AlphaSSL

Achtung:
Aktuell stellt AlphaSSL keine "SAN-Zertifikate aus und auch ein Lync Edge ist mit den Zertifikaten noch nicht zufrieden, zeigt sie als "Ungültig" an und lässt Sie es nicht per GUI zuweisen. Siehe auch LyncZertifikate. Dies trifft aber nur auf die Textzertifikate zu.

Neben GoDaddy gibt es natürlich auch andere Zertifizierungsstellen, die zu günstigen Preisen entsprechende Zertifikate anbieten. Ein Ableger von "GlobalSign" ist "AlphaSSL", was Sie auch direkt am Zertifikat hinter https://www.alphassl.com sehen können:

Die Preise sind durchaus interessant. Ich sehe das ein Stück weit wie bei der Telekom-Tochter "Congstar". Wobei billiger nicht schlechter sein muss.

• Standard SSL 1 Jahr = 49 Euro
• Standard Wildcard Zertifikate = 149 Euro

Allerdings gibt es wohl aktuell keine SAN-Zertifikate und es bleibt ein "SelfService". Es gibt allerdings durchaus "Reseller" (z.B. auch Net at Work, die Dienstleistungen um das Thema Zertifikate anbieten. Interessant ist auch, dass Sie den ganzen Prozess und die Eignung mit einem kostenfreien 45 Tage gültigen Zertifikat testen können. So kostet es erst mal kein Geld, um bei der Anforderung, der Verarbeitung und der Anwendung zu "üben". Besonders, wenn Sie nicht ganz sicher sind, ob alle Clients der StammCA (Globalsign) vertrauen.

Zertifikat anfordern und einrichten

Das Beantragen und Anfordern eines Zertifikats erfolgt bei AlphaSSL vergleichbar zu anderen "Billig"-Anbietern. Um Kosten zu sparen gibt es keinen direkten Kontakt, sondern die Validierung erfolgt per Mail. Damit entfallen natürlich auch die "Verified by"-Zertifikate. Hier die Schritte:

• "Certificate Signing request" (CSR) erstellen
  AlphasSSL signiert einfach ihren CSR, den Sie natürlich erst erstellen müssen. Das können Sie mit dem IIS-Manager, der Exchange PowerShell oder anderen Tools machen. Siehe auch CSR oder die Anleitung von AlphaSSL auf http://www.alphassl.com/support/create-ssl-csr.html
• SSL Zertifikat anfordern
  Dann gehen Sie auf die AlphaSSL-Webseite und suchen sich ihr Produkt aus. In dem Prozess müssen Sie einige Daten (Name, Adresse etc.) eingeben und den CSR beifügen.
  Für einen ersten Test können Sie mit einem kostenfreien Testzertifikat starten: https://www.alphassl.com/ssl-certificates/free-ssl-certificate.html
• Verifikation per Mail
  Im nächsten Schritt müssen Sie eine vorgeschlagenen Mailadressen auswählen, an die eine Verifikationsmail gesendet wird, um wirklich sicherzustellen, dass Sie berechtigt sind, dieses Zertifikat anzufordern.
  
  Die Vorgabe bestimmter Adressen ist nicht änderbar.
  Danach bekommt der Besteller eine Mail, die die finanziellen Details zusammen fasst.
• Validierung bestätigen
  An diese Mailadresse wird eine Bestätigungsnachricht mit einem Hyperlink gesendet.
  
  
  Der Empfänger kann damit auf der Webseite auch noch mal die Anforderung kontrollieren und muss Sie dann "freigeben"
  
  Der Erfolg wird im Browser angezeigt. Das Zertifikat wird aber an den Antragsteller gesendet:
  
• Zertifikat erhalten
  Kurze Zeit später finden Sie dann wieder im Postfach des Antragstellers eine Mail, in der das Zertifikat als auch die Zwischenzertifizierungsstelle im Text hinterlegt sind. Wie in der Beschreibung auch vorgeschlagen, sollten Sie dann diese beiden Textblöcke mit dem "-----BEGIN CERTIFICATE-----" und "-----END CERTIFICATE-----" inklusive einfach in eine Textdatei (Notepad) kopieren und mit der Erweiterung ".cer" speichern.
  
• Zertifikat einspielen und aktivieren
  Die Zwischenzertifizierungsstelle müssen Sie auf dem Server manuell importieren. Die CER-Datei mit dem Zertifikat zu ihrer Anforderung sollten Sie über den jeweiligen Assistenten einrichten und dann dem Dienst zuweisen. Achten Sie bitte darauf, dass AlphaSSL eine IntermediateCA von Globalsign ist und auch diese IntermediateCA mit auf den Server eingespielt werden muss, damit dieser im SSL-Handshake die komplette Kette liefern kann.

AlphaSSL möchte, dass Sie auf ihrer Webseite ein AlphaSSL Siteseal platzieren. Das wird zwar gerne so verkauft, dass Sie ihren Besuchern zeigen, dass Sicherheit ihnen wichtig ist, aber ich sehe dort doch eher den Werbefaktor für die CA. Das muss aber nicht sein und bei einigen Anwendungen (z.B. Lync, ActiveSync) auch gar nicht möglich.

Mit etwas Übung hat das ganze nun nicht mal 15 Minuten gedauert, wie man in meinem Posteingang sehen kann:

Zwischen der Informationsmail, dass die Bestellung gestartet wurde bis zur Ausstellung des Zertifikats sind gerade mal 7 Minuten vergangen, in denen ich auch noch die Bestätigungsmail im Postfach der Administrators lesen, anklicken und auf der Webseite bestätigen musste.

Weitere Links

• CSR
• GoDaddy
• Rolle der CA
• E2K7:Zertifikate
• SSL-Grundlagen
• SAN-Zertifikate
• IIS Zertifikat einrichten
• Clientzertifikat anfordern
• ISA-Server und SSL
• SelfSSL
• www.alphassl.com