michael-24
Goto Top

Vorhandenes Server Zertifikat für Apache

Hallo zusammen,

ich habe eine Frage zu den Zertifikaten. Es läuft auf einem Windows Server 2016 Essentials u. a. ein Apache für Eset Protect.

Nun möchte ich für den Apache Webserver ein vorhandenes Zertifikat des Server verwenden, damit diese Zertifikatsfehlermeldung aufhören.

1

Leider kann ich das Zertifikat samt privaten Schlüssel nicht exportieren und damit den Apache versorgen.

Jetzt war mein Gedanke, ich erstelle über Windows PKI ein neues Domänenzertifikat für den Server, als Vorlage Webserver. In der Vorlage wähle ich aus, das ich den privaten Schlüssel exportieren will.

Somit könnte ich das neue Domänenzertifikat exportieren und dann in der Konfig von Apache das exportiere Zertifikat angeben. Apache und Windows PKI läuft ja auf dem selben Server.

Ich finde dazu allerdings nicht wirklich eine Anleitung.

Kann mich da jemand von euch ein paar Tipps geben?

Content-ID: 4470103599

Url: https://administrator.de/forum/vorhandenes-server-zertifikat-fuer-apache-4470103599.html

Ausgedruckt am: 22.12.2024 um 14:12 Uhr

Looser27
Looser27 31.10.2022 um 20:48:18 Uhr
Goto Top
Hi,

Ist zwar für nen anderen Webserver aber das Procedere ist vergleichbar.

Unifi mit SSL-Zertifikat aus interner CA

Gruß Looser
Michael-24
Michael-24 01.11.2022 um 09:35:08 Uhr
Goto Top
Danke für den Link. Ein neues Zertifikat für die Apache Webdienst zu erstellen wäre dann Plan B. Allerdings möchte ich mein vorhandenes Zertifikat für den Windows Server 2016 Essentials dafür benutzen bzw. ein neues Erstellen über den IIS. Aber das klappt einfach nicht.

1

Leider kann ich aber das SVR03 Zertifikat nicht mit dem Privaten Schlüssel exportieren, da dies vermutlich in der Vorlage "Windows Server Solutions Computer Certificate Template" nicht angehakt war.

Wenn ich jetzt ein neues Domänenzertifkat erstelle, werde ich nicht gefragt, welches Template verwendet werden soll. Das erstellte Zertifikat wird auf Basis des Templates "Webserver" erstellt.

1

1

Auch ist der beabsichtige Zweck "nur" Serverauthentifizierung. Keine Ahnung ob hier auch Clientauthentifizierung mit dabei sein sollte. Aber das ist im Template "Webserver" hinterlegt.

Binde ich nun das erstellte Zertifkat testweise an die "Default Web Site" meldet der Browser einen Zertifikatfehler.

Vermutlich ist das Template "Webserver" nur mit Serverauthentifizierung nicht richtig.

Wie bringe ich dem IIS bei, das er ein Domänenzertifikat auf Basis des Templates "Windows Server Solutions Computer Certifcate" erstellt. Ich gehe davon aus, das dieses dann funktionieren würde, da das bereits vorhandene ja auch funktioniert an der Default Web Site.

Gruß
Michael
Looser27
Looser27 01.11.2022 um 09:51:56 Uhr
Goto Top
Moin,

Du musst eine entsprechende Vorlage erstellen, in der Du den Common Name abfragst und den privaten Schlüssel exportieren machst. Anschließend kannst Du ein neues Zertifikat bei der CA anfragen und dieses in den Apache importieren.

Gruß Looser
Michael-24
Michael-24 01.11.2022 aktualisiert um 10:05:17 Uhr
Goto Top
Jetzt bin ich einen "kleinen" Schritt weiter.

Bin nochmal diese Anleitung durchgegangen zur Erstellung eines neuen Domänenzertifikats.
Domänenzertifikat erstellen

1

1

Binde ich nun dieses neue Zertifkat wiederum testweise an die "Default Web Site" kommt keine Zertifkatswarnung im InternetExplorer. Im Browser Firefox jedoch schon noch.

1

1

1

Also wird es doch an dem Template "Webserver" liegen, da das erstelle Domänenzertifikat auf Basis "Windows Server Solutions Computer Certifcate" in beiden Browsern funktioniert.

Im Firefox ist eingestellt, das er auch den Zertifikatenstellen im Windows Zertifikatsspeicher vertrauen soll.
1

Es kann sich also nur noch um eine Kleinigkeiten handeln, bis ich am "Ziel" bin face-smile
Michael-24
Michael-24 01.11.2022 um 10:01:54 Uhr
Goto Top
Zitat von @Looser27:

Moin,

Du musst eine entsprechende Vorlage erstellen, in der Du den Common Name abfragst und den privaten Schlüssel exportieren machst. Anschließend kannst Du ein neues Zertifikat bei der CA anfragen und dieses in den Apache importieren.

Gruß Looser

Die Vorlage würde es ja schon geben, die ich verwende möchte für das Domänenzertifikat.

1

Aber der IIS Assistent für das Erstellen eines Domänenzertifikat verwendet ja immer automatisch das Template "Webserver".
Looser27
Looser27 02.11.2022 um 12:49:04 Uhr
Goto Top
Moin,

das Problem mit den fertigen Vorlagen ist aber, dass Du den PrivateKey nicht exportieren kannst und der SAN nicht separat mitgegeben werden kann.

Gruß

Looser