DokumentationBest-Practice-Leitfaden zur Zustellbarkeit

SSL-Zertifikatanforderungsvorgang

Last update: Tue Jul 16 2024 00:00:00 GMT+0000 (Coordinated Universal Time)

Erstellt für:

  • Einsteiger
  • Führungskraft
  • Benutzende

Nachdem Sie eine Domäne zum Senden von E-Mails an Adobe delegiert haben (siehe Einrichten des Domain-Namens), erstellt und verwendet Adobe bestimmte Subdomains für bestimmte Funktionen.

Wenn Sie beispielsweise email.example.com zum Senden von E-Mails an Adobe delegiert haben, erstellt Adobe Subdomains wie die folgende:

  • t.email.example.com - für Tracking-Links
  • m.email.example.com - für Mirrorseiten
  • res.email.example.com - für gehostete Ressourcen (z. B. Bilder)

Es wird empfohlen, diese Domänen über SSL (HTTPS) zu sichern. Ungesicherte Links (HTTP) sind anfällig für Abfangen und werden Warnhinweise auf modernen Browsern anzeigen.

Um SSL-Zertifikate auf diesen Subdomains zu installieren, müssen Sie eine CSR-Datei anfordern und anschließend SSL-Zertifikate erwerben, damit Adobe installieren oder erneuern kann.

CAUTION
Stellen Sie vor der Installation eines SSL-Zertifikats sicher, dass Sie die auf dieser Seite aufgeführten Voraussetzungen kennen.
Adobe unterstützt nur bis zu 2048-Bit-Zertifikate. 4096-Bit-Zertifikate werden noch nicht unterstützt.

Glossar

Begriff
Beschreibung
CA (Zertifizierungsstelle)

Ein SSL-Zertifikatanbieter, der Organisationen oder Einzelpersonen digitale Zertifikate nach der Überprüfung ihrer Identität ausstellt, z. B. DigiCert, Symantec usw.

  • Eine vertrauenswürdige Zertifizierungsstelle wird normalerweise als Zertifizierungsstelle eines Drittanbieters betrachtet, die ein Stammzertifikat ausstellt.
  • Wenn das Zertifikat von derselben Organisation/Firma signiert wird, die das Zertifikat verwendet, wird es auch dann als nicht vertrauenswürdige Zertifizierungsstelle klassifiziert, wenn es sich um SSL-Zertifikate handelt, z. B. selbstsignierte Zertifikate.
Kettenzertifikat
Ein Zertifikat, das ein Stammzertifikat und ein oder mehrere Zwischenzertifikate enthält, wird als Kettenzertifikat (oder verkettetes Zertifikat) bezeichnet.
CSR (Certificate Signing Request)
Ein Block kodierten Texts, der einer Zertifizierungsstelle bei der Beantragung eines SSL-Zertifikats zugewiesen wird. Sie wird normalerweise auf dem Server generiert, auf dem das Zertifikat installiert ist.
DER (Distinguished Encoding Rules)
Ein Zertifikaterweiterungstyp. Die Erweiterung .der wird für binäre DER-kodierte Zertifikate verwendet. Diese Dateien unterstützen möglicherweise auch die Erweiterung .cer oder .crt .
EV-Zertifikat (Extended Validation)
Ein EV-Zertifikat ist ein neuer Zertifikatstyp, der zur Vermeidung von Phishing-Angriffen entwickelt wurde. Dies erfordert eine erweiterte Validierung Ihres Unternehmens und der Person, die das Zertifikat bestellt.
Zuverlässigkeitsbescheinigung
Die Zertifizierungsstelle stellt nach der Überprüfung des Eigentums an dem Domänennamen und der gültigen Geschäftsregistrierung hohe Sicherheitszertifikate aus.
Vermittelnde CA
Eine Zertifizierungsstelle für Zwischenbescheinigungen, die in einem Kettenzeugnis enthalten sind.
Zwischenzertifikat
Eine Zertifizierungsstelle stellt Zertifikate in Form einer Baumstruktur aus. Das Stammzertifikat ist das oberste Zertifikat des Baums. Jedes Zertifikat zwischen Ihrem Zertifikat und dem Stammzertifikat wird als Kette- oder Zwischenzertifikat bezeichnet.
Geringe Zuverlässigkeitsbescheinigung
Ein Zertifikat mit geringer Sicherheit, auch als domänenvalidiertes Zertifikat bezeichnet, enthält nur den Domänennamen im Zertifikat (und nicht den Unternehmens-/Geschäftsnamen).
PEM (Privacy Enhanced Mail)
Ein Zertifikat mit der Erweiterung .pem , das ASCII-Daten (Base64) enthält. Solche Zertifikate beginnen mit der Zeile "- - - - - BEGIN CERTIFICATE - - - -".
Stammzertifikat
Eine Zertifizierungsstelle stellt Zertifikate in Form einer Baumstruktur aus. Das Stammzertifikat ist das oberste Zertifikat des Baums.
SAN (Subject Alternative Name)
Die alternativen Betreffnamen sind zusätzliche Hostnamen (Sites, IP-Adressen, allgemeine Namen usw.) , die als Teil eines einzelnen SSL-Zertifikats signiert werden sollen.
Selbstsigniertes Zertifikat

