Digitale Zertifikate beantragen - So geht's richtig & sicher

Illustration zeigt den Prozess zur Erstellung von zertifikaten online. Ein Antragsteller sendet Informationen an eine Zertifizierungsstelle, die die Identität prüft und das Zertifikat ausstellt.

Geschrieben von

Rolf Fuhrmann

Veröffentlicht am

24. März 2026

Inhaltsverzeichnis

Digitale Zertifikate sind heute weniger ein Spezialthema für Admins als eine Grundvoraussetzung für saubere Web-Sicherheit. Wer digitale Zertifikate online beantragt, sollte vor allem drei Dinge verstehen: welchen Typ er braucht, wie die Validierung läuft und wie die Erneuerung ohne Ausfälle funktioniert. Ich spreche im Folgenden bewusst meist von TLS, auch wenn im Alltag oft noch SSL gesagt wird, weil genau diese Unschärfe in Projekten später gern zu Fehlentscheidungen führt.

Die wichtigsten Punkte für die Auswahl und Beantragung

  • DV, OV und EV unterscheiden sich vor allem bei der Identitätsprüfung, nicht bei der reinen Verschlüsselung.
  • Seit dem 15. März 2026 liegt die maximale Laufzeit öffentlicher TLS-Zertifikate bei 200 Tagen.
  • Für viele Websites reicht ein DV-Zertifikat mit sauberer Automatisierung; OV lohnt sich, wenn die geprüfte Unternehmensidentität sichtbar sein soll.
  • Wildcard- und SAN-Zertifikate sparen Aufwand, wenn mehrere Subdomains oder Domains verwaltet werden.
  • Der private Schlüssel sollte auf deiner Seite bleiben, und die Erneuerung sollte überwacht werden.

Was mit Online-Zertifikaten wirklich gemeint ist

Ein TLS-Zertifikat verbindet einen Domainnamen mit einem öffentlichen Schlüssel. Der Browser nutzt diese Bindung, um zu prüfen, ob er wirklich mit der richtigen Website spricht und ob die Verbindung verschlüsselt ist. Der private Schlüssel gehört dabei nicht in fremde Hände; er bleibt idealerweise auf deinem Server, deiner Appliance oder in deinem Hosting-System.

Ich sehe in Projekten oft denselben Irrtum: Ein Zertifikat wird wie ein Sicherheits-Upgrade behandelt, obwohl es in Wahrheit ein Vertrauens- und Identitätsbaustein ist. Die Verschlüsselung selbst ist bei einem korrekt ausgestellten DV-, OV- oder EV-Zertifikat technisch vergleichbar, aber der geprüfte Kontext ist ein anderer. Für öffentliche Websites ist ein selbstsigniertes Zertifikat deshalb keine Lösung, weil Browser ihm nicht vertrauen.

Genau aus diesem Grund ist die Wahl des richtigen Zertifikatstyps wichtiger als das Markenlogo des Anbieters. Wer das sauber trennt, spart später Zeit bei Betrieb und Erneuerung.

Illustration zeigt den Prozess zur Erstellung von **Zertifikaten online**. Ein Antragsteller sendet Informationen und einen öffentlichen Schlüssel an eine Zertifizierungsstelle, die die Identität prüft und ein signiertes Zertifikat zurücksendet.

Welcher Zertifikatstyp zu welchem Einsatz passt

Typ Wofür sinnvoll Was geprüft wird Praxiswert
DV Blogs, Landingpages, Standard-Websites, APIs Nur die Kontrolle über die Domain Schnell, oft automatisiert, für die meisten Fälle ausreichend
OV Unternehmensseiten, B2B-Portale, Websites mit Marken- und Vertrauensfokus Domainkontrolle plus Unternehmensidentität Mehr Nachweise, dafür ein stärkerer Unternehmensbezug
EV Umgebungen mit formalen Identitätsanforderungen Strengere Prüfung der Organisation Mehr Aufwand, aber sehr klare Identitätsprüfung
Wildcard Viele Subdomains unter einer Domain Kontrolle über die DNS-Zone Weniger Verwaltungsaufwand, aber nur für eine Subdomain-Ebene
SAN Mehrere getrennte Domains in einem Zertifikat Die jeweils angegebenen Namen und deren Kontrolle Praktisch für mehrere Projekte, weniger Einzelzertifikate

