Managed Center – Fehler beim Speichern einer Domain als vHost

In diesem Artikel erklären wir Ihnen, welche Fehlermeldungen beim Speichern einer Domain als vHost sowie beim Einrichten eines Let’s Encrypt oder SSL-Zertifikats im Managed Center auftreten können, warum diese Meldungen erscheinen und wie Sie diese Probleme beheben können.

Im Managed Center haben Sie bei jedem vHost die Möglichkeit, ein kostenloses Let’s Encrypt Zertifikat einzurichten oder ein eigenes SSL-Zertifikat zu hinterlegen.

Beim Speichern der Domain als vHost kann es vorkommen, dass die SSL-Konfiguration nicht übernommen werden kann. Typische Fehlermeldungen dabei sind:

• „Die Domain-Validierung ist fehlgeschlagen.“
• „Die Verbindung zu Let’s Encrypt ist fehlgeschlagen.“
• „Die Einstellungen konnten nicht übernommen werden. Bitte beachten Sie: Das SSL-Zertifikat konnte nicht eingebunden werden.“

Nachfolgend wird erläutert, was diese Meldungen bedeuten, welche Ursachen es dafür gibt und welche Schritte Sie zur Fehlerbehebung durchführen können.

Fehlermeldungen bei Let’s Encrypt Zertifikaten

Die folgenden Meldungen treten am häufigsten auf, wenn Sie im Managed Center eine Domain als vHost mit aktiviertem Let’s Encrypt Zertifikat speichern möchten und dabei ein Problem auftritt:

„Die Domain-Validierung ist fehlgeschlagen.“

Der häufigste Grund für diese Meldung ist, dass die hinterlegte Domain (oder eine ihrer Alias-Domains) per DNS nicht oder noch nicht korrekt auf die IP-Adresse des Clusters verweist. Für Let’s Encrypt ist eine fehlerfreie DNS-Zuordnung zwingend erforderlich, da die Validierungsstelle die Domain vor der Zertifikatsausstellung aufruft.

Lösung:

1. Stellen Sie sicher, dass der A-Record (IPv4) und – falls genutzt – der AAAA-Record (IPv6) der Domain oder Alias-Domains exakt auf die IP-Adresse Ihres Clusters zeigen.

2. Falls Sie die DNS-Einträge gerade erst geändert haben, kann es je nach TTL (Time-To-Live) einige Minuten bis Stunden dauern, bis die Änderung global aktiv ist.

3. Speichern Sie den vHost im Managed Center nach erfolgreicher DNS-Prüfung erneut ab.

„Die Domain konnte angelegt werden. Bitte beachten Sie: Das SSL-Zertifikat konnte nicht eingebunden werden.“

Der vHost wurde grundsätzlich erfolgreich angelegt, jedoch konnte das Zertifikat nicht eingebunden werden. Die Ursache kann ein technischer Fehler bei der Zertifikatserstellung oder -einbindung sein.

Mögliche Ursachen sind zum Beispiel:

• ein temporärer Fehler bei der Kommunikation mit Let’s Encrypt
• ein interner Fehler bei der Zertifikatserstellung
• eine fehlerhafte oder unvollständige Zertifikatskonfiguration
• ein nicht eindeutig zuordenbarer technischer Fehler im Hintergrundprozess 

Lösung:

1. Prüfen Sie, ob vorgeschaltete Proxies, Firewalls oder CDNs die Validierungsanfragen blockieren. Für die Domain und Alias-Domains muss das Verzeichnis /.well-known/acme-challenge erreichbar und aufrufbar sein, ohne Passwortschutz oder Weiterleitungen.
   

2. Stellen Sie sicher, dass die Domain öffentlich und fehlerfrei über HTTP (Port 80) erreichbar ist.

   Hinweis: Wenn ein Passwortschutz oder Weiterleitung aktiviert ist, sollte für den benötigten Pfad eine Ausnahme definiert sein.

3. Speichern Sie den vHost erneut ab.
   
   Sollte der Fehler bestehen bleiben, wenden Sie sich bitte an den Support und geben Sie die betroffene Domain sowie den betroffenen Cluster an.

