2
Frage zu SSL Certifikats Verlängerung oder Neubeauftragung
Guten Morgen,
wir haben einen Webserver dessen feste IP einen extern DNS Eintrag www.unser_techniker_webserver.de hat.
Darüber arbeiten unsere Techniker im Browser auf ihrem Smartphones.
Für diesen DNS Namen www.unser_techniker_webserver.de haben wir vor 3 Jahren ein SSL Zertifikat
bei einem unserer IT Teams beauftragt, die dafür zuständig sind.
Somit arbeiten die Techniker über https://www.unser_techniker_webserver.de auf ihren Smartphones.
Dieses Zertifikat läuft in zwei Monaten ab.
Das Zertifikat wurde ursprünglich von Entrust ausgestellt und wir haben neben dem Computer Certificate
auch zwei Trusted Root Certificates erhalten.
Ich habe jetzt auf dem Webserver über mmc - Certificates - Computer - This Computer im Kontextmenü des Zertifikats versucht,
mittels Request/Renew Certificate with New/Same Key mir ein CSR zu erstellen, den die Kollegen zum
Verlängern brauchen.
Allerdings bekomme ich immer die Meldung "The request doesn't contain template information".
Ich stehe irgendwie total im Wald.
Kann mich mal jemand an die Hand nehmen und mir den Weg ins Helle zeigen?
Das ist echt nicht mein Fachgebiet.
PS:
Für mich stellt sich die Frage, ist es sinnvoll ein komplett neues SSL Zertifikat zu beauftragen oder
kann ich es irgendwie verlängern lassen.
Wenn ich ein neues Zertifikat erstelle, welche Risiken habe ich dann?
Ersetzt es dann das alte Zertifikat oder gibt es für eine Übergangszeit zwei Zertifikate parallel?
Ich muss da Zertifikat auch noch auf alle Smartphones verteilen.
Update:
Nachdem ich Root und Intermediate Zertifikat zuerst und dann erst das Computer Zertifikat installiert habe,
ist die Issuer Meldung auch weg. OK. ein CSR lässt sich trotzdem nicht erzeugen.
Ich kontaktiere jetzt Entrust direkt.
Grüße vom it-frosch
wir haben einen Webserver dessen feste IP einen extern DNS Eintrag www.unser_techniker_webserver.de hat.
Darüber arbeiten unsere Techniker im Browser auf ihrem Smartphones.
Für diesen DNS Namen www.unser_techniker_webserver.de haben wir vor 3 Jahren ein SSL Zertifikat
bei einem unserer IT Teams beauftragt, die dafür zuständig sind.
Somit arbeiten die Techniker über https://www.unser_techniker_webserver.de auf ihren Smartphones.
Dieses Zertifikat läuft in zwei Monaten ab.
Das Zertifikat wurde ursprünglich von Entrust ausgestellt und wir haben neben dem Computer Certificate
auch zwei Trusted Root Certificates erhalten.
Ich habe jetzt auf dem Webserver über mmc - Certificates - Computer - This Computer im Kontextmenü des Zertifikats versucht,
mittels Request/Renew Certificate with New/Same Key mir ein CSR zu erstellen, den die Kollegen zum
Verlängern brauchen.
Allerdings bekomme ich immer die Meldung "The request doesn't contain template information".
Ich stehe irgendwie total im Wald.
Kann mich mal jemand an die Hand nehmen und mir den Weg ins Helle zeigen?
Das ist echt nicht mein Fachgebiet.
PS:
Für mich stellt sich die Frage, ist es sinnvoll ein komplett neues SSL Zertifikat zu beauftragen oder
kann ich es irgendwie verlängern lassen.
Wenn ich ein neues Zertifikat erstelle, welche Risiken habe ich dann?
Ersetzt es dann das alte Zertifikat oder gibt es für eine Übergangszeit zwei Zertifikate parallel?
Ich muss da Zertifikat auch noch auf alle Smartphones verteilen.
Update:
Nachdem ich Root und Intermediate Zertifikat zuerst und dann erst das Computer Zertifikat installiert habe,
ist die Issuer Meldung auch weg. OK. ein CSR lässt sich trotzdem nicht erzeugen.