Für eine einzelne Website oder einen kleinen Shop würde ich fast immer mit DV starten. OV und EV sind keine technische Verschlüsselungsstufe höher, sondern vor allem ein stärkerer Identitätsnachweis. Das ist dann sinnvoll, wenn Kunden, Partner oder interne Richtlinien genau diesen Nachweis verlangen.

Ein Detail wird dabei oft übersehen: Wildcard-Zertifikate sparen Verwaltungsaufwand, sind aber nur dann angenehm, wenn die DNS-Verwaltung wirklich unter Kontrolle ist. Ohne saubere DNS-Prozesse wird aus dem Vorteil schnell zusätzlicher Betriebskomfort, der nur auf dem Papier existiert.

So beantrage ich ein Zertifikat ohne unnötige Reibung

Die Beantragung ist normalerweise kein Hexenwerk, wenn die Zuständigkeiten klar sind. Der größte Fehler ist aus meiner Sicht, den privaten Schlüssel irgendwo extern erzeugen zu lassen, nur weil es bequemer wirkt. Besser ist es, den Schlüssel selbst zu erzeugen und den Antrag als CSR abzuleiten, also als Certificate Signing Request, der die Signieranforderung an die Zertifizierungsstelle beschreibt.

  1. Entscheide zuerst, ob du DV, OV, EV, Wildcard oder SAN brauchst.
  2. Erzeuge den privaten Schlüssel und den CSR auf deinem System oder in deiner Hosting-Umgebung.
  3. Belege die Domainkontrolle per DNS-01, HTTP-01 oder, seltener, per E-Mail. Beim DNS-01-Verfahren setzt du einen TXT-Eintrag, beim HTTP-01-Verfahren legst du eine Datei unter der ACME-Challenge ab.
  4. Für OV oder EV halte Firmenunterlagen bereit, die zu den öffentlichen Register- und Kontaktdaten passen. In Deutschland sind das meist die Angaben aus Handelsregister, Unternehmensadresse und eine erreichbare Kontaktperson.
  5. Installiere das Zertifikat zusammen mit den Zwischenzertifikaten und prüfe die Zertifikatskette im Browser oder mit einem internen Check.
  6. Richte die Erneuerung direkt mit ein, idealerweise über ACME oder eine Hosting-Oberfläche mit sauberem Monitoring.

Bei Wildcard-Zertifikaten ist DNS-01 praktisch Pflicht, weil nur so die Kontrolle über die komplette Zone sauber nachgewiesen werden kann. Das ist kein Nachteil, solange die DNS-Automation stimmt. Sobald sie fehlt, steigt der manuelle Aufwand sofort.

Was 2026 bei Laufzeit und Automatisierung zählt

Regel Stand 2026 Praktische Folge
Maximale Laufzeit öffentlicher TLS-Zertifikate 200 Tage seit dem 15. März 2026 Manuelle Verlängerungen werden schneller zum Risiko
Standardlaufzeit bei Let’s Encrypt 90 Tage Erneuerung sollte spätestens nach 60 Tagen greifen
Kurzlebige Zertifikate 6 Tage als Spezialfall Nützlich für stark automatisierte Umgebungen
Weitere Verkürzung laut CA/Browser Forum 100 Tage ab 2027, 47 Tage ab 2029 Automatisierung wird noch wichtiger

Nach den aktuellen Baseline Requirements des CA/Browser Forum liegt die maximale Laufzeit öffentlicher TLS-Zertifikate seit dem 15. März 2026 bei 200 Tagen. Das ist ein deutlicher Schnitt, und er macht klar, wohin die Reise geht: weg von seltenen, manuell gepflegten Erneuerungen, hin zu kleinen, automatisierten Zyklen.