Weiterhin können bei der Aktivierung von Let’s Encrypt folgende Meldungen angezeigt werden:

„Der Hostname existiert bereits“

Die Hauptdomain oder eine der eingetragenen Alias-Domains ist bereits in einem anderen vHost als Alias hinterlegt. Let’s Encrypt kann das Zertifikat nicht eindeutig einem vHost zuordnen, wodurch die Einbindung scheitert. Ein Hostname darf immer nur genau einmal, als vHost oder Alias, aktiv zugewiesen sein.

Lösung:

1. Suchen Sie im Managed Center nach der betroffenen Alias-Domain, um herauszufinden, in welchem vHost diese bereits verwendet wird.

2. Entfernen Sie den doppelten Eintrag, sodass jede Domain/Alias-Domain nur in genau einem vHost verwendet wird.

3. Speichern Sie den vHost erneut, um die Zertifikatsausstellung anzustoßen.

„Der Dienst von Let's Encrypt ist derzeit ausgelastet. Bitte versuchen Sie es später erneut.“

Dies deutet auf eine temporäre Überlastung oder Wartungsarbeiten an den Servern der Zertifizierungsstelle (Let's Encrypt) hin. In diesem Fall kann die Zertifikatsanforderung technisch nicht erfolgreich verarbeitet werden. Ihre eigene Konfiguration ist in der Regel korrekt.

Lösung:

1. Warten Sie 5 bis 10 Minuten.

2. Versuchen Sie anschließend, den vHost erneut zu speichern.

3. Sollte das Problem über einen längeren Zeitraum bestehen, prüfen Sie den offiziellen Let's Encrypt Status oder versuchen Sie es zu einem späteren Zeitpunkt erneut.

   Hinweis: Diese Meldung deutet in der Regel nicht auf ein Problem in Ihrer Konfiguration hin, sondern auf eine temporäre Einschränkung beim Dienst von Let’s Encrypt.

„Die Rate-Limitierung von Let’s Encrypt wurde überschritten.“

Let’s Encrypt begrenzt die Anzahl bestimmter Anfragen innerhalb eines definierten Zeitraums. Dieses Rate-Limit kann zum Beispiel erreicht werden, wenn mehrfach hintereinander fehlgeschlagene Validierungsversuche durchgeführt oder in kurzer Zeit sehr viele Zertifikatsanfragen für dieselbe Domain gestellt wurden. Es darf pro Stunde nur fünf Fehlversuche pro Hostname geben.

Das heißt für Sie: Sollte es bei der Aktivierung fünfmal zu einem Fehler kommen, kann erst eine Stunde nach dem ersten Fehlversuch erneut ein Versuch gestartet werden, um Let’s Encrypt zu aktivieren.

Lösung:

1. Vermeiden Sie sofortige, wiederholte Speicherversuche, da dies die Sperrzeit verlängern kann.

2. Prüfen Sie die DNS-Einstellungen sowie die Erreichbarkeit der Domain und Alias-Domains auf eventuelle Fehler und auf doppelte Hostnamen oder Alias-Zuordnungen. Gibt es hierbei ein Problem oder muss noch eine Anpassung gemacht werden, dann führen Sie dieses erst durch, bevor Sie einen erneuten Speicherversuch starten.

3. Warten Sie die temporäre Sperre von Let's Encrypt ab (1 Stunde nach dem ersten Fehlversuch).

4. Speichern Sie den vHost erst nach Ablauf der Sperre erneut.

   Hinweis: Ein sofortiger erneuter Versuch führt meist nicht zum Erfolg, solange das Rate-Limit noch aktiv ist.

Fehlermeldungen bei manuell hinterlegten SSL-Zertifikaten

Wenn Sie ein gekauftes SSL-Zertifikat (entweder bei maxcluster bestellt oder bei einem anderen Anbieter erworben) manuell einbinden möchten, validiert unser System die eingetragenen Zertifikatsdateien bereits im Vorfeld. Dennoch kann es beim abschließenden Speichern der Domain als vHost zu folgender Fehlermeldung kommen:

„Die Einstellungen konnten nicht übernommen werden. Bitte beachten Sie: Das SSL-Zertifikat konnte nicht eingebunden werden.“

Die Ursache für diese Meldung liegt meistens bei den eingetragenen Zertifikatsdateien. Eine entsprechende Meldung hierzu wird im Normalfall bereits im Bearbeitungsfenster angezeigt:

„Der private Schlüssel passt nicht zum Zertifikat“

Das eingetragene Zertifikat (.crt) und der Private Key (.key) passen in diesem Fall nicht zusammen.