Ich kontaktiere jetzt Entrust direkt.
Grüße vom it-frosch
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 422601
Url: https://administrator.de/contentid/422601
Printed on: April 25, 2024 at 16:04 o'clock
2 Comments
Latest comment
Moin it-frosch,
wenn ich dich richtig verstanden habe, möchtest du eigentlich "nur" eine verschlüsselte Verbindung für die Domain https://www.unser_techniker_webserver.de haben?
Dann müsstest du normalerweise lediglich ein CSR (Certificate Signing Request) erstellen und das bei eurem IT-Team für Zertifikate einreichen. Diese können mit diesem CSR dann das öffentliche Zertifikat anfragen.
Das Zertifikat besteht aus einem öffentlichen Schlüssel und einem privaten.
Der private Schlüssel wird beim Erstellen des CSR generiert und darf niemals einer nicht authorisierten Person zur Verfügung stellen.
Bedeutet, dass du auf deinem System das OpenSSL Tool installierst.
Gehe dann in den bin Ordner von OpenSSL. Dort findest du eine openssl.exe
heißt:
cmd öffnen.
cd %installdirVON-OpenSSL%\bin
openssl.exe
Füge nun die Commandline für das Erstellen des CSR ein.
Einen Generator kannst du hier finden: https://ssl-trust.com/csr-erstellen
sieht dann zum Beispiel so aus:
req -nodes -newkey rsa:4096 -sha256 -keyout 'www_meinedomain_de.key' -out 'www_meinedomain_de.csr' -subj '/CN=www.meinedomain.de/C=DE'
meinedomain muss dann natürlich durch die eigentliche Domain ersetzt werden.
Wichtig hierbei ist, dass wirklich die Domain eingegeben wird, die später auch aufgerufen wird.
Es reicht also nicht aus - meinedomain.de - einzutragen, wenn später aber www.meinedomain.de aufgerufen werden soll.
Anschließend findest du das CSR File sowie den privaten Schlüssel (*.key) im bin Ordner von openSSL.
Den private Key dann auf den Server kopieren und lokal löschen.
Das CSR File kannst du dann bei der IT einreichen oder wenn du darfst, direkt bei einer Instanz wie z.B. SSLtrust einreichen.
Anschließend wird dir der öffentliche schlüssel bereitgestellt.
Da es sich um einen Windows Server handelt, müsstest du dann vermutlich noch eine pfx Datei erstellen.
Diese beinhaltet den privaten und öffentlichen Schlüssel. Beides dann wie von dir bereits beschrieben in den Zertifikatsspeicher des Computers importieren (mmc starten -> Zertifkat Snap-In hinzufügen -> Lokales Computerkonto auswählen -> Eigene Zertifikate -> PFX/p12 Datei importieren).
Jetzt kannst du im IIS (verwendest du den als webserver?) das Zertifikat über die Bindung auswählen.
Sofern du auf bekannte Zertifizierunsstellen wie Global Sign oder ähnliches setzt sollte das importieren der Root bzw. Zwischenzertifizierungsstelle auf den Endgeräten nicht erforderlich sein.
Eine Anleitung wie man das CSR über den IIS generieren kann findest du sonst auch noch hier:
https://ssl-trust.com/csr-erstellen/iis-5-6
Vllt. nicht ganz aktuell :o
Wie du aus der CRT und dem KEY File eine PFX erstellen kannst wird hier beschrieben:
https://www.ssl.com/how-to/create-a-pfx-p12-certificate-file-using-opens ...
Hoffe das hilft dir weiter...
wenn ich dich richtig verstanden habe, möchtest du eigentlich "nur" eine verschlüsselte Verbindung für die Domain https://www.unser_techniker_webserver.de haben?
Dann müsstest du normalerweise lediglich ein CSR (Certificate Signing Request) erstellen und das bei eurem IT-Team für Zertifikate einreichen. Diese können mit diesem CSR dann das öffentliche Zertifikat anfragen.
Das Zertifikat besteht aus einem öffentlichen Schlüssel und einem privaten.
