WinFuture-Forum.de: pfx für iis erzeugen... - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Windows Server
  • 2 Seiten +
  • 1
  • 2

pfx für iis erzeugen...


#1 Mitglied ist offline   tomovic 

  • Gruppe: Mitglieder
  • Beiträge: 16
  • Beigetreten: 04. Oktober 16
  • Reputation: 0

geschrieben 05. Juni 2020 - 20:24

hallo,
bevor ich immer 3 Monate das SSL erneuere habe ich ein SSL Zertifikat für 2 Jahre ein SSL gekauft.

Meine Vorlage:
https://docs.druva.c...and_Private_Key

1.Zertifikat im Servermanager erstellt.

2.Mit dem Zertifikat eine CA (SSL-trust.com) erstellt.

Mit MMC eine .pfx erzeigt und dann in einen myserver.key umgewandelt.

Bis hier dachte ich alles Super. Mit https://www.sslshopp...-converter.html geb ich...:

1.Zeile Mein Zertifikat.crt
2.Zeile myserver.key
3.Zeile Gekauftes .crt

standard PRM to PFX12
... ein

Es kommt dass etwas nicht zusammenpasst.

Wie ich die Dateien prüfen? Wie kann ich Schritt für Schritt das Problem einzingeln?
0

Anzeige



#2 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 8.895
  • Beigetreten: 20. Juli 07
  • Reputation: 1.126
  • Geschlecht:Männlich
  • Wohnort:Zuhause
  • Interessen:Ja

geschrieben 05. Juni 2020 - 20:58

Du hast einen privaten Key einer Website gegeben?

Wirf ihn weg und mach neu.

Plus, IIS braucht eigentlich gar nichts. Du erstellst den Privatschlüssel, baust damit eine Zertifikatsanforderung (CSR) und läßt die von der CA signieren und bekommst auf diesem Weg ein fertiges Zertifikat.

Das fütterst du in den IIS rein. Gibts direkt in der IIS Konsole eine Funktion für. Konvertierung oä ist nicht erforderlich.


Und ich hoffe inständig, daß das für eine öffentliche Website gedacht war, weil für Privat und Daheim auf dem Server hast Du grad Geld zum Fenster rausgeworfen.
"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
0

#3 Mitglied ist offline   Doodle 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.767
  • Beigetreten: 09. Februar 12
  • Reputation: 865
  • Geschlecht:Männlich

geschrieben 05. Juni 2020 - 21:40

Beitrag anzeigenZitat (RalphS: 05. Juni 2020 - 20:58)

Wirf ihn weg und mach neu.


@RalphS: Deutsche Sprache, schwere Sprache
0

#4 Mitglied ist offline   DanielDuesentrieb 

  • Gruppe: aktive Mitglieder
  • Beiträge: 9.345
  • Beigetreten: 15. Januar 06
  • Reputation: 274
  • Geschlecht:Männlich
  • Wohnort:Troisdorf

geschrieben 05. Juni 2020 - 21:57

Let’s Encrypt ist eine freie, automatisierte und offene Zertifizierungsstelle
0

#5 Mitglied ist offline   tomovic 

  • Gruppe: Mitglieder
  • Beiträge: 16
  • Beigetreten: 04. Oktober 16
  • Reputation: 0

geschrieben 06. Juni 2020 - 09:46

Beitrag anzeigenZitat (RalphS: 05. Juni 2020 - 20:58)

Du hast einen privaten Key einer Website gegeben?


ja, es ist für eine öffentliche Seite.

Beitrag anzeigenZitat (RalphS: 05. Juni 2020 - 20:58)

Wirf ihn weg und mach neu.



ja,habe ich gemacht, mmc gestartet und Rechteklick auf das meineDomainbalblabl Exportieren. Aus der pfx habe ich dann eine .key erstellt.

C:\Program Files\OpenSSL-Win64\bin>openssl pkcs12 -in druva2.pfx -nocerts -out k
ey2.pem
Enter Import Password:
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:

C:\Program Files\OpenSSL-Win64\bin>openssl rsa -in key2.pem -out myserver2.key
Enter pass phrase for key2.pem:
writing RSA key

C:\Program Files\OpenSSL-Win64\bin>openssl rsa -in key2.pem -out myserver2.key
Enter pass phrase for key2.pem:
writing RSA key

C:\Program Files\OpenSSL-Win64\bin>




Beitrag anzeigenZitat (RalphS: 05. Juni 2020 - 20:58)

Plus, IIS braucht eigentlich gar nichts. Du erstellst den Privatschlüssel, baust damit eine Zertifikatsanforderung (CSR) und läßt die von der CA signieren und bekommst auf diesem Weg ein fertiges Zertifikat.

Beitrag anzeigenZitat (RalphS: 05. Juni 2020 - 20:58)

Wie machst du aus einem private.key aus ein Zertifikat? Ich kann das nur umgekehrt.
ssl-trust.com WILL EIN Zerifikat, sprich ich M U S S erstmal ein ...

https://docs.druva.c...=535&height=400

... erstellen.

