Frage zu SSL Certifikats Verlängerung oder Neubeauftragung

it-frosch
Goto Top
Guten Morgen,

wir haben einen Webserver dessen feste IP einen extern DNS Eintrag www.unser_techniker_webserver.de hat.
Darüber arbeiten unsere Techniker im Browser auf ihrem Smartphones.

Für diesen DNS Namen www.unser_techniker_webserver.de haben wir vor 3 Jahren ein SSL Zertifikat
bei einem unserer IT Teams beauftragt, die dafür zuständig sind.
Somit arbeiten die Techniker über https://www.unser_techniker_webserver.de auf ihren Smartphones.
Dieses Zertifikat läuft in zwei Monaten ab.

Das Zertifikat wurde ursprünglich von Entrust ausgestellt und wir haben neben dem Computer Certificate
auch zwei Trusted Root Certificates erhalten.

Ich habe jetzt auf dem Webserver über mmc - Certificates - Computer - This Computer im Kontextmenü des Zertifikats versucht,
mittels Request/Renew Certificate with New/Same Key mir ein CSR zu erstellen, den die Kollegen zum
Verlängern brauchen.
Allerdings bekomme ich immer die Meldung "The request doesn't contain template information".


Ich stehe irgendwie total im Wald.
Kann mich mal jemand an die Hand nehmen und mir den Weg ins Helle zeigen?

Das ist echt nicht mein Fachgebiet. ace-sad"

PS:
Für mich stellt sich die Frage, ist es sinnvoll ein komplett neues SSL Zertifikat zu beauftragen oder
kann ich es irgendwie verlängern lassen.
Wenn ich ein neues Zertifikat erstelle, welche Risiken habe ich dann?
Ersetzt es dann das alte Zertifikat oder gibt es für eine Übergangszeit zwei Zertifikate parallel?
Ich muss da Zertifikat auch noch auf alle Smartphones verteilen.

Update:
Nachdem ich Root und Intermediate Zertifikat zuerst und dann erst das Computer Zertifikat installiert habe,
ist die Issuer Meldung auch weg. OK. ein CSR lässt sich trotzdem nicht erzeugen.

Ich kontaktiere jetzt Entrust direkt.





Grüße vom it-frosch

Content-Key: 422601

Url: https://administrator.de/contentid/422601

Ausgedruckt am: 19.08.2022 um 04:08 Uhr

Mitglied: Jannis92
Lösung Jannis92 28.02.2019 aktualisiert um 22:09:16 Uhr
Goto Top
Moin it-frosch,
wenn ich dich richtig verstanden habe, möchtest du eigentlich "nur" eine verschlüsselte Verbindung für die Domain https://www.unser_techniker_webserver.de haben?

Dann müsstest du normalerweise lediglich ein CSR (Certificate Signing Request) erstellen und das bei eurem IT-Team für Zertifikate einreichen. Diese können mit diesem CSR dann das öffentliche Zertifikat anfragen.

Das Zertifikat besteht aus einem öffentlichen Schlüssel und einem privaten.
Der private Schlüssel wird beim Erstellen des CSR generiert und darf niemals einer nicht authorisierten Person zur Verfügung stellen.

Bedeutet, dass du auf deinem System das OpenSSL Tool installierst.
Gehe dann in den bin Ordner von OpenSSL. Dort findest du eine openssl.exe

heißt:
cmd öffnen.
cd %installdirVON-OpenSSL%\bin
openssl.exe

Füge nun die Commandline für das Erstellen des CSR ein.
Einen Generator kannst du hier finden: https://ssl-trust.com/csr-erstellen

sieht dann zum Beispiel so aus:
req -nodes -newkey rsa:4096 -sha256 -keyout 'www_meinedomain_de.key' -out 'www_meinedomain_de.csr' -subj '/CN=www.meinedomain.de/C=DE'

meinedomain muss dann natürlich durch die eigentliche Domain ersetzt werden.
Wichtig hierbei ist, dass wirklich die Domain eingegeben wird, die später auch aufgerufen wird.
Es reicht also nicht aus - meinedomain.de - einzutragen, wenn später aber www.meinedomain.de aufgerufen werden soll.

Anschließend findest du das CSR File sowie den privaten Schlüssel (*.key) im bin Ordner von openSSL.
Den private Key dann auf den Server kopieren und lokal löschen.

Das CSR File kannst du dann bei der IT einreichen oder wenn du darfst, direkt bei einer Instanz wie z.B. SSLtrust einreichen.
Anschließend wird dir der öffentliche schlüssel bereitgestellt.

Da es sich um einen Windows Server handelt, müsstest du dann vermutlich noch eine pfx Datei erstellen.
Diese beinhaltet den privaten und öffentlichen Schlüssel. Beides dann wie von dir bereits beschrieben in den Zertifikatsspeicher des Computers importieren (mmc starten -> Zertifkat Snap-In hinzufügen -> Lokales Computerkonto auswählen -> Eigene Zertifikate -> PFX/p12 Datei importieren).

Jetzt kannst du im IIS (verwendest du den als webserver?) das Zertifikat über die Bindung auswählen.

Sofern du auf bekannte Zertifizierunsstellen wie Global Sign oder ähnliches setzt sollte das importieren der Root bzw. Zwischenzertifizierungsstelle auf den Endgeräten nicht erforderlich sein.

Eine Anleitung wie man das CSR über den IIS generieren kann findest du sonst auch noch hier:
https://ssl-trust.com/csr-erstellen/iis-5-6

Vllt. nicht ganz aktuell :o

Wie du aus der CRT und dem KEY File eine PFX erstellen kannst wird hier beschrieben:
https://www.ssl.com/how-to/create-a-pfx-p12-certificate-file-using-opens ...

Hoffe das hilft dir weiter...
Mitglied: Dani
Lösung Dani 06.03.2019 aktualisiert um 09:08:44 Uhr
Goto Top
Moin,
Das Zertifikat wurde ursprünglich von Entrust ausgestellt und wir haben neben dem Computer Certificate auch zwei Trusted Root Certificates erhalten.
Zertifikat für den Webserver ist in Ordnung. Trusted sind die beiden andern Zertifikate erst einmal nicht, bis du diese entsprechend unter Windows eingespielt hast. Wenn du allerdings wirklich zwei Zertifikate von deren Zertifizierungssteller halten hast, würde ich mir Gedanken machen. Entweder ist organisatorisch etwas schief gelaufen oder Entrust wissen nicht was sie tun.

Wenn es keine bestimmte Anforderungen gibt, würde ich inzwischen auf Let's Encrypt zurückgreifen. Es gibt inzwischen etliche Windows Clients mit einer entsprechenden Oberfläche. Einfach installieren, konfigurieren und Zertifikat anfordern. Danach zurücklehnen und die Zeit in andere Dinge investieren.


Gruß,
Dani