Der private Schlüssel wird beim Erstellen des CSR generiert und darf niemals einer nicht authorisierten Person zur Verfügung stellen.
Bedeutet, dass du auf deinem System das OpenSSL Tool installierst.
Gehe dann in den bin Ordner von OpenSSL. Dort findest du eine openssl.exe
heißt:
cmd öffnen.
cd %installdirVON-OpenSSL%\bin
openssl.exe
Füge nun die Commandline für das Erstellen des CSR ein.
Einen Generator kannst du hier finden: https://ssl-trust.com/csr-erstellen
sieht dann zum Beispiel so aus:
req -nodes -newkey rsa:4096 -sha256 -keyout 'www_meinedomain_de.key' -out 'www_meinedomain_de.csr' -subj '/CN=www.meinedomain.de/C=DE'
meinedomain muss dann natürlich durch die eigentliche Domain ersetzt werden.
Wichtig hierbei ist, dass wirklich die Domain eingegeben wird, die später auch aufgerufen wird.
Es reicht also nicht aus - meinedomain.de - einzutragen, wenn später aber www.meinedomain.de aufgerufen werden soll.
Anschließend findest du das CSR File sowie den privaten Schlüssel (*.key) im bin Ordner von openSSL.
Den private Key dann auf den Server kopieren und lokal löschen.
Das CSR File kannst du dann bei der IT einreichen oder wenn du darfst, direkt bei einer Instanz wie z.B. SSLtrust einreichen.
Anschließend wird dir der öffentliche schlüssel bereitgestellt.
Da es sich um einen Windows Server handelt, müsstest du dann vermutlich noch eine pfx Datei erstellen.
Diese beinhaltet den privaten und öffentlichen Schlüssel. Beides dann wie von dir bereits beschrieben in den Zertifikatsspeicher des Computers importieren (mmc starten -> Zertifkat Snap-In hinzufügen -> Lokales Computerkonto auswählen -> Eigene Zertifikate -> PFX/p12 Datei importieren).
Jetzt kannst du im IIS (verwendest du den als webserver?) das Zertifikat über die Bindung auswählen.
Sofern du auf bekannte Zertifizierunsstellen wie Global Sign oder ähnliches setzt sollte das importieren der Root bzw. Zwischenzertifizierungsstelle auf den Endgeräten nicht erforderlich sein.
Eine Anleitung wie man das CSR über den IIS generieren kann findest du sonst auch noch hier:
https://ssl-trust.com/csr-erstellen/iis-5-6
Vllt. nicht ganz aktuell :o
Wie du aus der CRT und dem KEY File eine PFX erstellen kannst wird hier beschrieben:
https://www.ssl.com/how-to/create-a-pfx-p12-certificate-file-using-opens ...
Hoffe das hilft dir weiter...
Moin,
Wenn es keine bestimmte Anforderungen gibt, würde ich inzwischen auf Let's Encrypt zurückgreifen. Es gibt inzwischen etliche Windows Clients mit einer entsprechenden Oberfläche. Einfach installieren, konfigurieren und Zertifikat anfordern. Danach zurücklehnen und die Zeit in andere Dinge investieren.
Gruß,
Dani
Das Zertifikat wurde ursprünglich von Entrust ausgestellt und wir haben neben dem Computer Certificate auch zwei Trusted Root Certificates erhalten.
Zertifikat für den Webserver ist in Ordnung. Trusted sind die beiden andern Zertifikate erst einmal nicht, bis du diese entsprechend unter Windows eingespielt hast. Wenn du allerdings wirklich zwei Zertifikate von deren Zertifizierungssteller halten hast, würde ich mir Gedanken machen. Entweder ist organisatorisch etwas schief gelaufen oder Entrust wissen nicht was sie tun.Wenn es keine bestimmte Anforderungen gibt, würde ich inzwischen auf Let's Encrypt zurückgreifen. Es gibt inzwischen etliche Windows Clients mit einer entsprechenden Oberfläche. Einfach installieren, konfigurieren und Zertifikat anfordern. Danach zurücklehnen und die Zeit in andere Dinge investieren.
Gruß,
Dani
