Themabewertung:
  • 0 Bewertung(en) - 0 im Durchschnitt
  • 1
  • 2
  • 3
  • 4
  • 5
CSR für Webserverzertifikat des NSP-Gateways
#1
Question 
Hallo.

Ich stehe gerade auf dem Schlauch. Thema, dass ich nicht so häufig mache.

Ich muss ein neues SSL-Zertifikat für den NSP-Server in der DMZ (Webportal, GW-Rolle) anfordern. Nun benötige ich dafür ja den CSR.

Wie geht man denn am sinnvollsten auf einem Windows Server 2019 mit der Erstellung des CSR vor? So wie hier beschrieben? https://docs.traser-software.de/de-DE/dm...icate.html

Muss ich den CSR zwingend auf den DMZ-Server erstellen, auf dem das Zertifikat dann zum Einsatz kommt? (Soll in diesem Fall ein Singel-Domain Zertifikat werden)

Fragen über Fragen. Und evtl. ganz schön blöde Fragen. Will aber nichts falsch machen und hier einfach irgendwas ausprobieren.

Dann erstelle ich anschließend nachvollziehbare Doku und somit sind bei den folgenden jährlich durchzuführenden Aktualisierungen hoffentlich alle Unklarheiten beseitigt.

Danke vorab für Rückmeldungen.
Gruß,
Martin
Zitieren
#2
Hallo Martin,
nein m.E. musst du das nicht im IIS machen. Du kannst deinen CSR überall erstellen.
Idr. kannst du auch ein CRS Erstellen beim SSL Zertifikatsanbieter deines Vertrauens.

Ich habe mein CSR für das Wildcard direkt in meinem SSL System erstellt und das nutze ich schon seit Jahren.
Kannst dich gern melden wenn noch Fragen sind.

Grüße
Grüße
Frank


- kein Mitarbeiter von nospamproxy -
Zitieren
#3
Hallo Frank.

Beim Auftrag muss ich ja einen CSR im Prozess mit eintragen. Daher war meine Vermutung, dass ich das am besten auf dem Server selbst erstellen lassen (wie in der URL beschrieben z.B.).

Kann anscheinend auch sowas wie OpenSSL auf meinem PC nutzen, um den CSR zu erstellen. Letztlich benötige ich ja nur das vom Anbieter bereitgestellte Zertifikat und den Private Key.

Sind nur immer so viele Fragezeichen da, weil es so ein "macht man auch nebenbei noch mit"-Thema ist.
Gruß,
Martin
Zitieren
#4
Hallo korrekt.
Müssen musst du es nicht.
OpenSSL geht auch, brauchst du ggf später eh, wenn du aus dem Zertifikat ein PFX machen möchtest ( Zertifikat + OrivKey + RootCA)

Bestell für Kunden öfters Zertifikate

Grüsse
Grüße
Frank


- kein Mitarbeiter von nospamproxy -
Zitieren
#5
Ich persönlich bin ein Fan davon, den CSR schon direkt auf dem System zu erstellen, auf dem das Zertifikat dann zum Einsatz kommt. So muss der private Key nicht unnötig hin und herkopiert werden. Just my 2 cents.
Gruß Stefan
Zitieren
#6
Gebe ich dir recht Stefan.

Persönlich nutze ich auch gern
https://www.hohnstaedt.de/xca/
Zum Handhaben mehrerer Zertifikate
Grüße
Frank


- kein Mitarbeiter von nospamproxy -
Zitieren
#7
Zum CSR direkt auf dem System kommt dann jetzt auch meine Frage Confused 

Da ich die Antworten hier tatsächlich vor dem ganzen Vorgeplänkel am Freitag plus klären, wie es mit dem SSL-Zert in der SwissSign ManagedPKI abläuft, irgendwie jetzt erst zur Kenntnis genommen habe, wurde nun ein nicht direkt auf dem Server erzeugter CSR genutzt.

Beim Zertifikat, dass bisher auf der Gatewayrolle vorhanden ist, wird vom Icon angezeigt, dass der PrivateKey mit enthalten ist. Das ist bei dem neuen von SwissSign nicht der Fall, nachdem ich es importiert hatte.

Vermute, dass wir da mit OpenSSL noch einen Merge von cer und key durchführen müssen. Habe zumindest ein paar Artikel dazu gefunden.

Gibt es eigentlich über die Installationsanleitung zum Web-Portal, wo das mit der Zuordnung des Serverzertifikates erwähnt ist, irgendwo weitere Infos? In Knowledge Base habe ich nichts gefunden.

Vielleicht sind die notwendigen ToDos durch unterschiedliche Zertifikatsanbieter zu unterschiedlich. Aber könnte mir vorstellen, dass mit der Info zu bestimmten Voraussetzungen für das notwendige Zertifikat und die normalerweise notwendigen Schritte da ein bisschen mehr im Handbuch abgedeckt werden könnte. Aus Erfahrung mit Dienstleistern sind die HowTos rund um Zertifikate oft auch nicht so wirklich richtig vorhanden. und es artet oft in Internetsuche und Rückfragen aus. So wie nun gerade bei mir.

Ich bin mir recht sicher, dass mein Kollege morgen die Zertifikatsdatei inkl. PrivateKey erstellen kann. Dann sollte der Rest auf den beiden NSP-Servern und die Anpassungen im NSP selbst mit der Auswahl des neuen Zertifikates hoffentlich kein Problem mehr darstellen. Und damit sollte es dann auch für die Folgejahr klar sein, da ich dann gleich eine Doku dazu erstellen werde.
Gruß,
Martin
Zitieren
#8
Hallo,
nur kurz auf die schnelle.
PFX Generieren / Benötigt OpenSSL

openssl pkcs12 -export -out hier_dein_Zertifikat.pfx -inkey hier_dein_privater_schluessel.key -in hier_dein_Zertifikat_von_der_CA.crt -certfile hier_das_Root_Cert_der_CA.crt

Besteht das Root CA aus mehreren also RootCA und SubCA muss => hier_das_Root_Cert_der_CA.crt alle Zertifikate beinhalten.
Am wenn es im PEM Format ist, kann dieses mit dem Editor geöffnet und bearbeitet werden.
Zertifikate in Umgekehrter Reihenfolge Eintragen.
So nutze ich dieses schon seit Jahren.

Grüße
Grüße
Frank


- kein Mitarbeiter von nospamproxy -
Zitieren
#9
Hat nun alles funktioniert. Doku für den kompletten Ablauf ist erstellt. Dann wird das ja nun jedes Jahr einmal fällig sein.
Gruß,
Martin
Zitieren
#10
Hallo Martin,
leider ja. Auch wenn man mehrjährige Zertifikate kaufen kann. So gibst es immer neue Zertifikate die man in ein pfx Wandeln muss.

Aber das geht ja fix.

Grüsse
Grüße
Frank


- kein Mitarbeiter von nospamproxy -
Zitieren


Gehe zu:


Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste