Fehlerbehebung für SSL-Zertifikate und ServBay CA

Dieses Dokument beschreibt häufige Probleme und Troubleshooting-Lösungen rund um SSL-Zertifikate und ServBay CA in lokalen Entwicklungsumgebungen mit ServBay.

Warum zeigt mein Browser an, dass das SSL-Zertifikat nicht vertrauenswürdig ist?

Wenn Sie versuchen, Ihre lokal gehostete Webseite via ServBay im Browser zu öffnen und eine der folgenden Warnmeldungen erscheint, deutet dies auf eine fehlerhafte SSL-Zertifikat-Konfiguration hin:

• Chrome / Edge:
  • Your connection is not private (Ihre Verbindung ist nicht privat)
  • Fehlercode NET::ERR_CERT_AUTHORITY_INVALID
  • Fehlercode NET::ERR_CERT_COMMON_NAME_INVALID (tritt seltener auf, wenn Zertifikat und Domain nicht übereinstimmen)
• Firefox:
  • Warning: Potential Security Risk Ahead (Warnung: Mögliche Sicherheitsgefahr erkannt)
  • Nach Klick auf „Erweitert“: Fehlercode SEC_ERROR_UNKNOWN_ISSUER
  • Fehlercode SSL_ERROR_BAD_CERT_DOMAIN (wenn Zertifikat und Domain nicht übereinstimmen)
• Safari:
  • This Connection Is Not Private (Diese Verbindung ist nicht privat)
  • Safari kann die Identität der Website „Ihr-Domain.test“ nicht überprüfen.

Die Hauptursache für dieses Problem ist, dass ServBay User CA und ServBay Public CA nicht korrekt installiert oder als vertrauenswürdig eingestuft sind. Gründe können sein:

1. Das Root-Zertifikat von ServBay wurde nicht zur System-Vertrauensliste hinzugefügt.
2. Sie haben für dieselbe Domain (z.B. myapp.test) auch andere lokale Entwicklungsumgebungen wie MAMP oder Laravel Herd verwendet. Zertifikate dieser Tools können mit ServBay-Zertifikaten kollidieren oder interne Zertifikatssystemfehler verursachen, wodurch im Browser fehlerhafte Cache- oder Vertrauens-Informationen hinterlegt werden.

Lösung

Folgen Sie diesen Schritten:

1. Öffnen Sie ServBay.
2. Navigieren Sie zu Einstellungen (Settings) und suchen Sie den Abschnitt ServBay Root CA.
3. Klicken Sie auf ServBay Root CA erneut installieren (Reinstall ServBay Root CA). Dadurch versucht ServBay, Installations- und Vertrauensprobleme des Root-Zertifikats automatisch zu beheben.
4. Schließen Sie Ihren Browser vollständig und öffnen Sie ihn erneut (stellen Sie sicher, dass wirklich alle Fenster und Prozesse geschlossen sind, damit der SSL-Cache geleert wird).
5. Rufen Sie Ihre Webseite erneut auf – die SSL-Zertifikatfehlermeldungen sollten nun verschwunden sein.

Besteht das Problem weiterhin?

Dann befinden sich meist alte, kollidierende oder ungültige Zertifikate im System, gerade wenn Sie für dieselbe Domain mit anderen Tools (wie MAMP oder Herd) Zertifikate erstellt haben.

