Zertifikat und Private Key passen nicht zusammen, wenn der Public Key im Zertifikat nicht aus demselben Schlüsselpaar stammt wie der vorliegende Private Key. Mathematisch gehören die beiden dann zu unterschiedlichen Schlüsselpaaren — der Webserver lehnt das TLS-Handshake mit einer Fehlermeldung ab.
Bei der Erstellung eines Zertifikats erzeugen Sie zuerst lokal ein Schlüsselpaar. Aus dem Private Key wird ein Certificate Signing Request (CSR) abgeleitet, der den Public Key enthält. Die Zertifizierungsstelle signiert genau diesen Public Key — und nur der zugehörige Private Key kann das resultierende Zertifikat anschließend nutzen.
Häufige Ursachen, geordnet nach Auftretenswahrscheinlichkeit:
| Ursache | Wie sie entsteht | Lösung |
|---|---|---|
| Neuer CSR vor Verlängerung erstellt, alter Private Key noch im Einsatz | Bei der Verlängerung wurde ein neuer CSR mit neuem Schlüsselpaar generiert, auf dem Server liegt aber weiterhin der alte Key | Den zum aktuellen CSR gehörenden Private Key suchen oder Re-Issue mit neuem CSR aus dem alten Key |
| CSR auf Rechner A erstellt, Zertifikat auf Server B installiert | Der Private Key liegt nur auf dem Rechner, auf dem der CSR erzeugt wurde | Private Key vom ursprünglichen Rechner sicher auf den Zielserver übertragen |
| Mehrere Schlüsselpaare angelegt, falsches verwendet | Bei Tests oder mehreren Domains wurden mehrere Keys erzeugt und vertauscht | Über den Modulus-Vergleich (siehe unten) den korrekten Key identifizieren |
| Re-Issue bei der CA mit neuem CSR | Im Kundenbereich wurde ein Re-Issue ausgelöst, der einen neuen CSR verlangte | Neuen Private Key zum neuen CSR verwenden, alten verwerfen |
| Beschädigte oder abgeschnittene Schlüsseldatei | Beim Kopieren ging ein Teil verloren, Zeilenumbrüche stimmen nicht | Private Key neu aus dem Backup einspielen, Datei mit openssl rsa -check prüfen |
So prüfen Sie schnell, ob beide zusammengehören — verglichen wird der Modulus (bei RSA) bzw. der Public Key (bei ECC):
openssl x509 -noout -modulus -in zertifikat.crt | openssl md5
openssl rsa -noout -modulus -in privatekey.key | openssl md5
openssl req -noout -modulus -in csr.csr | openssl md5
Stimmen die drei MD5-Hashes überein, gehören Zertifikat, Private Key und CSR zum selben Schlüsselpaar. Weicht einer ab, liegt dort der Fehler. Wer keine Kommandozeile zur Hand hat, kann den CSR-Inhalt alternativ über unseren CSR-Check auslesen und den enthaltenen Public Key gegen das Zertifikat abgleichen.
Bei ECC-Schlüsseln liefert openssl rsa -modulus keinen Wert. Stattdessen vergleichen Sie den Public Key direkt:
openssl x509 -noout -pubkey -in zertifikat.crt
openssl pkey -pubout -in privatekey.key
Die Ausgaben müssen Zeile für Zeile identisch sein.
Was Sie tun können, wenn der passende Private Key nicht mehr auffindbar ist:
.pfx exportieren — sofern er als exportierbar markiert wurde.Vorbeugen lässt sich das Problem mit einem klaren Prozess: Private Key, CSR und Zertifikat immer am selben Ort und gemeinsam sichern, jede Bestellung mit einem aussagekräftigen Dateinamen versehen (Domain + Datum) und ein Schlüsselpaar nicht für mehrere Bestellungen wiederverwenden, wenn die alte Bestellung noch produktiv ist.