6
Öffentliches Zertifikat ohne CSR
Hallo zusammen,
ich habe in der Vergangenheit für sämtliche Systeme die in irgend einer Form veröffentlicht wurden mit CSRs gearbeitet.
Diese habe ich entweder wie bei Exchange direkt in der Applikation erstellt oder mit den Tomcat Tools auf Commandline den Keystore gebastet.
Die generierten CSRs habe ich bei Sectigo nach Auswahl des Zertifikattyps eingelesen und mein signiertes Zertifkat zurückerhalten welches ich dann problemlos installieren konnte.
Ich muss für eine Avaya IP Office jetzt ein öffentliches UC Zertifikat bereitstellen, der Session Border Controller wird ins Netz gestellt (NAT) und benötigt deswegen ein sauberes Zertifikat.
Ein Wildcard ist ausdrücklich nicht erlaubt, es muss ein eindeutiges Zertifikat mit Hostname und Domain sein (UC).
Meine Frage:
Wie bekomme ich ein CSR, es gibt hier keine Instruktionen wo und wie ein CSR generiert werden kann.
Ich denke z.B. an den Keystore Explorer?
Wir betreiben keine interne CA
Danke, Grüße
ich habe in der Vergangenheit für sämtliche Systeme die in irgend einer Form veröffentlicht wurden mit CSRs gearbeitet.
Diese habe ich entweder wie bei Exchange direkt in der Applikation erstellt oder mit den Tomcat Tools auf Commandline den Keystore gebastet.
Die generierten CSRs habe ich bei Sectigo nach Auswahl des Zertifikattyps eingelesen und mein signiertes Zertifkat zurückerhalten welches ich dann problemlos installieren konnte.
Ich muss für eine Avaya IP Office jetzt ein öffentliches UC Zertifikat bereitstellen, der Session Border Controller wird ins Netz gestellt (NAT) und benötigt deswegen ein sauberes Zertifikat.
Ein Wildcard ist ausdrücklich nicht erlaubt, es muss ein eindeutiges Zertifikat mit Hostname und Domain sein (UC).
Meine Frage:
Wie bekomme ich ein CSR, es gibt hier keine Instruktionen wo und wie ein CSR generiert werden kann.
Ich denke z.B. an den Keystore Explorer?
Wir betreiben keine interne CA
Danke, Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 661701
Url: https://administrator.de/contentid/661701
Printed on: May 6, 2024 at 18:05 o'clock
6 Comments
Latest comment
Einen CSR kannst du dir ganz problemlos mit OpenSSL erstellen, auch unter Windows.
https://ssl-trust.com/csr-erstellen/openssl
Wichtig: Pass auf den privaten Schlüssel auf, den du auch mit OpenSSL generierst, der wird von der IPO dann auch benötigt und wenn den jemand in die Finger bekommt, kannst du direkt das Zertifikat zurückziehen lassen.
https://ssl-trust.com/csr-erstellen/openssl
Wichtig: Pass auf den privaten Schlüssel auf, den du auch mit OpenSSL generierst, der wird von der IPO dann auch benötigt und wenn den jemand in die Finger bekommt, kannst du direkt das Zertifikat zurückziehen lassen.
Hallo tikayevent,
vielen Dank das hört sich ja einfach an, ist in einem CSR kein "Fingerprint" vom Hostsystem oder ähnliches?
Könnte man z.B. ein Exchange CSR auf einer fremden Maschine erstellen?
Danke
LG
vielen Dank das hört sich ja einfach an, ist in einem CSR kein "Fingerprint" vom Hostsystem oder ähnliches?
Könnte man z.B. ein Exchange CSR auf einer fremden Maschine erstellen?
Danke
LG
Nein, da ist keine Hostbindung vorhanden, und ja, einen Exchange CSR kann man auch so anlegen.
Wir haben früher z.B. Wildcard-Zertifikate bestellt und auf zehn verschiedenen Systemen so eingesetzt, also einmal einen privaten Schlüssel sowie einen CSR angelegt und dann von der CA beglaubigen lassen. Anschließend händisch verteilen, fertig.
Arbeite aber aktuell an der Automatisierung mit LetsEncrypt.
Wir haben früher z.B. Wildcard-Zertifikate bestellt und auf zehn verschiedenen Systemen so eingesetzt, also einmal einen privaten Schlüssel sowie einen CSR angelegt und dann von der CA beglaubigen lassen. Anschließend händisch verteilen, fertig.
Arbeite aber aktuell an der Automatisierung mit LetsEncrypt.
Hallo,
ich nutze auch openssl (unter Linux) um mir die CSR und den privaten Schlüssel zu erstellen.
Für Windows kann openssl, mit dem Zertifikat, daraus dann auch eine pfx erstellen.
Hier kannst Du Dir anschauen was in Deinem CSR enthalten ist.
https://ssl-trust.com/SSL-Zertifikate/csr-decoder
Da sind nur die Felder enthalten welche Du eingegeben hast.
Der Name und Typ des PCs aber nicht.
Stefan
ich nutze auch openssl (unter Linux) um mir die CSR und den privaten Schlüssel zu erstellen.
openssl req -nodes -newkey rsa:2048 -sha256 -keyout firma_de.key -out firma_de.csr -subj '/CN=firma.de/C=DE' Für Windows kann openssl, mit dem Zertifikat, daraus dann auch eine pfx erstellen.
openssl pkcs12 -export -out firma_de.pfx -inkey firma_de.key -in firma_de.crt -certfile CACert.crtHier kannst Du Dir anschauen was in Deinem CSR enthalten ist.
https://ssl-trust.com/SSL-Zertifikate/csr-decoder
Da sind nur die Felder enthalten welche Du eingegeben hast.
Der Name und Typ des PCs aber nicht.
Stefan
Hallo,
im Zweifelsfall liest Du dir mal durch, wie Du die CSR recoverst oder auf einen anderen Host migrierst.
Dann weißt Du ja, was im ungünstigsten Fall auf dich zukommt falls es mal ernst wird.
Gruß,
Jörg
im Zweifelsfall liest Du dir mal durch, wie Du die CSR recoverst oder auf einen anderen Host migrierst.
Dann weißt Du ja, was im ungünstigsten Fall auf dich zukommt falls es mal ernst wird.
Gruß,
Jörg
Vielen lieben Dank an alle, hat wunderbar funktioniert.
Hab mir openssl auf einem Windows installiert, die config datei erstellt und das CSR gem. Vorgaben
sha2, 2048bit etc erfolgreich erstellt.
LG
Hab mir openssl auf einem Windows installiert, die config datei erstellt und das CSR gem. Vorgaben
sha2, 2048bit etc erfolgreich erstellt.
LG