Bei Let’s Encrypt sind 90 Tage Standard, und die Empfehlung lautet, nach 60 Tagen zu erneuern. Für mich ist das ein guter Maßstab auch außerhalb dieses einen Anbieters: Renewal nicht am Ablaufdatum planen, sondern mit Puffer. Je größer die Umgebung, desto wichtiger sind Health Checks, Benachrichtigungen und ein getesteter Fallback, falls ein Renewal einmal scheitert.

  • Setze einen Alarm deutlich vor Ablauf, idealerweise nicht erst in den letzten 7 Tagen.
  • Teste, ob der Webserver das neue Zertifikat ohne Neustart oder mit geplantem Reload übernimmt.
  • Halte DNS-Zugänge für ACME-Verfahren eng begrenzt und sauber dokumentiert.
  • Überwache nicht nur das Zertifikat, sondern auch die komplette Kette und die Redirects auf HTTPS.

Ich plane Renewal nie auf den letzten Tag. In der Praxis ist ein Puffer von mehreren Wochen der Unterschied zwischen sauberem Betrieb und einem nächtlichen Ausfall, den man leicht vermeiden konnte.

Woran ich einen seriösen Anbieter erkenne

Bei der Anbieterauswahl schaue ich weniger auf Werbeaussagen als auf Betriebsdetails. Ein guter Anbieter macht sichtbar, wie die Validierung abläuft, welche Daten er dafür braucht und wie die Erneuerung später funktioniert.

  • Transparente Validierung - Du siehst früh, ob Domainkontrolle, Firmenprüfung oder beides nötig ist.
  • Automatisierung statt Klickstrecke - ACME, API oder ein Hosting-Panel mit zuverlässiger Erneuerung sparen Betriebskosten.
  • Klare Schlüsselstrategie - Der private Schlüssel sollte dort bleiben, wo du ihn kontrollierst.
  • Saubere Reissue- und Revocation-Prozesse - Wenn etwas schiefgeht, muss ein Ersatz schnell verfügbar sein.
  • Passende Zertifikatsformen - Single-Domain, Wildcard oder SAN sollten nicht als Nebenprodukt, sondern als bewusste Option vorhanden sein.
  • Seriöser Support - Besonders bei OV/EV und in deutschsprachigen Teams ist erreichbarer Support oft mehr wert als ein minimal niedriger Preis.

Wenn ein Anbieter verspricht, dass alles ohne jede Prüfung sofort möglich ist, ist das für DV normal, für OV oder EV aber ein Warnsignal. Ich würde außerdem immer prüfen, ob Rechnungsstellung, Laufzeit und Verlängerungslogik wirklich klar dokumentiert sind.

Typische Fehler, die ich immer wieder sehe

Die meisten Probleme entstehen nicht beim Ausstellen, sondern beim Betrieb. Das ist der Teil, den viele Teams unterschätzen, weil der erste Rollout schnell abgeschlossen ist und danach scheinbar alles läuft.

  • Das Zertifikat passt nicht zu allen Hosts, weil ein Subdomain- oder SAN-Eintrag fehlt.
  • Die Erneuerung ist zwar geplant, aber nicht überwacht, sodass ein Ablauf unbemerkt bleibt.
  • Ein Wildcard-Zertifikat wird gewählt, obwohl die DNS-Automation noch gar nicht stabil ist.
  • Der private Schlüssel wird unnötig exportiert oder geteilt.
  • HTTP bleibt parallel erreichbar, obwohl der Traffic längst komplett auf HTTPS umgeleitet werden sollte.
  • Es wird das falsche Zertifikatsthema gesucht: Website-TLS, E-Mail-Signatur und Code Signing sind drei verschiedene Dinge.

Das alles klingt banal, kostet aber in echten Umgebungen mehr Zeit als die eigentliche Beantragung. Gerade deshalb lohnt sich ein klarer Ablauf statt einer schnellen Bauchentscheidung.

