PKI - Automatisierung Ausstellung von Zertifikaten
Hallo zusammen,
wir betreiben eine PKI und benötigen für viele Linux Maschinen Zertifikate. Somit müssten manuell (OpenSSL, CertSRV, ...) Zertifikate einzeln ausgestellt werden.
Das ist sehr mühsam und zeitaufwändig. Gibt es eine Möglichkeit dieses automatisiert durchzuführen? Sprich von einem dritten (Windows intregierten) Client mittels z.B. CSV Zertifikate ausstelen und diese als .pfx zu erhalten?
Vielen Dank und beste Grüße
wir betreiben eine PKI und benötigen für viele Linux Maschinen Zertifikate. Somit müssten manuell (OpenSSL, CertSRV, ...) Zertifikate einzeln ausgestellt werden.
Das ist sehr mühsam und zeitaufwändig. Gibt es eine Möglichkeit dieses automatisiert durchzuführen? Sprich von einem dritten (Windows intregierten) Client mittels z.B. CSV Zertifikate ausstelen und diese als .pfx zu erhalten?
Vielen Dank und beste Grüße
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 325245
Url: https://administrator.de/forum/pki-automatisierung-ausstellung-von-zertifikaten-325245.html
Ausgedruckt am: 22.12.2024 um 22:12 Uhr
13 Kommentare
Neuester Kommentar
Jepp , Get-Certificate in der Powershell oder certreq in der CMD sind deine Freunde.
Gruß mik
Gruß mik
Gut.
In diesem Skript von Frank siehst du wie das geht:
https://www.frankysweb.de/exchange-2013-assistent-fuer-zertifikate/
Für eine Schleife über eine CSV importierst du deine CSV ebenfalls mit einem Oneliner in deine Powershell
Und machst dann mit eine Foreach-Schleife deine Zertifikatsanforderungen. Fertig ist die Laube.
Allerdings ist bei mir eher die Frage, ob es überhaupt möglich ist, dass ich von einem beliebigen Windowsrechner ein Zertifikat anfordere,
Ja, kein Problem, du musst dem User in deiner CA nur das Recht erteilen für das entsprechende Template Zertifikate auszustellen (ACL im TEMPLATE), dann kannst du von jeder Station dein Zertifikat mit dem User ausstellen lassen.dieses dann mit dem Private Key als .PFX packe. Und das dann am besten noch mit einer CSV Datei die mit x Namen betankt ist.
Auch kein Problem. Mit Get-Certificate packt er das Zertifikat zwar erst in den Windows-Store, aber dort kannst du es problemlos als PFX exportieren (ebenfalls direkt mit PS) und anschließend löschen.In diesem Skript von Frank siehst du wie das geht:
https://www.frankysweb.de/exchange-2013-assistent-fuer-zertifikate/
Für eine Schleife über eine CSV importierst du deine CSV ebenfalls mit einem Oneliner in deine Powershell
$csv = Import-CSV 'c:\Pfad\datei.csv' -Delimiter ";"
Immer gerne
-SubjectName test222
Öhm, du weist anscheinend nicht das das Subject anders formatiert sein muss ... Bei einem x509 Subject muss immer der konkrete Feldname vorangestellt werden z.B. für den Common Name CN=BLABLADeswegen auch die Fehlermeldung:
The string contains an invalid X500 name attribute key
Certificate Attributes
Beispiel
CN=*.domain.com, OU=Marketing, O=FirmaXYZ, L=KÖLN, S=NRW, C=DE
Zitat von @makaroni:
Gibt es eine Möglichkeit, den Friendlyname beim Zertifikatsantrag noch mit einzufügen?
Get-Certificate scheint dieses nicht zu können.
Wozu brauchst du den? Den kannst du in der Certificate-MMC doch leicht anpassen.Gibt es eine Möglichkeit, den Friendlyname beim Zertifikatsantrag noch mit einzufügen?
Get-Certificate scheint dieses nicht zu können.
Kannst du aber auch leicht über die Powershell nachträglich machen denn die Zertifikate kann man wie Dateien in der Powershell über das PS-Drive cert:\ ansprechen:
(get-item cert:\localmachine\my\048740C6CDDE4F4524C63264688FF297C4A3C00D).FriendlyName = "Mein tolles Zertifikat"
Bedenke das der FriendlyName nur auf dem jeweiligen System erhalten bleibt auf dem du diesen änderst. Dieser ist kein Bestandteil des Zertifikats an sich.
Zitat von @makaroni:
Jaein, ich kann den auf jedem System neu anpassen. Exportiere ich dann aber das Zertifikat,
Jepp, im Export-Fall ja wenn es sich um eine PFX handelt, packt MS da eigene Felder mit rein.Jaein, ich kann den auf jedem System neu anpassen. Exportiere ich dann aber das Zertifikat,