Ich bekomme dann von ss-trust.com ein

meineDomain.crt
und
meineDomain.ca-bundle

Leider braucht jetzt IIS ein pfx das private.key + CA_Bundle + Zertikat.crt beinhaltet.




Das fütterst du in den IIS rein. Gibts direkt in der IIS Konsole eine Funktion für. Konvertierung oä ist nicht erforderlich.


Und ich hoffe inständig, daß das für eine öffentliche Website gedacht war, weil für Privat und Daheim auf dem Server hast Du grad Geld zum Fenster rausgeworfen.


Ich lasse ich gerne von einem Besseren belehren.

Ich kann auch das das SSL Zerifikat alle 3 Monate erneuern, ewtl automatisch, ich will aber ein 2 Jahre lange Zertifikat :-)
0

#6 Mitglied ist offline   tomovic 

  • Gruppe: Mitglieder
  • Beiträge: 16
  • Beigetreten: 04. Oktober 16
  • Reputation: 0

geschrieben 06. Juni 2020 - 09:53

ich habe mir nochmal alles durch den Kopf gehen lassen :-)

Bei https://www.sslshopp...-converter.html geb ich...:

1.Zeile Mein Zertifikat.crt <--- Zertifikat vom SSL-trust.com muss hier rein, nicht vom meinem Server :-)
2.Zeile myserver.key
3.Zeile Gekauftes .crt

Jetzt gehts :-)
0

#7 Mitglied ist offline   Gispelmob 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.591
  • Beigetreten: 14. August 15
  • Reputation: 392

geschrieben 06. Juni 2020 - 10:59

Ich hoffe sslshopper.com ist die Seite auf der du dein Zertifikat gekauft hast, ansonsten ist die Verbindung dann als genauso sicher anzusehen wie ein EMail Postfach, bei dem du auf einer externen Seite dein Passwort auf Sicherheit überprüfen lassen hast.

Dieser Beitrag wurde von Gispelmob bearbeitet: 06. Juni 2020 - 11:01

AMD Ryzen 9 5950X, Asus ROG Strix X570-F Gaming, 32GB Corsair DDR4-3200, Asus Geforce GTX 3060 12GB, Creative Sound Blaster AE-7, 240GB SSD, 500GB SSD, 3x 1TB SSD, Win11 Home, 4x Acer G246HL Bbid, Logitech MX518 Gaming Mouse, Logitech G440 Mousepad, Logitech K120 Keyboard, Razer Tiamat 7.1 V2 Headset, Creative Inspire 5.1 5300 Soundsystem
0

#8 Mitglied ist offline   Stef4n 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.216
  • Beigetreten: 20. August 18
  • Reputation: 251
  • Geschlecht:Männlich
  • Wohnort:RLP ~Mainz
  • Interessen:pc

geschrieben 06. Juni 2020 - 20:48

Nein das Zertifikat stammt von ssl-trust.com wie er mehrmals schrieb.
... aber bitte vorher ein Backup machen! ;-)
0

#9 Mitglied ist offline   Gispelmob 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.591
  • Beigetreten: 14. August 15
  • Reputation: 392

geschrieben 07. Juni 2020 - 06:33

Dort kann man doch aber auch einen csr hochladen.

Ich frag mich nur wie man den Serverkey einer Webseite anvertrauen kann auf der es kein Impressum gibt. (sslshopper.com) Das whois sagt aus, dass die Seite in Toronto regstriert worden ist und der Browser sagt mir, dass die Seite ein Let's Encrypt Zertifikat nutzt. Komisch für eine Seite über die man DigiCert Zertifikate kaufen soll.

Dieser Beitrag wurde von Gispelmob bearbeitet: 07. Juni 2020 - 06:41

AMD Ryzen 9 5950X, Asus ROG Strix X570-F Gaming, 32GB Corsair DDR4-3200, Asus Geforce GTX 3060 12GB, Creative Sound Blaster AE-7, 240GB SSD, 500GB SSD, 3x 1TB SSD, Win11 Home, 4x Acer G246HL Bbid, Logitech MX518 Gaming Mouse, Logitech G440 Mousepad, Logitech K120 Keyboard, Razer Tiamat 7.1 V2 Headset, Creative Inspire 5.1 5300 Soundsystem
0

#10 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 8.895
  • Beigetreten: 20. Juli 07
  • Reputation: 1.126
  • Geschlecht:Männlich
  • Wohnort:Zuhause
  • Interessen:Ja

geschrieben 07. Juni 2020 - 06:45

Beitrag anzeigenZitat (Doodle: 05. Juni 2020 - 21:40)

@RalphS: Deutsche Sprache, schwere Sprache


Warum schreib ich hier überhaupt noch, wenn Idioten wie Dir eine Plattform gegeben wird? Sagt wohl nur, daß ich der größere Idiot bin...


Jedenfalls, wer nicht begreift, daß “wildfremde Person auf der Straße ansprechen, ihr den Safeschlüssel in die Hand geben und sagen, kannst mal für mich aufsperren, bin den nächsten Monat nicht da” irgendwie vielleicht nicht besonders schlau sein könnte und was das vielleicht mit x509 privaten Schlüsseln zu tun haben könnte, der sollte vielleicht noch mal drüber nachdenken, was er unter Sicherheit versteht.