Was ich für deutsche Websites konkret empfehle

Für deutsche Websites würde ich die Entscheidung heute so zuschneiden: Eine einzelne Website, ein kleiner Shop oder eine API bekommt in den meisten Fällen ein DV-Zertifikat mit Automation. Eine Unternehmensseite mit stärkerem Vertrauensanspruch kann von OV profitieren, wenn die geprüfte Identität auch tatsächlich ein kaufentscheidendes Signal ist. Bei vielen Subdomains ist Wildcard praktisch, bei mehreren getrennten Domains eher SAN, und in größeren Umgebungen braucht es zusätzlich ein Inventar mit Monitoring, Zuständigkeiten und klaren Renewal-Regeln.

  • Für Standard-Websites reicht meist DV plus automatische Erneuerung.
  • Für Firmenauftritte lohnt sich OV dann, wenn die verifizierte Identität einen echten Mehrwert hat.
  • Für viele Subdomains ist Wildcard effizient, aber nur mit sauberer DNS-Automation.
  • Für mehrere Domains ist SAN oft einfacher als viele Einzelzertifikate.
  • Für kritische Systeme zählt ein getesteter Betriebsprozess mehr als ein teureres Label.

Mein praktischer Maßstab ist simpel: Passt der Zertifikatstyp zur Website, sitzt der private Schlüssel an der richtigen Stelle und läuft die Erneuerung automatisiert und überwacht, dann ist das Thema sauber gelöst. Genau dort liegt der Unterschied zwischen einer einmaligen Ausstellung und einem verlässlichen Sicherheitsbaustein im laufenden Betrieb.

Häufig gestellte Fragen

DV (Domain Validated) prüft nur die Domainkontrolle. OV (Organization Validated) verifiziert zusätzlich die Unternehmensidentität. EV (Extended Validation) bietet die strengste Prüfung und höchste Vertrauensstufe für Organisationen.

Die maximale Laufzeit öffentlicher TLS-Zertifikate ist auf 200 Tage begrenzt und wird weiter verkürzt. Manuelle Erneuerungen werden so zum Risiko. Automatisierung gewährleistet unterbrechungsfreie Sicherheit und spart Aufwand.

Wildcard-Zertifikate sichern alle Subdomains einer Domain (*.example.com). SAN-Zertifikate (Subject Alternative Name) sichern mehrere unterschiedliche Domains (z.B. example.com, example.org, example.net) oder Subdomains in einem einzigen Zertifikat.

Der private Schlüssel sollte immer auf Ihrem eigenen System, Server oder in Ihrer Hosting-Umgebung generiert werden. Er sollte niemals extern erstellt oder geteilt werden, um maximale Sicherheit zu gewährleisten und die Kontrolle zu behalten.

Artikel bewerten

Bewertung: 0.00 Stimmenanzahl: 0

Tags:

zertifikate online digitale zertifikate beantragen tls zertifikate typen ssl zertifikat erneuerung wildcard zertifikat vorteile

Beitrag teilen

Rolf Fuhrmann

Rolf Fuhrmann

Mein Name ist Rolf Fuhrmann und ich habe über 12 Jahre Erfahrung im Bereich IT-Infrastruktur, Web-Technologien und Sicherheit. Schon früh entwickelte ich eine Begeisterung für die digitale Welt und die Herausforderungen, die sie mit sich bringt. Besonders fasziniert mich die Schnittstelle zwischen Technologie und Sicherheit, da ich oft beobachte, wie wichtig ein durchdachter Umgang mit Daten und Systemen ist. In meinen Beiträgen möchte ich komplexe Themen verständlich aufbereiten und aktuelle Trends beleuchten. Dabei lege ich großen Wert auf sorgfältige Recherche und den Vergleich verschiedener Informationsquellen, um meinen Lesern präzise und nützliche Inhalte zu bieten. Ich freue mich darauf, mein Wissen und meine Perspektiven mit Ihnen zu teilen und gemeinsam die spannende Welt der IT und Sicherheit zu erkunden.

Kommentar schreiben