3
Certify the web, pfx ohne password
Hallo zusammen.
In einer Firma läuft ein IIS als reverse proxy und verteilt ca 20 subdomains an diverse Webserver, Services etc.
Auf diesem IIS läuft certify the web und holt entsprechend die Zertifikate ab und verteilt sie. Entweder über einen central store als share, oder direkt in den Zertifikatsdienst der Domäne oder er schiebt es anderen Webservern unter (bzw. die holen es sich ab.)
In der Firma gibt es generell kein SSL offloading, alles wird verschlüsselt weitergeleitet.
Nun will ein Windows Server, der nicht in der Domäne hängt, sein Zertifikat als pfx haben bzw. es muss als solches im Windows Zertifikatsspeicher im Computerkonto unter "MY" gespeichert werden. Funktioniert prima wenn man es händisch über Doppelklick importiert. Problem: Das pfx hat ein leeres Passwort.
Wie kann man die Zertifikatserneuerung an diesem Server per commandline abhandeln?certultil etc. wollen offenbar immer ein gültiges password haben. Wer kennt die richtige Syntax für ein leeres password oder ein anderes tool was dafür geeignet wäre?
Vielen Dank,
MacLeod
In einer Firma läuft ein IIS als reverse proxy und verteilt ca 20 subdomains an diverse Webserver, Services etc.
Auf diesem IIS läuft certify the web und holt entsprechend die Zertifikate ab und verteilt sie. Entweder über einen central store als share, oder direkt in den Zertifikatsdienst der Domäne oder er schiebt es anderen Webservern unter (bzw. die holen es sich ab.)
In der Firma gibt es generell kein SSL offloading, alles wird verschlüsselt weitergeleitet.
Nun will ein Windows Server, der nicht in der Domäne hängt, sein Zertifikat als pfx haben bzw. es muss als solches im Windows Zertifikatsspeicher im Computerkonto unter "MY" gespeichert werden. Funktioniert prima wenn man es händisch über Doppelklick importiert. Problem: Das pfx hat ein leeres Passwort.
Wie kann man die Zertifikatserneuerung an diesem Server per commandline abhandeln?certultil etc. wollen offenbar immer ein gültiges password haben. Wer kennt die richtige Syntax für ein leeres password oder ein anderes tool was dafür geeignet wäre?
Vielen Dank,
MacLeod
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 4044735100
Url: https://administrator.de/contentid/4044735100
Printed on: April 19, 2024 at 21:04 o'clock
3 Comments
Latest comment
Das Problem ist, dass du die Passwortabfrage als Problem siehst. Das eigentliche Problem ist, dass du einem so kritischen Element wie der Übergabe des kompletten Zert-imports kein Passwort vergibst. Vergib der PFX ein Passwort!
Mit passwort verlagert sich das Problem nur. Ich muss ja am target per commandline in den tasks das passwort angeben. Macht die Geschichte also keinen Deut sicherer.
Gelöst durch stupides probieren.
CERTUTIL -f -p somePassword -importpfx "somePfx.pfx"
mit einem leeren Passwort:
CERTUTIL -f -p "" -importpfx "somePfx.pfx"
CERTUTIL -f -p somePassword -importpfx "somePfx.pfx"
mit einem leeren Passwort:
CERTUTIL -f -p "" -importpfx "somePfx.pfx"
1