Was mich angeht, ich sehe daß hier wirklich nichts mehr zu holen ist. Wenn man’s schon bereut, helfen zu wollen, und sich hinterher drüber ärgert, exakt das versucht zu haben, dann isses weit über die letzte Grenze hinausgeschossen.

Ich setze wf damit auf die blacklist. Auf nimmerwiedersehen. Glückwunsch doodle, Du hast es geschafft.
"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
2

#11 Mitglied ist offline   tomovic 

  • Gruppe: Mitglieder
  • Beiträge: 16
  • Beigetreten: 04. Oktober 16
  • Reputation: 0

geschrieben 07. Juni 2020 - 17:35

Beitrag anzeigenZitat (RalphS: 07. Juni 2020 - 06:45)


Jedenfalls, wer nicht begreift, daß “wildfremde Person auf der Straße ansprechen, ihr den Safeschlüssel in die Hand geben und sagen, kannst mal für mich aufsperren, bin den nächsten Monat nicht da” irgendwie vielleicht nicht besonders schlau sein könnte und was das vielleicht mit x509 privaten Schlüsseln zu tun haben könnte, der sollte vielleicht noch mal drüber nachdenken, was er unter Sicherheit versteht.



Es freut mich sehr dass du helfen will, aber dann erkläre mir bitte genau, wie deine Lösung aussieht.

Ich habe den

private.key von dem Server-Zertifikat extrahiert.
CA_bundle von SSL Trust.
Zeritikat von SSL-Trust.

wie gehts weiter?
Ich lasse mich gerne von einem besserem belehren
0

#12 Mitglied ist offline   Gispelmob 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.591
  • Beigetreten: 14. August 15
  • Reputation: 392

geschrieben 07. Juni 2020 - 17:45

Das signieren des Zertifikates auch von ssl trust, das einem anderen anzuvertrauen ist eher schlecht.^^
AMD Ryzen 9 5950X, Asus ROG Strix X570-F Gaming, 32GB Corsair DDR4-3200, Asus Geforce GTX 3060 12GB, Creative Sound Blaster AE-7, 240GB SSD, 500GB SSD, 3x 1TB SSD, Win11 Home, 4x Acer G246HL Bbid, Logitech MX518 Gaming Mouse, Logitech G440 Mousepad, Logitech K120 Keyboard, Razer Tiamat 7.1 V2 Headset, Creative Inspire 5.1 5300 Soundsystem
0

#13 Mitglied ist offline   der dom 

  • Gruppe: aktive Mitglieder
  • Beiträge: 578
  • Beigetreten: 14. Juni 12
  • Reputation: 73
  • Geschlecht:Männlich
  • Wohnort:Zuhause
  • Interessen:Mein Haus, meine IT, Programmierung

geschrieben 04. Oktober 2021 - 19:51

Man gibt keine Private-Keys aus der Hand.

Der Private-Key ist wie es der Name schon sagt Privat.
Im Unternehmensbereich setzt man auf eigene PKIs und gekaufte Zertifikate - im Privaten Rahmen "reicht" - je nach Anforderung die kostenlose Variante von Let's Encrypt. Da wird halt dann gegen das entsprechende Root-CA zertifiziert.

Ein Zertifikat auf > 1 Jahr auszustellen ist nicht gut. Das sollte bei max. einem Jahr liegen.

Was spricht dagegen das Zertifikat alle 3 Monate neu anzufordern? Das kann man per Cron-Job erledigen und dann ist man dabei. Kann die Diskussion nicht verstehen.
Mit allem, was du tust, machst du offenkundig, mit welcher Einstellung du durch's Leben gehst. -- Steffen Glückselig
1

#14 Mitglied ist offline   DanielDuesentrieb 

  • Gruppe: aktive Mitglieder
  • Beiträge: 9.345
  • Beigetreten: 15. Januar 06
  • Reputation: 274
  • Geschlecht:Männlich
  • Wohnort:Troisdorf

geschrieben 05. Oktober 2021 - 21:48

Zitat

bevor ich immer 3 Monate das SSL erneuere
Das kann man ja mit verschiedenen Möglichkeiten automatisiert verlängern. Ich würde kein SSL Zertifikat mehr kaufen.
0

#15 Mitglied ist offline   tomovic 

  • Gruppe: Mitglieder
  • Beiträge: 16
  • Beigetreten: 04. Oktober 16
  • Reputation: 0

geschrieben 07. Juni 2022 - 13:39

thx,
für alle Infos,

jetzt benötige ich wieder eine pfx und blicke es nicht mehr.

Ich habe eine Server_zertifikat.crt
eine Bundle_CA.pem
und einen privat_Key vor einem Jahr der gefunkt hat.
sowie die scr Datei um das Zerfikat zu bestellen.

https://www.sslshopp...-converter.html

1. Server_zertifikat.crt
2. privat_Key vor einem Jahr
3. Bund_ca.pem

--von P7B
--zu PSK

klick auf convert. ->> Error :-(
0

Thema verteilen:


  • 2 Seiten +
  • 1
  • 2

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0