pfx für iis erzeugen...
#1
geschrieben 05. Juni 2020 - 20:24
bevor ich immer 3 Monate das SSL erneuere habe ich ein SSL Zertifikat für 2 Jahre ein SSL gekauft.
Meine Vorlage:
https://docs.druva.c...and_Private_Key
1.Zertifikat im Servermanager erstellt.
2.Mit dem Zertifikat eine CA (SSL-trust.com) erstellt.
Mit MMC eine .pfx erzeigt und dann in einen myserver.key umgewandelt.
Bis hier dachte ich alles Super. Mit https://www.sslshopp...-converter.html geb ich...:
1.Zeile Mein Zertifikat.crt
2.Zeile myserver.key
3.Zeile Gekauftes .crt
standard PRM to PFX12
... ein
Es kommt dass etwas nicht zusammenpasst.
Wie ich die Dateien prüfen? Wie kann ich Schritt für Schritt das Problem einzingeln?
Anzeige
#2
geschrieben 05. Juni 2020 - 20:58
Wirf ihn weg und mach neu.
Plus, IIS braucht eigentlich gar nichts. Du erstellst den Privatschlüssel, baust damit eine Zertifikatsanforderung (CSR) und läßt die von der CA signieren und bekommst auf diesem Weg ein fertiges Zertifikat.
Das fütterst du in den IIS rein. Gibts direkt in der IIS Konsole eine Funktion für. Konvertierung oä ist nicht erforderlich.
Und ich hoffe inständig, daß das für eine öffentliche Website gedacht war, weil für Privat und Daheim auf dem Server hast Du grad Geld zum Fenster rausgeworfen.
#3
geschrieben 05. Juni 2020 - 21:40
#5
geschrieben 06. Juni 2020 - 09:46
Zitat (RalphS: 05. Juni 2020 - 20:58)
ja, es ist für eine öffentliche Seite.
Zitat (RalphS: 05. Juni 2020 - 20:58)
ja,habe ich gemacht, mmc gestartet und Rechteklick auf das meineDomainbalblabl Exportieren. Aus der pfx habe ich dann eine .key erstellt.
C:\Program Files\OpenSSL-Win64\bin>openssl pkcs12 -in druva2.pfx -nocerts -out k
ey2.pem
Enter Import Password:
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
C:\Program Files\OpenSSL-Win64\bin>openssl rsa -in key2.pem -out myserver2.key
Enter pass phrase for key2.pem:
writing RSA key
C:\Program Files\OpenSSL-Win64\bin>openssl rsa -in key2.pem -out myserver2.key
Enter pass phrase for key2.pem:
writing RSA key
C:\Program Files\OpenSSL-Win64\bin>
Zitat (RalphS: 05. Juni 2020 - 20:58)
Zitat (RalphS: 05. Juni 2020 - 20:58)
ssl-trust.com WILL EIN Zerifikat, sprich ich M U S S erstmal ein ...
https://docs.druva.c...=535&height=400
... erstellen.
Ich bekomme dann von ss-trust.com ein
meineDomain.crt
und
meineDomain.ca-bundle
Leider braucht jetzt IIS ein pfx das private.key + CA_Bundle + Zertikat.crt beinhaltet.
Das fütterst du in den IIS rein. Gibts direkt in der IIS Konsole eine Funktion für. Konvertierung oä ist nicht erforderlich.
Und ich hoffe inständig, daß das für eine öffentliche Website gedacht war, weil für Privat und Daheim auf dem Server hast Du grad Geld zum Fenster rausgeworfen.
Ich lasse ich gerne von einem Besseren belehren.
Ich kann auch das das SSL Zerifikat alle 3 Monate erneuern, ewtl automatisch, ich will aber ein 2 Jahre lange Zertifikat :-)
#6
geschrieben 06. Juni 2020 - 09:53
Bei https://www.sslshopp...-converter.html geb ich...:
1.Zeile Mein Zertifikat.crt <--- Zertifikat vom SSL-trust.com muss hier rein, nicht vom meinem Server :-)
2.Zeile myserver.key
3.Zeile Gekauftes .crt
Jetzt gehts :-)
#7
geschrieben 06. Juni 2020 - 10:59
Dieser Beitrag wurde von Gispelmob bearbeitet: 06. Juni 2020 - 11:01
#8
geschrieben 06. Juni 2020 - 20:48
#9
geschrieben 07. Juni 2020 - 06:33
Ich frag mich nur wie man den Serverkey einer Webseite anvertrauen kann auf der es kein Impressum gibt. (sslshopper.com) Das whois sagt aus, dass die Seite in Toronto regstriert worden ist und der Browser sagt mir, dass die Seite ein Let's Encrypt Zertifikat nutzt. Komisch für eine Seite über die man DigiCert Zertifikate kaufen soll.
Dieser Beitrag wurde von Gispelmob bearbeitet: 07. Juni 2020 - 06:41
#10
geschrieben 07. Juni 2020 - 06:45
Zitat (Doodle: 05. Juni 2020 - 21:40)
Warum schreib ich hier überhaupt noch, wenn Idioten wie Dir eine Plattform gegeben wird? Sagt wohl nur, daß ich der größere Idiot bin...
Jedenfalls, wer nicht begreift, daß “wildfremde Person auf der Straße ansprechen, ihr den Safeschlüssel in die Hand geben und sagen, kannst mal für mich aufsperren, bin den nächsten Monat nicht da” irgendwie vielleicht nicht besonders schlau sein könnte und was das vielleicht mit x509 privaten Schlüsseln zu tun haben könnte, der sollte vielleicht noch mal drüber nachdenken, was er unter Sicherheit versteht.
Was mich angeht, ich sehe daß hier wirklich nichts mehr zu holen ist. Wenn man’s schon bereut, helfen zu wollen, und sich hinterher drüber ärgert, exakt das versucht zu haben, dann isses weit über die letzte Grenze hinausgeschossen.
Ich setze wf damit auf die blacklist. Auf nimmerwiedersehen. Glückwunsch doodle, Du hast es geschafft.
#11
geschrieben 07. Juni 2020 - 17:35
Zitat (RalphS: 07. Juni 2020 - 06:45)
Jedenfalls, wer nicht begreift, daß “wildfremde Person auf der Straße ansprechen, ihr den Safeschlüssel in die Hand geben und sagen, kannst mal für mich aufsperren, bin den nächsten Monat nicht da” irgendwie vielleicht nicht besonders schlau sein könnte und was das vielleicht mit x509 privaten Schlüsseln zu tun haben könnte, der sollte vielleicht noch mal drüber nachdenken, was er unter Sicherheit versteht.
Es freut mich sehr dass du helfen will, aber dann erkläre mir bitte genau, wie deine Lösung aussieht.
Ich habe den
private.key von dem Server-Zertifikat extrahiert.
CA_bundle von SSL Trust.
Zeritikat von SSL-Trust.
wie gehts weiter?
Ich lasse mich gerne von einem besserem belehren
#12
geschrieben 07. Juni 2020 - 17:45
#13
geschrieben 04. Oktober 2021 - 19:51
Der Private-Key ist wie es der Name schon sagt Privat.
Im Unternehmensbereich setzt man auf eigene PKIs und gekaufte Zertifikate - im Privaten Rahmen "reicht" - je nach Anforderung die kostenlose Variante von Let's Encrypt. Da wird halt dann gegen das entsprechende Root-CA zertifiziert.
Ein Zertifikat auf > 1 Jahr auszustellen ist nicht gut. Das sollte bei max. einem Jahr liegen.
Was spricht dagegen das Zertifikat alle 3 Monate neu anzufordern? Das kann man per Cron-Job erledigen und dann ist man dabei. Kann die Diskussion nicht verstehen.
#14
geschrieben 05. Oktober 2021 - 21:48
Zitat
#15
geschrieben 07. Juni 2022 - 13:39
für alle Infos,
jetzt benötige ich wieder eine pfx und blicke es nicht mehr.
Ich habe eine Server_zertifikat.crt
eine Bundle_CA.pem
und einen privat_Key vor einem Jahr der gefunkt hat.
sowie die scr Datei um das Zerfikat zu bestellen.
https://www.sslshopp...-converter.html
1. Server_zertifikat.crt
2. privat_Key vor einem Jahr
3. Bund_ca.pem
--von P7B
--zu PSK
klick auf convert. ->> Error :-(