Typische Ursachen dafür sind:

• falscher oder vertauschter Private Key,
• Key-Datei aus einem anderen Zertifikat verwendet,
• Private Key wurde neu generiert, das Zertifikat aber nicht neu ausgestellt.

Lösung:

1. Stellen Sie sicher, dass Sie exakt den Private Key nutzen, der bei der Erstellung des Zertifikats generiert wurde.

   Tipp: Wenn Sie das Zertifikat direkt über unser Application Center bestellt haben, können Sie alle Zertifikatsdateien inkl. Key gebündelt herunterladen, wie in SSL – Bestellte Zertifikate herunterladen beschrieben.

2. Tragen Sie die korrekte Kombination aus Key und Zertifikat erneut ein.

3. Speichern Sie die vHost‑Einstellungen und kontrollieren Sie anschließend den SSL‑Status der Domain – im Webbrowser oder per (Online-)Tool Ihrer Wahl.

„Die Zertifikatskette ist unvollständig oder ungültig“

Hierbei handelt es sich um fehlende oder unvollständige Zwischenzertifikate (CA-Kette). Erforderliche Zwischenzertifikate (Intermediate-/CA-Kette) fehlen oder sind in falscher Reihenfolge eingebunden. Die Zertifikatskette ist dadurch nicht vollständig bzw. nicht gültig und der Webserver kann das SSL-Zertifikat nicht korrekt einbinden.

Damit Browser dem Zertifikat vertrauen, muss die Kette vom Domain-Zertifikat über die Zwischenzertifikate (Intermediate-CA) bis hin zum Root-Zertifikat der Zertifizierungsstelle geschlossen sein. Fehlen diese Zwischenzertifikate, schlägt die Einbindung auf dem Cluster fehl.

Lösung:

1. Bei der Konfiguration des SSL-Zertifikats werden Private Key (.key), Zertifikat (.crt) und Zwischenzertifikat bzw. CA‑Kette (.ca o. ä.) benötigt.

2. Fügen Sie im Feld für das Zwischenzertifikat die vollständige Kette (CA-Chain / Intermediate) des Zertifikats-Anbieters ein.

3. Achten Sie darauf, dass die Zertifikate in der richtigen Reihenfolge (vom Server-Zertifikat hinauf zum Root-Zertifikat) hinterlegt sind.

4. Speichern Sie die vHost‑Einstellungen und kontrollieren Sie anschließend den SSL‑Status der Domain – im Webbrowser oder per (Online-)Tool Ihrer Wahl.
   

„Die Eingabe muss ein Zertifikat im PEM-Format sein.“

Hierbei handelt es sich meistens um einen Formatierungsfehler beim Einfügen. Beim Kopieren des Textinhalts der Zertifikatsdateien wurden wahrscheinlich Zeilenumbrüche verändert, unsichtbare Sonderzeichen mitkopiert oder die wichtigen Begrenzungszeilen (z. B. -----BEGIN CERTIFICATE----- und -----END CERTIFICATE-----) beschädigt oder weggelassen. Der Webserver kann Zertifikate oder Schlüssel dadurch nicht korrekt einlesen.

Lösung:

1. Das Zertifikat muss im PEM-Format vorliegen. Key, Zertifikat und Zwischenzertifikat müssen im Originalformat eingefügt werden (inklusive BEGIN-/END-Zeilen).

2. Öffnen Sie die Dateien ausschließlich in einem reinen Texteditor (z. B. Notepad++, VS Code, TextEdit im Plaintext-Modus). Vermeiden Sie Formatierungsprogramme wie Microsoft Word.

3. Kopieren Sie den gesamten Inhalt inklusive der Bindestriche und der Start-/End-Zeilen.

4. Fügen Sie die Daten unverändert in die entsprechenden Masken ein.

5. Speichern Sie die vHost‑Einstellungen und kontrollieren Sie anschließend den SSL‑Status der Domain – im Webbrowser oder per (Online-)Tool Ihrer Wahl.

6. Weitere Informationen finden Sie unter Konfiguration von SSL-Zertifikaten im Managed Center.

„Dieses Zertifikat ist abgelaufen.“

Hierbei handelt es sich um ein abgelaufenes oder ungültiges Zertifikat. Das eingetragene Zertifikat hat das Ende seiner Gültigkeitsdauer erreicht oder wurde vom Aussteller vorzeitig gesperrt (revoked).

