Zertifikat mit alternativen Namen registrieren (GUI)

Posted onAutorJens Kupke

Hallo Freunde der Sonne,

Ihr kennt doch garantiert den manuellen, vollständig konfigurierbaren Weg für Zertifkatsanfragen unter Windows-Servern oder?

Wenn nicht dann könnte Euch der Artikel helfen:

Zertifikat mit alternativen Namen registrieren (GUI)

Kurze Begriffsklärung im Vorfeld:
  • MMC = Microsoft Management Console
  • AD = Active Directory, Microsoft Verzeichnisdienst
  • CA = Certificate Authority
  • CN = Common Name, Anzeigename, öffentlicher Bezeichner
  • Snap-In = Erweiterung
Für die GUI-Zertifikats-Anfragen-Erstellung muss auf einem Windows eigentlich nicht installiert werden.
Öffnet einfach eine MMC und fügt das Snap-In „Zertifikate“ hinzu…

Anforderung erstellen

 

Abbildung 1: Hinzufügen Snap-in Zertifikate
Bitte darauf achten das der Zertifkats-Speicher vom lokalen Computer hinzugefügt wird.

Abbildung 2: Benutzerdefiniterte Anforderung erstellen
Nun geht man einfach auf „Eigene Zertifkate“ und öffnet die oben genannte Anforderung per Kontext.

Abbildung 3: Richtlinien vorlagen vom AD abfragen
Hier genügt ein klicken auf weiter. (in der Abbildung bereits getätigt, daher grau hinterlegt)

Abbildung 4: Vorlage Webserver mit exportierbarem Schlüssel
Nun kann man aus den Vorlagen der CA eine der Vorlagen auf der man seine Anfrage aufbauen möchte auswählen…ich würde dies nicht zeigen wenn die CA auch Anfragen ohne Vorlagen annehmen würde. ;)
Wir wollen es auch einfach halten…
Zum erstellen dieser Vorlagen gibt es einen weiteren Artikel – siehe unten.

Abbildung 5: Eigenschaften der Anforderung
Nun geht es zum Kernbereich, hier bitte zuerst die Vorlage ausklappen und nicht gleich weiter klicken…
Im Dialog fehlt das zurück!

Abbildung 6: die Anforderung selbst
Unter Antragssteller können und sollten nun die Standardfelder ausgefüllt werden:
Organisation (O)
Abteilung (OU)
Ort (L)
Land (C)
Anzeigename (CN)
Sehr zuvorkommende Menschen füllen auch das Feld mit der E-Mail aus…falls Jemand externes Fragen hat.
UND NUN DIE ALTERNATIVEN NAMEN:
Erst DNS wählen und dann einfach die Namen übernehmen.

Abbildung 7: Schlüsselverwendung
Hier noch einmal ein kurzer Einblick zu den meist durch die Vorlage vorgegebenen Aufgaben.

Webservervorlage = Serverauthentifizierung

Abbildung 8: Kryptologische Eigenschaften
Unter dem Reiter privater Schlüssel finden sich die genauen Optionen des Schlüssels, wie:
mit welchem Algorithmus erstellt,
Schlüssellänge (2048,…),
exportierbar (für den Import in einen IIS praktisch)
etc.

Abbildung 9: Anforderung generieren
Ich glaub das ist nicht so schwer – einen Speicherpfad angeben den man wiederfindet…

Anforderung einreichen

Abbildung 10: Zertifizierungsstelle
Auf dem Server der die Zertifizierungsstelle darstellt kann nun manuell die Anfrage eingereicht werden.
Hierzu die CA auswählen und die Einreichung per Kontext auswählen.

Nach erfolgreichem Einreichen darf man das frische Zertifikat gleich wieder speichern.

Abbildung 11: Wo finde ich die SAN-Alternativen-Namen?
Einfach das Zertifikat anzeigen lassen und unter Details „Alternativer Antragsstellername“ die alternativen Namen anzeigen lassen.

Dies geht aber auch später über den Browser der auf die Seite mit dem Zertifikat zugreift.

Weitere Interessante Artikel zu diesem Thema könnten sein:
Vorlagen für die Zertifizierungsstelle erstellen