Gekauftes Zertifikat einer offiziellen CA installieren

[BITBULL]

Liebe Gemeinde,
ich bin nun stolzer Besitzer eines „richtigen“ Zertifikates, ausgestellt von:
Authority Information Access:
CA Issuers - URI:http://crt.sectigo.com/SectigoRSADomain ... rverCA.crt
OCSP - URI:http://ocsp.sectigo.com
Dieses Zertifikat ist für Websites gedacht:
X509v3 Extended Key Usage:
TLS Web Server Authentication, TLS Web Client Authentication
Ich habe *kein* Passwort für das Zertifikat, ich will damit *kein* VPN betreiben (geht wahrscheinlich auch nicht) Ich will einfach nur, dass wenn ich mich über TLS (Https;//) mit dem Router verbinde keine Zertifikatswarnung erscheint sondern alles OK ist.
Ich habe *keine* PK12 Datei aber eine .cer (Für root) und eine .Pem (für Server) beide habe ich via Webfrontend hochgeladen, den Router neugestartet und immernoch weist der Router ein LANCOM Zertifikat aus, dem der Browser erstmal nicht vertraut.
Das Zertifikat ist auf die öffentliche IP des Routers und dessen DNS-Namen öffentlich auflösbar ausgestellt. Der Router ist ein 1800VAW das LCOS ist 10.80.450SU4.
Was mache ich falsch?

[rotwang]

Wenn Du die Komponenten einzeln, also nicht als PKCS#12 hochladen willst, dass musst Du auch den privaten Schlüssel als Einzeldatei hochladen. Im Geräte-Dateisystem ist ein solcher für HTTPS zwar im Default drin, das ist aber ein zufällig gewürfelter, der nicht zu Deinem hochgeladenen Server-Zertifikat passt.

In welcher der Dateien der private Schlüssel (mit) drin steht, kann ich von hier aus nicht sagen. Schau mal in die Datei mit dem Server-Zertifikat mit einem Editor rein, ob da ein Abschnitt "BEGIN PRIVATE KEY.." ist, und kopiere den dann in eine separate Datei heraus, die Du als privaten Schlüssel hochlädst.

[Dr.Einstein]

Wenn ich nicht gerade total aufm Schlauch stehe: Wie soll der HTTP-Server des Lancoms funktionieren, ohne das du ihm einen privaten Schlüssel gibst. Du hast jetzt den öffentlichen Schlüssel. Den nutzen die HTTP Clients zum Verschlüsseln. Der HTTP-Server (Lancom) kann dann die empfangen Pakete mittels seines privaten Schlüsseln entschlüsseln.

Schau dich nochmal auf der Webseite der CA um. Normalerweise generiert man lokal den private Key, und läd diesen hoch. Danach wird dir ein Komplettdownload angeboten als Container oder Einzeldateien.

[Hagen2000]

Such Dir im Internet das Programm xca.exe von Christian Hohnstädt, damit kannst Du ganz bequem die Dateien anschauen.
Wie rotwang schon schrieb, musst Du das SSL-Serverzertifikat und den zugehörigen privaten SSL-Schlüssel in den Router hochladen. Ein Root-Zertifikat musst Du nicht hochladen.
Edit: Und das was Dr.Einstein schrieb, gilt natürlich auch.

[Frühstücksdirektor]

Für die meisten Fälle reicht doch Let's Encrypt.
Ab LCOS 10.80 gibt es dazu den ACME-Client. Ein paar Klicks und schon rennt das Ding mit automatischer Erneuerung. Läuft super.
Natürlich muss ein DNS-Name (DynDNS etc.) auf die öffentliche IP-Adresse des LANCOMs zeigen und man muss statt der IP-Adresse den Router unter dem DNS-Namen ansprechen...