Verwaltung der ServBay PKI (ServBay CA)

Im modernen Webentwicklungsumfeld ist der Einsatz von HTTPS zum Schutz der Datenübertragung essenziell – das gilt auch für lokale Entwicklungsumgebungen. ServBay stellt eine integrierte, lokale Public Key Infrastructure (PKI) sowie eine Zertifizierungsstelle (CA) namens ServBay CA bereit, mit der Sie für Ihre lokalen Websites vertrauenswürdige SSL/TLS-Zertifikate ausstellen lassen können. So vermeiden Sie Browserwarnungen und können HTTPS-Verbindungen produktionsnah simulieren.

In diesem Beitrag erfahren Sie, wie Sie unter macOS das lokale Root-Zertifikat ServBay User CA - ECC Root verwalten, das von der ServBay CA generiert wird, und wie Sie mit sertifikatsbezogenen Fehlern umgehen.

Was ist die ServBay CA?

Die ServBay CA ist eine speziell von ServBay entwickelte Zertifizierungsstelle für lokale Entwicklungsumgebungen. Sie ermöglicht das Ausstellen verschiedener Sicherheitszertifikate für Ihre in ServBay konfigurierten lokalen Websites (früher als „Hosts“ bezeichnet), darunter:

• Domain-(TLS/SSL)-Zertifikate für lokale HTTPS-Verbindungen
• E-Mail-(S/MIME)-Signaturzertifikate
• Dokumenten-(PDF)-Signaturzertifikate
• Code-Signaturzertifikate

Während der Installation von ServBay wird die ServBay CA automatisch generiert. Ihr Root-Zertifikat ServBay User CA - ECC Root wird Ihrem macOS-Schlüsselbund hinzugefügt und als vertrauenswürdig markiert, sodass alle hierüber ausgestellten Zertifikate im lokalen Umfeld akzeptiert werden.

Abbildung 1: Zertifikatsverwaltungspanel von ServBay

Beantragung eines durch die ServBay CA ausgestellten SSL-Zertifikats

Die ServBay CA kann für Ihre lokalen Entwicklungsanforderungen verschiedene Arten von Zertifikaten ausstellen. Wie Sie ein solches Zertifikat beantragen und nutzen, erfahren Sie in diesen Anleitungen:

• Wie beantrage und verwende ich ein Domain-SSL-Zertifikat?
• Wie beantrage und verwende ich ein E-Mail-Signatur (S/MIME) Zertifikat?
• Wie beantrage und verwende ich ein Dokumentensignaturzertifikat?
• Wie beantrage und verwende ich ein Code-Signaturzertifikat?

Verlängerung eines von der ServBay CA ausgestellten SSL-Zertifikats

Die von der ServBay CA ausgestellten Zertifikate haben standardmäßig eine Laufzeit von 800 Tagen. Läuft ein Zertifikat ab oder steht die Verlängerung an, können Sie dies ganz einfach über das ServBay-Interface erledigen.

Im Zertifikatsmanagement finden Sie das zu verlängernde Zertifikat und klicken auf den Aktualisierungsbutton (üblicherweise ein Symbol mit kreisförmigen Pfeilen) rechts daneben. ServBay stellt Ihnen automatisch ein neues Zertifikat mit einer Gültigkeit von 800 Tagen aus.

Abbildung 2: Zertifikat-Verlängerungsknopf

Export eines von der ServBay CA ausgestellten SSL-Zertifikats

Manchmal ist es nötig, ein Zertifikat – etwa zur Verwendung auf anderen Geräten, in virtuellen Maschinen oder bestimmten Anwendungen – zu exportieren.

Klicken Sie hierfür in der Zertifikatsverwaltung auf den Exportieren-Button rechts neben dem gewünschten Zertifikat. ServBay verpackt das Zertifikat und seinen privaten Schlüssel in eine .zip-Datei zum Download.

Abbildung 3: Zertifikat-Exportknopf

Löschen eines von der ServBay CA ausgestellten SSL-Zertifikats

Wenn Sie ein Zertifikat nicht mehr benötigen, können Sie es löschen.

Klicken Sie in der Zertifikatsverwaltung auf den Löschen-Button neben dem jeweiligen Zertifikat.

Wichtig: Ein Zertifikat, das derzeit von einer lokal in ServBay konfigurierten Website (ehemals „Host“) verwendet wird, kann nicht direkt gelöscht werden. Entfernen Sie zunächst die Zuordnung des Zertifikats zur Website, bevor Sie es löschen.

Abbildung 4: Zertifikat-Löschknopf

Wie finde ich die ServBay CA in der macOS Schlüsselbundverwaltung?

Das Root-Zertifikat der ServBay CA (ServBay User CA - ECC Root) wird im Schlüsselbund Ihres macOS-Systems installiert. Sie können es über das Tool „Schlüsselbundverwaltung“ einsehen und verwalten.