1. Öffnen Sie das Zertifikatsverwaltungs-Tool Ihres Systems:
   • macOS: Starten Sie Schlüsselbundverwaltung (Keychain Access) (findbar unter „Programme“ > „Dienstprogramme“).
   • Windows: Drücken Sie Win+R, geben Sie certmgr.msc ein und bestätigen Sie mit Enter.
2. Geben Sie oben rechts im Suchfeld die betroffene Domain ein (z. B. myapp.test oder unsichere Stichworte wie mamp oder herd), um entsprechende Zertifikatsstellen zu finden.
3. Filtern Sie oben nach Zertifikate (Certificates).
4. Finden Sie alle SSL-Zertifikate, die mit der eingegebenen Domain zusammenhängen. Achten Sie besonders auf den Aussteller (Issuer) wie ServBay User CA, MAMP Development CA, Laravel Herd CA oder ähnliche.
5. Markieren Sie alle Zertifikate der Problem-Domain (insbesondere solche, die nicht von ServBay User CA ausgestellt wurden oder verdächtig erscheinen), und löschen Sie sie per Druck auf Entf. Eventuell werden Sie nach Ihrem Systempasswort gefragt. Bitte löschen Sie nur Zertifikate, die tatsächlich mit Ihrer lokalen Entwicklungsdomain verbunden sind.
6. (Optional, aber empfohlen) Suchen Sie in der Schlüsselbundverwaltung erneut nach ServBay User CA und ServBay Public CA. Überprüfen Sie, ob die Zertifikate vorhanden sind und kein rotes „x“ zeigen (was auf einen Vertrauensfehler hindeutet). Falls sie als nicht vertrauenswürdig markiert sind, doppelklicken Sie auf das Zertifikat, öffnen Sie „Vertrauen (Trust)“ und wählen Sie „Immer vertrauen (Always Trust)“.
7. Gehen Sie zurück zur ServBay-App.
8. Navigieren Sie zu Einstellungen (Settings) -> ServBay Root CA.
9. Klicken Sie auf Alle ServBay User Zertifikate neu erstellen (Recreate All ServBay User Certificates). Dadurch werden für alle ServBay-Websites neue SSL-Zertifikate generiert.
10. Starten Sie Ihren Computer neu, um sicherzustellen, dass alle Dienste und Systemkomponenten die neuen Zertifikate und Trust-Einstellungen übernehmen.
11. Öffnen Sie Ihren Browser erneut und testen Sie den Zugriff auf Ihre Website.

Mit diesen typischen Fehlermeldungen können Sie als Nutzer schnell erkennen, ob Ihre Probleme am SSL-Zertifikats-Trust liegen und sofort die passende Lösung finden.

Was tun, wenn das SSL-Zertifikat verloren gegangen ist?

Beim Entwickeln mit ServBay kann es vorkommen, dass die SSL-Zertifikatsdateien Ihrer lokalen Webseite versehentlich gelöscht werden. Dies führt dazu, dass Ihr Webserver (wie Nginx, Caddy oder Apache) nicht mehr startet oder die Seite ordnungsgemäß lädt und in den Logs Zertifikats-Fehlermeldungen erscheinen.

Fehlerbeschreibung

Wenn die von ServBay automatisch ausgestellten SSL-Zertifikatsdateien (.crt und .key) fehlen, werden in den Error-Logs des Webservers oft Hinweise darauf ausgegeben, dass die Zertifikatsdateien nicht gefunden oder gelesen werden können.

Typische Fehlermeldungen sind z.B.:

Nginx-Fehler:

nginx: [emerg] cannot load certificate "/Applications/ServBay/ssl/private/tls-certs/servb3ay.host/servbay.host.crt": BIO_new_file() failed (SSL: error:80000002:system library::No such file or directory:calling fopen(/Applications/ServBay/ssl/private/tls-certs/servb3ay.host/servbay.host.crt, r) error:10000080:BIO routines::no such file)
nginx: configuration file /Applications/ServBay/package/etc/nginx/nginx.conf test failed

Caddy-Fehler:

Error: loading http app module: provision http: getting tls app: loading tls app module: provision tls: loading certificates: open /Applications/ServBay/ssl/private/tls-certs/servbay.host/ser3vbay.host.crt: no such file or directory

Apache-Fehler:

AH00526: Syntax error on line 15 of /Applications/ServBay/package/etc/apache/vhosts/servbay.host.conf:
SSLCertificateFile: file '/Applications/ServBay/ssl/pri3vate/tls-certs/servbay.host/servbay.host.crt' does not exist or is empty

Der Kern dieser Meldungen ist stets: Die im Webserver-Setup angegebene SSL-Zertifikatsdatei existiert nicht oder ist nicht verfügbar.

Lösung

Für SSL-Zertifikate, die von ServBay automatisch ausgestellt wurden, bietet ServBay automatische Mechanismen zur Erkennung und Neuerstellung verlorener Zertifikate.

