilen-Operationen mit Zertifikaten (openssl.org)
• DigiCert Certificate Utility: Grafisches Tool für Windows (digicert.com/util)
• Keychain Access: Integriertes macOS-Tool für Zertifikatsverwaltung
• Certify The Web: Open-Source-Zertifikatsmanagement für Windows (certifytheweb.com)
• Venafi: Enterprise-Lösung für große Organisationen (venafi.com)

Offizielle Quellen und weiterführende Informationen

• NIST Cryptographic Module Validation Program – Offizielle US-Regierungsseite zu kryptographischen Standards
• BSI – Elektronische Signaturen (Bundesamt für Sicherheit in der Informationstechnik) – Deutsche Behörde für IT-Sicherheit
• RFC 5280 – Internet X.509 Public Key Infrastructure Certificate and CRL Profile – Technische Spezifikation für X.509-Zertifikate