So finden Sie das Zertifikat:

1. Öffnen Sie die Anwendung „Schlüsselbundverwaltung“. Suchen Sie sie einfach via Spotlight (Cmd + Leertaste, dann „Schlüsselbundverwaltung“ eingeben).
2. Wählen Sie im linken Bereich unter „Schlüsselbunde“ den Eintrag System aus. Das ServBay CA-Root-Zertifikat ist in der Regel hier installiert.
3. Geben Sie oben rechts in das Suchfeld ServBay User CA - ECC Root ein.
4. In den Suchergebnissen finden Sie das gewünschte Zertifikat. Mit einem Doppelklick erhalten Sie weitere Details und sehen, ob es als „Vertrauenswürdig“ eingestuft ist.

Abbildung 5: ServBay CA in der Schlüsselbundverwaltung auffinden

Behebung von Zertifikatsfehlern lokaler Websites

Kommt es bei von ServBay verwalteten lokalen Websites zu Browser-Warnungen wie „Ihre Verbindung ist nicht privat“ oder „NET::ERR_CERT_AUTHORITY_INVALID“, deutet dies meistens darauf hin, dass das CA-Root-Zertifikat von ServBay nicht korrekt installiert oder nicht als vertrauenswürdig gekennzeichnet ist – oder das eigentliche Website-Zertifikat ein Problem aufweist.

Typische Lösungswege:

Neuinstallation des ServBay CA-Root-Zertifikats

Fehlt das ServBay CA-Root-Zertifikat im Systemschlüsselbund, ist es beschädigt oder nicht als vertrauenswürdig markiert? Dann installieren Sie es einfach neu:

1. Starten Sie die ServBay-App.
2. Öffnen Sie das Verwaltungs-Panel.
3. Wechseln Sie zum Tab Pakete (Packages).
4. Suchen und wählen Sie in der Liste ServBay Root CA aus.
5. Klicken Sie auf den Button ServBay Root CA neu installieren. ServBay entfernt vorhandene alte Root-Zertifikate (falls vorhanden), installiert das aktuelle Root-Zertifikat (ServBay User CA - ECC Root) erneut im Systemschlüsselbund und setzt es auf vertrauenswürdig. Folgen Sie ggf. der Aufforderung zur Eingabe Ihres Administrator-Passworts.

Abbildung 6: ServBay Root CA neu installieren

Neue Ausstellung aller ServBay Benutzerzertifikate

In seltenen Fällen – etwa bei Problemen mit der CA selbst, verlorenen Zertifikatsdateien oder unterbrochener Zertifikatskette – empfiehlt es sich, alle von der ServBay CA ausgestellten Zertifikate neu zu generieren.

Klicken Sie dazu im Verwaltungsbereich von ServBay Root CA auf Alle ServBay-Benutzerzertifikate neu erstellen. Dabei werden sämtliche aktuell ausgestellten Zertifikate gelöscht und entsprechend Ihrer ServBay-Konfiguration komplett neu ausgestellt.

Wichtiger Hinweis: Durch diese Aktion ändern sich alle Zertifikate für lokale Websites, die auf von der ServBay CA ausgestellten Zertifikaten basieren. Sollten Sie die alten Zertifikate zuvor exportiert oder beispielsweise für Mobilgeräte verteilt haben, müssen Sie dies mit den neuen Zertifkaten wiederholen, um einen unterbrechungsfreien Betrieb zu gewährleisten.

Abbildung 7: Alle ServBay-Benutzerzertifikate neu ausstellen

Weitere Tipps zur Fehlersuche:

• Website-Konfiguration überprüfen: Stellen Sie sicher, dass die Websites auf die von der ServBay CA ausgestellten Zertifikatdateien verweisen.
• Browser-Cache: Browser speichern gelegentlich alte Zertifikatsinformationen. Leeren Sie Ihren Browser-Cache oder testen Sie im Inkognito-/Privatmodus.
• Vertrauensstatus: Prüfen Sie in der „Schlüsselbundverwaltung“, ob das Zertifikat ServBay User CA - ECC Root auf „Immer vertrauen“ gesetzt ist. Öffnen Sie das Zertifikat, klappen Sie den Bereich „Vertrauen“ aus und stellen Sie für alle Optionen „Immer vertrauen“ ein.

Fazit

Die ServBay CA ist ein leistungsstarkes Tool für lokale Webentwicklung mit ServBay und macht die Verwendung von HTTPS unter macOS besonders einfach. Mit den hier beschriebenen Methoden können Sie SSL-Zertifikate der ServBay CA komfortabel beantragen, verlängern, exportieren, löschen und bei Fehlern schnell Lösungen finden. Eine korrekte Konfiguration und kontinuierliche Verwaltung der ServBay CA sorgen für maximale Sicherheit und eine realitätsnahe Entwicklungsumgebung für Ihre lokalen Projekte.