Lösung:

1. Prüfen Sie das Ablaufdatum und den Status des Zertifikats.

2. Erneuern Sie das Zertifikat beim Anbieter oder über das Application Center. Alternativ haben Sie die Möglichkeit, ein kostenloses Let’s Encrypt Zertifikat zu aktivieren. Hierbei erfolgt eine automatische Verlängerung.

3. Fügen Sie das neue Zertifikat (inkl. CA-Kette) im Managed Center ein.

4. Speichern Sie die vHost‑Einstellungen und kontrollieren Sie anschließend den SSL‑Status der Domain – im Webbrowser oder per (Online-)Tool Ihrer Wahl.

Nachfolgend weitere Prüfungsergebnisse, wofür eine Meldung im Managed Center angezeigt werden kann:

„Der Privat Key ist passwortgeschützt“ (verschlüsselt)

Der Privat Key ist mit einer Passphrase gesichert. Für die Einbindung eines SSL-Zertifikats im Managed Center kann nur ein unverschlüsselter Private Key verwendet werden. Ein passwortgeschützter Privat Key kann beim Einbinden nicht automatisch verarbeitet werden, weshalb das Zertifikat nicht gespeichert werden kann. Sie erkennen einen verschlüsselten Privat Key an dem Eintrag “ENCRYPTED”.

Lösung:

1. Entfernen Sie das Passwort aus dem Private Key, bevor Sie ihn im Managed Center einfügen. Dies können Sie z. B. lokal auf der Kommandozeile mit folgendem Befehl mittels OpenSSL durchführen:
   openssl rsa -in verschluesselter_key.key -out unverschluesselter_key.key

2. Kopieren Sie den Inhalt des entschlüsselten Keys (unverschluesselter_key.key) und fügen Sie diesen im Managed Center ein.

3. Speichern Sie die vHost‑Einstellungen und kontrollieren Sie anschließend den SSL‑Status der Domain – im Webbrowser oder per (Online-)Tool Ihrer Wahl.
   

„Das Zertifikat stimmt nicht mit der Domain überein“

Das eingetragene SSL-Zertifikat deckt die im vHost eingetragenen Domains oder deren Alias-Domains nicht ab.

• Beispiel 1: Das Zertifikat wurde für ein Wildcard-Format (*.example.com) ausgestellt, der vHost ist jedoch für eine andere TLD wie example.de angelegt.

• Beispiel 2: Das Zertifikat ist nur für example.com gültig, aber der vHost erfordert die Subdomain www.example.com, die im Zertifikat nicht als SAN (Subject Alternative Name) hinterlegt ist.

• Bei Multi-Domain-/SAN-Zertifikaten fehlen oft notwendige SAN-Einträge (Subject Alternative Names) für einzelne Domains oder sind unvollständig.

Lösung:

1. Prüfen Sie den vHost und die eingetragenen Alias-Domains im Managed Center.

2. Common Name (CN) und SAN-Einträge (Alias-Domains) des Zertifikats mit verwendeten Domains/Alias-Domains abgleichen.

3. Passen Sie entweder die vHost-Konfiguration (Domain/Alias-Domains) an das Zertifikat an oder verwenden Sie ein Zertifikat, das alle benötigten Domains (CN und SANs/Alias-Domains) abdeckt.

4. Tragen Sie die Zertifikatsdateien erneut ein.

5. Speichern Sie die vHost‑Einstellungen und kontrollieren Sie anschließend den SSL‑Status der Domain – im Webbrowser oder per (Online-)Tool Ihrer Wahl.

Sie benötigen weitere Unterstützung?

Wenn Sie mit den zuvor beschriebenen Lösungsansätzen das Problem nicht beheben können, wenden Sie sich an den Support, damit die Ursache im Detail analysiert und eine passende Lösung gefunden werden kann. Der Support kann dann die Konfiguration auf dem Cluster prüfen, Logeinträge auswerten und Sie bei der korrekten Einbindung des Zertifikats oder Speichern des vHosts unterstützen.

Weitere Informationen

• Let’s Encrypt-Zertifikat einrichten
• SSL-Zertifikat konfigurieren
• SSL - Bestellung eines SSL-Zertifikates
• SSL - Unterschiede zwischen einfachen, Wildcard-, SAN- und Lets Encrypt-Zertifikaten
• Automatische SSL/HTTPS-Weiterleitung