angosch
Goto Top

SSL selbst erstellen

Hallo,
Ich versuche seit 2 Tagen eine SSL Verschlüsselung selbst zu erstellen ( eigenes cert), und stoße dabei immer auf den Fehler
( Zertifikatanforderungsverarbeitung: Falscher Parameter. 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER) ))
von der seite: https://www.sslplus.de/wiki/CSR-Erstellung_MS_Windows_(mit_certreq)

Grüße Angosch

Content-Key: 321157

Url: https://administrator.de/contentid/321157

Ausgedruckt am: 19.03.2024 um 07:03 Uhr

Mitglied: 131381
Lösung 131381 16.11.2016 aktualisiert um 11:07:14 Uhr
Goto Top
Es ist nicht dein Fehler sondern deine gepostete Anleitung hat massive Fehler!
Z.B. Das Zeichen hier am Ende muss ein Dollarzeichen sein
Signature="$Windows NT§"  
Und in dieser Zeile
[New Request]
müssen die Wörter zusammen ohne Leerzeichen geschrieben werden.

Da bin ich am Anfang auch mal drüber gestolpert. Muss dem Autor mal bescheid geben.

Gruß
Mitglied: Angosch
Angosch 17.11.2016 um 09:56:00 Uhr
Goto Top
Danke für die Hilfe hat mit der Anleitung nicht geklappt, ist nach Fehlerbeseitigung hängengeblieben in der Aufforderung habe es letztendlich mit OpenSSL glöst
Mitglied: colinardo
colinardo 19.11.2016 aktualisiert um 15:54:11 Uhr
Goto Top
Hallo Angosch,
das funktioniert im allgemeinen eigentlich problemlos. Hier ein Beispiel solche einer CSR Anforderung über certreq.exe
[Version]
Signature="$Windows NT$"  

[NewRequest]
Subject = "CN=demo.local,O=Your company,OU=IT,ST=MyStreet,L=MyCity,C=DE"  
KeyLength =  2048
KeySpec = 1
KeyUsage = 0xA0
MachineKeySet = True
Exportable = True
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"  
ProviderType = 12
HashAlgorithm = SHA256
MachineKeySet = True
SMIME = False
UseExistingKeySet = False
RequestType = PKCS10
FriendlyName = "My Demo Cert"  

[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1
Als *.inf speichern und dann per
certreq -new "C:\Pfad\request.inf" "C:\Pfad\request.csr"
Den CSR erstellen. Mit diesem CSR kannst du dann bei der CA deiner Wahl ein Zertifikat anfordern.

Der private Key des CSR wird im temporär im Zertifikate-Store von Windows abgelegt und zwar an dieser Stelle:

screenshot

Dort verbleibt er solange bis du das beantragte Zertifikat in dein Windows importierst. Dann bilden private Key und Zertifikat eine Einheit im Zertifikate-Store und der Eintrag im Bild oben verschwindet und wird zum effektiven Zertifikat im personal/machine Store.

Wenn man seine eigene CA betreibt lässt sich dann mit dem CSR gleich ein Zertifikat bei dieser anfordern sofern einem die entsprechenden Rechte für das Zertifikats-Template zugewiesen wurden:
certreq -attrib "CertificateTemplate:Webserver" -submit request.csr
Es poppt dann ein Fenster auf in dem man die Unternehmens CA wählt. Anschließend wird das Zertifikat gleich installiert sofern die automatische Registrierung für das Template aktiviert wurde.

Das selbe lässt sich natürlich auch über die Powershell machen, das passende CMDLet nennt sich
Get-Certificate

Ich kann dir auch ein kostenloses OpenSource-Tool namens XCA empfehlen mit dem du alle möglichen Dinge rund um Zertifikate mit einem portablen Tool durchführen kannst. Das ist ganz praktisch wenn man noch nicht mit allen Befehlen von OpenSSL vertraut ist.

Grüße Uwe