Ein Zertifikat, das von der Person, die es erstellt, und nicht von einer vertrauenswürdigen Zertifizierungsstelle signiert wird. Selbstsignierte Zertifikate können dasselbe Verschlüsselungsniveau wie ein von einer Zertifizierungsstelle signiertes Zertifikat ermöglichen, es gibt jedoch zwei wesentliche Nachteile:

  • Die Verbindung eines Besuchers kann gekapselt werden, sodass ein Angreifer alle gesendeten Daten anzeigen kann (wodurch der Zweck der Verschlüsselung der Verbindung zunichte gemacht wird).
  • Das Zertifikat kann nicht wie ein vertrauenswürdiges Zertifikat widerrufen werden.
SSL (Secure Sockets Layer)
Die standardmäßige Sicherheitstechnologie zum Einrichten einer verschlüsselten Verbindung zwischen einem Webserver und einem Browser.
Wildcard-Zertifikat
Ein Platzhalterzertifikat kann eine unbegrenzte Anzahl von Subdomains der ersten Ebene mit einem einzigen Domänennamen sichern, z. B. *.adobe.com.

Wichtigste Schritte

  1. Eine CSR-Datei (Certificate Signing Request) anfordern und die erforderlichen Informationen bereitstellen (Land, Bundesland, Stadt, Organisationsname, Name der Organisationseinheit usw.) auf Adobe.
  2. Validieren Sie die von Adobe generierte CSR-Datei und stellen Sie sicher, dass alle von Ihnen bereitgestellten Informationen korrekt sind.
  3. Verwenden Sie die CSR-Details, um ein von einer vertrauenswürdigen Zertifizierungsstelle signiertes Zertifikat zu generieren.
  4. Validieren Sie das SSL-Zertifikat und überprüfen Sie, ob es mit dem CSR übereinstimmt.
  5. Stellen Sie das SSL-Zertifikat für Adobe bereit, die es installieren wird.
  6. Testen Sie, ob das SSL-Zertifikat für jede gesicherte Subdomain erfolgreich installiert wurde.
  7. Überwachen Sie den Gültigkeitszeitraum des SSL-Zertifikats.
  8. Aktualisieren Sie eine bestimmte Konfiguration in Adobe Campaign.

Detaillierter Prozess

Voraussetzungen

Sie müssen die Domänennamen und Funktionen (Tracking, Mirrorseiten, Webapps usw.) identifizieren. zu sichern.

NOTE
Adobe kann bei der Definition der Domänennamen und Funktionen helfen, die einbezogen werden sollen. Weitere Informationen erhalten Sie von Ihrem Adobe-Account-Team.

Schritt 1: CSR-Datei abrufen

Gehen Sie wie folgt vor, um eine CSR-Datei (Certificate Signing Request) zu erhalten.

  • Wenn Sie Zugriff auf das Control Panel haben, befolgen Sie die Anweisungen auf dieser Seite , um eine CSR-Datei aus dem Control Panel zu generieren und herunterzuladen.

