kodach
Goto Top

Windows Server CA - Zertifikat mit CSR erstellen

Hallo

Irgendwie scheinen meine Gehversuche mit dem CA noch nicht in allen Belangen so zu laufen wie ich dies gerne hätte face-smile

Da nun alles wie gewünscht läuft dachte ich ich versuche ein bestehendes Linux Gerät mit einem Zertifikat aus der CA zu versehen. Die exportierten Zertifikate isnd jedoch verschlüsselt was mit dem Synology nicht funktioniert. Bevor ich nun mit Linux versuche diese zu entschlüsseln und zu trennen, habe ich gedacht es muss ja auch anders geht mit einer CA.

Also habe ich eine CSR auf dem NAS generiert und erhielt die csr und eine key Datei. Wenn ich nun jedoch im Internet suche wie ich diese in meine CA bekomme, finde ich immer nur Möglichkeiten mit certsvr über die Weboberfläche.

Ist dies ohne die Weboberfläche nicht möglich?

Gruss

Kodfa

Content-Key: 517108

Url: https://administrator.de/contentid/517108

Ausgedruckt am: 19.03.2024 um 04:03 Uhr

Mitglied: emeriks
emeriks 20.11.2019 um 11:22:12 Uhr
Goto Top
Hi,
schau mal auf einem Windows Computer nach CERTUTIL und CERTREQ.

E.
Mitglied: clSchak
Lösung clSchak 20.11.2019 um 11:23:04 Uhr
Goto Top
Hi

den Key braucht nur der Host der den CSR erstellt hat, den CSR kannst mit einem Texteditor öffnen und den Inhalt an der CA über den Webserver einreichen.

Das Zertifikat das du daraus erhälst musst noch ggf. in ein PEM wandeln (OpenSSL kann das) aber nicht zwingend. Die Kombination des .key und .cer Files ergibt dann das vollständige Linux Zertifikat.

Du musst sehr wahrscheinlich noch das Root-Cert deiner CA am Linux System importieren, das war es eigentlich.

Und nein, ohne Weboberfläche nur umständlich möglich, wenn du eine Windows CA installiert hast, sollte der Webdienst automatisch mit installiert worden sein, alleine schon um die CRL anbieten zu können ...

Gruiß
@clSchak
Mitglied: falscher-sperrstatus
falscher-sperrstatus 20.11.2019 um 11:32:58 Uhr
Goto Top
Und nein, ohne Weboberfläche nur umständlich möglich, wenn du eine Windows CA installiert hast, sollte der Webdienst automatisch mit installiert worden sein, alleine schon um die CRL anbieten zu können ...

Nein, immer separat.
Mitglied: clSchak
clSchak 20.11.2019 um 12:02:59 Uhr
Goto Top
Zitat von @falscher-sperrstatus:

Und nein, ohne Weboberfläche nur umständlich möglich, wenn du eine Windows CA installiert hast, sollte der Webdienst automatisch mit installiert worden sein, alleine schon um die CRL anbieten zu können ...

Nein, immer separat.

ok, installiere die jetzt nicht täglich :> wir haben zwei und bei beiden ist der Webdienst voll durchkonfiguriert face-smile
Mitglied: KodaCH
KodaCH 20.11.2019 aktualisiert um 12:55:48 Uhr
Goto Top
Hallo

Vielen Dank für eure Antworten. In einem anderen Beitrag wurde gesagt das der Webdienst so eigentlich nicht mehr benötigt wird. Aber für das ist es wirklich einfacher face-smile

EDIT: Ich bekomme es wohl doch nicht ganz hin. Nach dem ich den CSR eingetragen habe gebe ich noch in den Attributen folgendes ein:
san:dns=meinserver&dns=meinserver.domaene.de&dns=192.168.1.45

Die Alternativen Namen werden im Zertifikat aber nicht angezeigt. Was mache ich da falshc?

Gruss

Oliver
Mitglied: KodaCH
KodaCH 20.11.2019 um 13:07:34 Uhr
Goto Top
EDIT: Nach einer weile Suchen habe ich es nun gefunden. Die Funktion für die SAN Attribute muss wohl erst aktiviert werden:
http://terenceluk.blogspot.com/2017/09/adding-san-subject-alternative-n ...
Mitglied: 141965
141965 20.11.2019 aktualisiert um 13:13:44 Uhr
Goto Top
Den Webdienst brauchst du nicht, Zertifikate kannst du dir in der Zertifikate-MMC selbst zusammenlicken...auch Wildcard. Veröffentliche entsprechende Templates, vergebe passende ACLs auf das Template und erstelle dir deine gewünschten Certs.

screenshot
Mitglied: falscher-sperrstatus
falscher-sperrstatus 20.11.2019 um 13:54:44 Uhr
Goto Top
Dann ist es vielleicht besser, keine wilden Behauptungen aufstellen face-wink (alles gut, nicht persönlich nehmen).
Mitglied: KodaCH
KodaCH 20.11.2019 aktualisiert um 18:20:47 Uhr
Goto Top
@141965 Danke. Das habe ich natürlich auch schon gemacht. Mein Problem bei diesem Vorgehen ist, dass ich den Privaten Schlüssel brauche und diesen nur mit Kennwort exportieren kann. Geräte wie z.B: ein Synology nas können jedoch nicht mit verschlüsselten Zertifikaten umgehen. Daher der Weg über ein CSR. Oder habe ich eine Möglichkeit (ausser über eine Linux Maschine das ganze entschlüsseln und "splitten"?)

Eine Frage hätte ich allgemein noch: Wie kann ich ein bereits erstelltes Zertifikat welches ich über ein CSR und die Weboberfläche certsrv erstellt habe erneut herunterladen? Bei der Generierung kann ich es ja in zwei verschiedenen Formaten herunterladen. Aber danach finde ich diese möglichkeit irgendwie nicht.
Die generierten Zertifikate finde ich im MMS unter der Zertifizierungsstelle unter Ausgestellte Zertifikate. Geht das überhaupt?
Mitglied: 141965
141965 20.11.2019 aktualisiert um 18:38:34 Uhr
Goto Top
Zitat von @KodaCH:

@141965 Danke. Das habe ich natürlich auch schon gemacht. Mein Problem bei diesem Vorgehen ist, dass ich den Privaten Schlüssel brauche und diesen nur mit Kennwort exportieren kann. Geräte wie z.B: ein Synology nas können jedoch nicht mit verschlüsselten Zertifikaten umgehen. Daher der Weg über ein CSR. Oder habe ich eine Möglichkeit (ausser über eine Linux Maschine das ganze entschlüsseln und "splitten"?)
Mit OpenSSL geht das simpel ...
openssl pkcs12 -in <filename>.pfx -nocerts -out key.pem
openssl pkcs12 -in <filename>.pfx -clcerts -nokeys -out cert.pem

Eine Frage hätte ich allgemein noch: Wie kann ich ein bereits erstelltes Zertifikat welches ich über ein CSR und die Weboberfläche certsrv erstellt habe erneut herunterladen? Bei der Generierung kann ich es ja in zwei verschiedenen Formaten herunterladen. Aber danach finde ich diese möglichkeit irgendwie nicht.
Deswegen gleich in der MMC, dann landet es im lokalen Zertifikate-Speicher.

https://knowledge.digicert.com/solution/SO21807.html
Mitglied: KodaCH
KodaCH 20.11.2019 um 19:11:54 Uhr
Goto Top
@141965 Ok das hätte ich mir schwerer vorgestellt :D.
Das ist super. Vielen lieben Dank.

Ich suche zwar noch, aber ggf weisst du ja graf ob man den Antragstellername irgendwie in das Template einbinden kann damit man nicht immer alles von Hand ausfüllt?
Mitglied: Dani
Dani 22.11.2019 um 15:44:43 Uhr
Goto Top
Moin,
Ich suche zwar noch, aber ggf weisst du ja graf ob man den Antragstellername irgendwie in das Template einbinden kann damit man nicht immer alles von Hand ausfüllt?
das kannst du über eine benutzerdefinierte Vorlage konfigurieren. Das ist aber nur sinnvoll, wenn als Antragssteller ausschließlich der FQDN des Servers eingetragen werden soll. Kommen Aliases via DNS o.ä. zum Einsatz, führt kein Weg daran vorbei.


Gruß,
Dani