• Bewerte uns auf OMR Reviews: Klick

  • NSP Forum als App inkl. Push Nachrichten (iOS): Klick

  • Wichtige Information für alle, die noch nicht auf v14.0.5.39 sind:

    Cyren Antimalware kann nicht mehr verwendet werden. Unsere Lizenz ist endgültig deaktiviert, so dass der Dienst nicht mehr nutzbar ist.
    Bitte stellt sicher, dass ihr schnellstmöglich auf die aktuelle Version aktualisiert. Bis es so weit ist, empfehlen wir die Cyren Antimalware Aktion zu deaktivieren und mindestens den lokalen Virenscanner zu aktivieren. Sollte kein anderer Scanner als Cyren aktiv sein, kommt es unweigerlich zur Abweisung von E-Mails.

    Zusätzlich raten wir dazu, die Cyren Filter zu deaktivieren, hier ist der Einfluss zwar geringer, solange alle anderen Filter korrekt durchlaufen, aber im Problemfall kommt es ebenfalls zur Abweisung.

     

    Unser Blogbeitrag wird in Kürze ebenfalls aktualisiert.

    Beste Grüße
    Euer NoSpamProxy Team

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagatracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

CSR für Webserverzertifikat des NSP-Gateways

mabu

Well-known member
Hallo.

Ich stehe gerade auf dem Schlauch. Thema, dass ich nicht so häufig mache.

Ich muss ein neues SSL-Zertifikat für den NSP-Server in der DMZ (Webportal, GW-Rolle) anfordern. Nun benötige ich dafür ja den CSR.

Wie geht man denn am sinnvollsten auf einem Windows Server 2019 mit der Erstellung des CSR vor? So wie hier beschrieben? https://docs.traser-software.de/de-...s-create-csr-and-install-ssl-certificate.html

Muss ich den CSR zwingend auf den DMZ-Server erstellen, auf dem das Zertifikat dann zum Einsatz kommt? (Soll in diesem Fall ein Singel-Domain Zertifikat werden)

Fragen über Fragen. Und evtl. ganz schön blöde Fragen. Will aber nichts falsch machen und hier einfach irgendwas ausprobieren.

Dann erstelle ich anschließend nachvollziehbare Doku und somit sind bei den folgenden jährlich durchzuführenden Aktualisierungen hoffentlich alle Unklarheiten beseitigt.

Danke vorab für Rückmeldungen.
 
Hallo Martin,
nein m.E. musst du das nicht im IIS machen. Du kannst deinen CSR überall erstellen.
Idr. kannst du auch ein CRS Erstellen beim SSL Zertifikatsanbieter deines Vertrauens.

Ich habe mein CSR für das Wildcard direkt in meinem SSL System erstellt und das nutze ich schon seit Jahren.
Kannst dich gern melden wenn noch Fragen sind.

Grüße
 
Hallo Frank.

Beim Auftrag muss ich ja einen CSR im Prozess mit eintragen. Daher war meine Vermutung, dass ich das am besten auf dem Server selbst erstellen lassen (wie in der URL beschrieben z.B.).

Kann anscheinend auch sowas wie OpenSSL auf meinem PC nutzen, um den CSR zu erstellen. Letztlich benötige ich ja nur das vom Anbieter bereitgestellte Zertifikat und den Private Key.

Sind nur immer so viele Fragezeichen da, weil es so ein "macht man auch nebenbei noch mit"-Thema ist.
 
Hallo korrekt.
Müssen musst du es nicht.
OpenSSL geht auch, brauchst du ggf später eh, wenn du aus dem Zertifikat ein PFX machen möchtest ( Zertifikat + OrivKey + RootCA)

Bestell für Kunden öfters Zertifikate

Grüsse
 
Ich persönlich bin ein Fan davon, den CSR schon direkt auf dem System zu erstellen, auf dem das Zertifikat dann zum Einsatz kommt. So muss der private Key nicht unnötig hin und herkopiert werden. Just my 2 cents.
Gruß Stefan
 
Zum CSR direkt auf dem System kommt dann jetzt auch meine Frage :s 

Da ich die Antworten hier tatsächlich vor dem ganzen Vorgeplänkel am Freitag plus klären, wie es mit dem SSL-Zert in der SwissSign ManagedPKI abläuft, irgendwie jetzt erst zur Kenntnis genommen habe, wurde nun ein nicht direkt auf dem Server erzeugter CSR genutzt.

Beim Zertifikat, dass bisher auf der Gatewayrolle vorhanden ist, wird vom Icon angezeigt, dass der PrivateKey mit enthalten ist. Das ist bei dem neuen von SwissSign nicht der Fall, nachdem ich es importiert hatte.

Vermute, dass wir da mit OpenSSL noch einen Merge von cer und key durchführen müssen. Habe zumindest ein paar Artikel dazu gefunden.

Gibt es eigentlich über die Installationsanleitung zum Web-Portal, wo das mit der Zuordnung des Serverzertifikates erwähnt ist, irgendwo weitere Infos? In Knowledge Base habe ich nichts gefunden.

Vielleicht sind die notwendigen ToDos durch unterschiedliche Zertifikatsanbieter zu unterschiedlich. Aber könnte mir vorstellen, dass mit der Info zu bestimmten Voraussetzungen für das notwendige Zertifikat und die normalerweise notwendigen Schritte da ein bisschen mehr im Handbuch abgedeckt werden könnte. Aus Erfahrung mit Dienstleistern sind die HowTos rund um Zertifikate oft auch nicht so wirklich richtig vorhanden. und es artet oft in Internetsuche und Rückfragen aus. So wie nun gerade bei mir.

Ich bin mir recht sicher, dass mein Kollege morgen die Zertifikatsdatei inkl. PrivateKey erstellen kann. Dann sollte der Rest auf den beiden NSP-Servern und die Anpassungen im NSP selbst mit der Auswahl des neuen Zertifikates hoffentlich kein Problem mehr darstellen. Und damit sollte es dann auch für die Folgejahr klar sein, da ich dann gleich eine Doku dazu erstellen werde.
 
Hallo,
nur kurz auf die schnelle.
PFX Generieren / Benötigt OpenSSL

openssl pkcs12 -export -out hier_dein_Zertifikat.pfx -inkey hier_dein_privater_schluessel.key -in hier_dein_Zertifikat_von_der_CA.crt -certfile hier_das_Root_Cert_der_CA.crt

Besteht das Root CA aus mehreren also RootCA und SubCA muss => hier_das_Root_Cert_der_CA.crt alle Zertifikate beinhalten.
Am wenn es im PEM Format ist, kann dieses mit dem Editor geöffnet und bearbeitet werden.
Zertifikate in Umgekehrter Reihenfolge Eintragen.
So nutze ich dieses schon seit Jahren.

Grüße
 
Hat nun alles funktioniert. Doku für den kompletten Ablauf ist erstellt. Dann wird das ja nun jedes Jahr einmal fällig sein.
 
Hallo Martin,
leider ja. Auch wenn man mehrjährige Zertifikate kaufen kann. So gibst es immer neue Zertifikate die man in ein pfx Wandeln muss.

Aber das geht ja fix.

Grüsse
 
Zurück
Oben