  • Erstellen Sie andernfalls ein Support-Ticket über https://adminconsole.adobe.com/ , um eine CSR-Datei von der Adobe-Kundenunterstützung für die erforderlichen Subdomains zu erhalten.

Im Folgenden finden Sie einige Best Practices für :

  • Anfrage pro zugewiesener Subdomain auslösen.
  • Es ist möglich, mehrere Subdomains zu einer CSR-Anfrage zu kombinieren, jedoch nur innerhalb derselben Umgebung. In Campaign Classic sind beispielsweise der Marketing-Server, der Mid-Sourcing-Server und die Ausführungsinstanz drei separate Umgebungen.
  • Sie müssen eine neue CSR vor einer Verlängerung eines SSL-Zertifikats erhalten. Verwenden Sie keine alte CSR-Datei von vor einem Jahr oder länger.

Sie müssen die folgenden Informationen angeben.

CAUTION
Alle in den Tabellen unten angegebenen Felder müssen ausgefüllt werden. Andernfalls kann die CSR-Anfrage nicht verarbeitet werden.

Informationen, die mithilfe des Adobe-Teams bereitgestellt werden sollen:

Zu liefernde Informationen
Beispielwert
Hinweis
Client-Name
My Company Inc.
Name Ihres Unternehmens. Dieses Feld wird von Adobe zur Verfolgung Ihrer Anfrage verwendet (es ist nicht Teil des CSR/SSL-Zertifikats).
Adobe Campaign-Umgebungs-URL
https://client-mid-prod1.campaign.adobe.com
Adobe Campaign-Instanz-URL.
Gebrauchsname [CN]
t.subdomain.customer.com
Dabei kann es sich um eine beliebige der relevanten Domänen handeln, normalerweise jedoch um die Tracking-Domäne.
Alternativname des Betreffs [SAN]
t.subdomain.customer.com
Stellen Sie sicher, dass Sie Tracking-Subdomain als SAN einbeziehen.
Alternativname des Betreffs [SAN]
m.subdomain.customer.com
Alternativname des Betreffs [SAN]
res.subdomain.customer.com

Informationen, die von Ihrem internen IT/SSL-Team bereitgestellt werden sollen:

Zu liefernde Informationen
Beispielwert
Hinweis
Land [C]
USA
Hierbei muss es sich um einen aus zwei Buchstaben bestehenden Code handeln. Rufen Sie die vollständige Länderliste hier auf.
Hinweis: Für Großbritannien verwenden Sie GB (nicht UK).
Bundesland (oder Bezirksname) [ST]
Illinois
Falls zutreffend. Der Wert muss ein vollständiger Name sein, nicht abgekürzt.
Stadt-/Ortsname [L]
Chicago
Organisationsname [O]
ACME
Name der Organisationseinheit [OU]
IT
NOTE
Ersetzen Sie "subdomain.customer.com"durch Ihre zugewiesene Subdomäne und die anderen Beispielwerte durch die entsprechenden Werte.

Schritt 2: Validieren der CSR-Datei

Nachdem Sie Ihre Anfrage mit den entsprechenden Informationen übermittelt haben, generiert Adobe eine CSR-Datei (Certificate Signing Request) und stellt diese bereit.

Der Text in der resultierenden CSR-Datei muss mit "—BEGIN CERTIFICATE REQUEST—" beginnen.

Nachdem Sie die CSR-Datei von Adobe erhalten haben, führen Sie die folgenden Schritte aus:

  1. Kopieren Sie den CSR-Dateitext und fügen Sie ihn in einen Online-Decoder wie https://www.sslshopper.com/csr-decoder.html, oder https://www.entrust.net/ssl-technical/csr-viewer.cfm ein.
    Alternativ können Sie den Befehl OpenSSL lokal auf einem Linux-Computer verwenden.
  2. Überprüfen Sie, ob alle Prüfungen erfolgreich sind.
  3. Überprüfen Sie, ob die richtigen Parameter und Domänennamen enthalten sind.
  4. Überprüfen Sie, ob alle anderen Daten mit den Details übereinstimmen, die Sie beim Senden Ihrer Anfrage angegeben haben.