Folgen Sie diesen Schritten:

1. Starten Sie die ServBay-App: Vergewissern Sie sich, dass ServBay läuft.
2. Navigieren Sie zur Webseiten-Liste: Klicken Sie in der linken Navigationsleiste auf Websites.
3. Wählen Sie die betroffene Website aus: Suchen Sie in der Liste die Domain, bei der das SSL-Zertifikat fehlt, und klicken Sie darauf.
4. Automatische Erkennung und Neuerstellung: Beim Laden der Website-Konfiguration prüft ServBay automatisch, ob das benötigte SSL-Zertifikat vorhanden ist. Fehlen .crt- oder .key-Dateien, stellt ServBay automatisch neue Zertifikate aus und legt sie am richtigen Pfad ab (/Applications/ServBay/ssl/private/tls-certs/Ihre-Domain/).
5. Webserver neu starten: Nach erfolgreicher Neuerstellung des Zertifikats müssen Sie Ihr Webserver-Paket (Nginx, Caddy oder Apache) neu starten, damit es die neuen Zertifikate lädt. Navigieren Sie dazu in der linken Sidebar zu Pakete und klicken Sie beim betreffenden Webserver-Paket auf den Neustart-Button (meist ein Symbol mit zwei Pfeilen).
6. Fehlerbehebung prüfen: Nach dem Neustart versuchen Sie, die lokale Website per HTTPS (z.B. https://Ihre-Domain) im Browser zu öffnen. Die Seite sollte wieder funktionieren und per HTTPS geladen werden.

Hinweise

• Diese Lösung gilt für SSL-Zertifikate, die von ServBay automatisch ausgestellt wurden. Importierte, eigene Zertifikate werden nicht automatisch regeneriert – diese müssen von Ihnen manuell wiederhergestellt oder neu eingebunden werden.
• ServBay nutzt intern die ServBay User CA zur Ausstellung von Zertifikaten für lokale Websites und ermöglicht so HTTPS im lokalen Entwicklungsumfeld. Wenn im Browser weiterhin Warnungen bezüglich fehlender SSL-Trust erscheinen, liegt das meistens an fehlender Betriebssystem- oder Browser-Vertrauensstellung der ServBay User CA. Bitte folgen Sie der ServBay-Dokumentation zur Trust-Konfiguration.
• ServBay bietet eine Backup-Funktion für Website-Konfigurationsdaten und SSL-Zertifikate. Ein regelmäßiges Backup erleichtert die Wiederherstellung bei Datenverlust.

Häufige Fragen (FAQ)

Q: Warum stellt ServBay automatisch SSL-Zertifikate für lokale Webseiten aus?

A: ServBay ist darauf ausgelegt, eine vollwertige Entwicklungsumgebung zu bieten. Um ein Produktionssystem zu simulieren und Entwicklern HTTPS-Debugging zu ermöglichen, erstellt ServBay Zertifikate für lokale Webseiten automatisch mit der ServBay User CA. So gelingt HTTPS-Testen direkt lokal.

Q: Kann ich eigene SSL-Zertifikate verwenden?

A: Ja, ServBay unterstützt den Import und die Nutzung eigener Zertifikate (auch von ACME / Let's Encrypt). Diese Anleitung bezieht sich ausschließlich auf von ServBay generierte Zertifikate.

Q: Ist das erneute Ausstellen der Zertifikate sicher?

A: Ja, für lokale Entwicklungszwecke werden die Zertifikate mit der ServBay User CA signiert und sind ausschließlich für Ihr lokales Testsystem bestimmt. Die Sicherheit Ihrer Öffentlichkeitssite im Internet wird dadurch nicht beeinflusst.

Zusammenfassung

ServBay bietet eine einfache Verwaltung von SSL-Zertifikaten für lokale Entwicklungsumgebungen. Gehen SSL-Zertifikate Ihrer lokalen Website verloren, kann ServBay in wenigen Schritten die Zertifikate automatisch erkennen und neu ausstellen, sodass das lokale HTTPS schnell wieder funktioniert.