Schritt 3: Generieren des SSL-Zertifikats

Nachdem die CSR-Datei bereitgestellt wurde, müssen Sie mithilfe der CSR-Datei ein SSL-Zertifikat für die entsprechenden Domänen erwerben und generieren.

  • Das SSL-Zertifikat:

    • muss im Apache PEM-Format vorliegen;
    • darf nicht länger als 2048 Bit sein;
    • muss von einer gültigen Zertifizierungsstelle (Zertifizierungsstelle) unterzeichnet werden;
    • muss alle SANs (Subject Alternative Names) enthalten, wie in der CSR-Datei erwähnt.

  • Wenn ein oder mehrere Zwischenzertifikate vorhanden sind, müssen Sie das Stammzertifikat und alle Zwischenzertifikate für Adobe bereitstellen.

  • Sie können einen beliebigen Zertifikatgültigkeitszeitraum festlegen, Adobe empfiehlt jedoch, diesen ausreichend lang auszuwählen (z. B. zwei Jahre).

NOTE
Wenn Sie Ihre eigenen internen Tools oder ein von einer Zertifizierungsstelle bereitgestelltes Portal verwenden, um das Zertifikat anzufordern, stellen Sie sicher, dass Sie dieselben Details wie in der CSR-Anfrage verwenden, um Verzögerungen oder Diskrepanzen beim Zertifikatgenerierungsprozess zu vermeiden.

Schritt 4: Überprüfen des SSL-Zertifikats

Nachdem das SSL-Zertifikat generiert wurde, müssen Sie es validieren, bevor Sie es an Adobe senden. Gehen Sie dazu wie folgt vor:

  1. Stellen Sie sicher, dass das Zertifikat die Erweiterung .pem aufweist. Ist dies nicht der Fall, konvertieren Sie es in das PEM-Format. Sie können die Konvertierung mit OpenSSL durchführen.
  2. Vergewissern Sie sich, dass das Zertifikat mit ""—BEGIN CERTIFICATE—" beginnt.
  3. Kopieren Sie den Zertifikattext in einen Online-Decoder, z. B. https://www.sslshopper.com/certificate-decoder.html oder https://www.entrust.net/ssl-technical/csr-viewer.cfm.
    Alternativ können Sie den Befehl OpenSSL lokal auf einem Linux-Computer verwenden. Weitere Informationen hierzu finden Sie auf dieser externen Seite.
  4. Stellen Sie sicher, dass das Zertifikat ordnungsgemäß aufgelöst wurde, einschließlich des allgemeinen Namens, SAN, Ausstellers und Gültigkeitszeitraums.
  5. Wenn die SSL-Zertifikatüberprüfung erfolgreich ist, überprüfen Sie mithilfe von dieser Website, ob das Zertifikat mit der CSR übereinstimmt. Wählen Sie Überprüfen Sie, ob eine CSR und ein Zertifikat mit übereinstimmen, und geben Sie Ihr Zertifikat und Ihre CSR in die entsprechenden Felder ein. Sie sollten übereinstimmen.

Schritt 5: Anfordern der Installation des SSL-Zertifikats

  • Wenn Sie Zugriff auf das Control Panel haben, befolgen Sie die Anweisungen auf dieser Seite , um das Zertifikat in das Control Panel hochzuladen.

  • Erstellen Sie andernfalls ein weiteres Support-Ticket über https://adminconsole.adobe.com/ , um Adobe zur Installation des Zertifikats auf den Adobe-Servern anzufordern.

Sie müssen Folgendes bereitstellen:

  • Die Zertifikatdatei, das Stammzertifikat und alle Zwischenzertifikate (an das Ticket angehängt), vorzugsweise im Apache PEM-Format.
  • Die Nummer des vorherigen Support-Tickets, das für die CSR erhöht wurde.
  • Dieselben Daten, die für das CSR-Ticket bereitgestellt wurden (einschließlich Allgemeiner Name, Instanz-URL, Bundesland, Stadt/Ort, Organisationsname, Name der Organisationseinheit usw.).

Schritt 6: Installieren des SSL-Zertifikats testen

Nachdem das SSL-Zertifikat installiert und von der Adobe-Kundenunterstützung bestätigt wurde, stellen Sie sicher, dass es für alle URLs erfolgreich installiert wurde.

Führen Sie die folgenden Tests durch, bevor Sie das SSL-Installationticket schließen. Aktualisieren Sie außerdem alle spezifischen Konfigurationen, wie in diesem Abschnitt beschrieben.

Navigieren Sie zu den folgenden URLs in Ihrem Browser (ersetzen Sie "subdomain.customer.com"durch Ihre Subdomain):

  • https://subdomain.customer.com/r/test (nur für Webanwendungen -Subdomains - gilt nicht für E-Mail-Subdomains)
  • https://t.subdomain.customer.com/r/test
  • https://m.subdomain.customer.com/r/test
  • https://res.subdomain.customer.com/r/test

Ein erfolgreiches Ergebnis liefert Umgebungsinformationen, und die Adressleiste in der URL zeigt an, dass die Verbindung sicher ist. Sie können beispielsweise die folgende Meldung in Google Chrome sehen:

Wenn das SSL-Zertifikat nicht ordnungsgemäß installiert ist, wird die folgende Warnung angezeigt:

7. Schritt - Prüfung des Gültigkeitszeitraums des Zertifikats

Sie können die Gültigkeitsdauer des Zertifikats in Ihrem Browser überprüfen. Klicken Sie beispielsweise in Google Chrome auf Sicher > Zertifikat.

Es liegt in Ihrer Verantwortung, den Gültigkeitszeitraum zu überprüfen. Adobe empfiehlt die Implementierung eines Prozesses zur Überwachung des Ablaufs von Zertifikaten. Weitere Informationen dazu, was passiert, wenn Ihr SSL-Zertifikat abläuft, finden Sie in diesem Artikel.

  • Erstellen Sie ein Support-Ticket, um ein aktualisiertes Zertifikat mindestens zwei Wochen vor dem Ablaufdatum des Zertifikats anzufordern. Sie müssen keine zusätzliche CSR anfordern, es sei denn, die CSR-Details wurden geändert.

  • Wenn Sie Zugriff auf das Control Panel haben und Ihre Umgebung von Adobe in einer AWS-Umgebung gehostet wird, können Sie das Control Panel verwenden, um das Zertifikat zu verlängern, bevor es abläuft. Weiterführende Informationen finden Sie in diesem Abschnitt.

Schritt 8: Aktualisieren einer bestimmten Konfiguration update-configuration

Sobald Sie sicher sind, dass die angeforderten SSL-Zertifikate ordnungsgemäß installiert sind, können Sie alle Verweise in Adobe Campaign von HTTP auf HTTPS aktualisieren.

NOTE
Für Campaign Classic befinden sich die zu aktualisierenden URLs hauptsächlich im Implementierungsassistenten und in den externen Konten (Tracking-, Mirrorseite- und öffentliche Ressourcendomänen). Campaign Standard: siehe Branding-Konfiguration.

Nach der Aktualisierung der Konfigurationen werden neue E-Mails mit HTTPS-URLs und nicht mit HTTP gesendet. Um zu überprüfen, ob die URLs jetzt sicher sind, können Sie schnell die folgenden Tests durchführen:

  • Laden Sie ein Bild aus Adobe Campaign hoch. Nach dem Hochladen des Bildes sollte die zurückgegebene URL HTTPS sein.
  • Erstellen Sie einen Test-E-Mail-Versand mit einem Mirrorseiten-Link, einigen Bildern, Text und einem Abmelde-Link. Senden Sie die E-Mail an eine externe E-Mail-ID (z. B. Ihre Gmail-Adresse). Öffnen Sie nach dem Erhalt die E-Mail und stellen Sie sicher, dass alle Links in der E-Mail im HTTPS-Formular (nicht im HTTP-Format) korrekt geöffnet werden, ohne dass SSL-Zertifikatwarnungen oder -Fehler auftreten.

Produktspezifische Ressourcen

Campaign Classic

Campaign Standard

recommendation-more-help
ce4a522f-06e7-4189-95bc-98ae01b1a1ec