Server2012, SSL-Zertifikat: woher nehmen, was einfügen

[cumulonimbus8]

Moin.

Ich blicke einfach nicht durch was von dem was ich (offenbar) habe ich wo und wie einsetzen muss.

«Mein» Provider (Strato) hat «mich» freundlich erinnert, dass das Zertifikat für den Virtuellen WIN-Server bald abläuft. Und Informationen geliefert wie man denn ein neues zur Verlängerung kauft.
Also irgendwas nach Anleitung erzeugt um bei Thawte Geld loszuwerden. Nach einer Mail soll das Geld sogar sein Ziel gefunden haben…

Nur verliere ich komplett die Übersicht was ich von wo in welcher Form (Dateityp, Klartext) nehmen muss um dem IIS einzuimpfen.
Allein die Frage ob ich dieses Zertifikat einfach hinzufügen darf oder irgendwie das existente ersetzen muss (also löschen). Reicht es da bei den HTTP-Einstellungen zu schrauben oder muss ich eine Zertifikatsanforderung erstellen (MS-Sprech… Ich habe ja längst eins…)

Wie also helfe ich welcher Biene womit auf die Blüte?

CN8

 

[madmax2010]

Hm. Ich hoffe du hast nicht zu viel bezahlt.. Letsencrypt bieter das selbe kostenfrei an.
Da ich IIS nicht verwende, hier 2 vollstaendig aussehende Anleitungen:
https://weblog.west-wind.com/posts/2016/feb/22/using-lets-encrypt-with-iis-on-windows
https://www.snel.com/support/how-to-install-lets-encrypt-with-iis-on-windows-server-2019/
Und die Letsencrypt doku: https://letsencrypt.org/docs/

 

[morcego]

https://github.com/rmbolger/Posh-ACME
posh-acme klappt hervorragend, auch mit wildcard. Es kann auch auf einem beliebigen Rechner ausgeführt werden. Das Zertifikat bzgl die gesamte Anforderung liegt im localappdata.
Die Validierung läuft am einfachsten per DNS Eintrag.

PS Im Regelfall wird das alte Zertifikat ersetzt, es ist sowieso mit dem Ablaufdatum wertlos.

 

[cumulonimbus8]

@morcego
Ich habe keine Idee was ich damit tun sollte..?

@madmax2010
All diese Tehorie kenne ich, das ist ja das Problem…

Meine Frage ist: wo nehme ich was weg um es als was dem IIS einzuimpfen?
→ Es geht um eine Verlängerung, also nicht um das erstmalige Aktivieren von SSL, das ist mir mit Hängen und Würgen vor 2 Jahren gelungen, offenbar auch mit einem (einem?!) Zertifikatsfile das ich als solches erkannt hatte.
Meine Frage ist nicht wo ich Zertifikate herbekomme, das ist erledigt (und bezahlen tut sie der Chef, beim Provider, alles ein Rechnungssystem).

Ich habe nunmehr einen Haufen Files mit kryptischen, nichtssagenden Namen, die Zertifikate zu sein scheinen, aber ich habe keinen Dunst welches davon als welchem Dateityp ich dem jeweiligen IIS-Dialog anvertrauen muss.
Die Dialoge (mehrere - Anforderung, HTTP/S) sind logisch - aber sie sprechen von Dingen die sie nicht genau erklären, wie sie zusammenhängen, wovon sie abhängen.
Die Dinge sind da (hoffentlich), aber sie haben Bezeichnungen & Dateitypen die sich in keinem der Dialoge wiederfinden - als ob der eine Pistole meint, das andere Revolver heißt, der nächste einen Meuchelpuffer erwartet und mir nur eine Faustfeuerwaffe vorliegt (alles mit unterschiedlichem Kaliber - aber es schießt…)

CN8

 

[madmax2010]

Welche dateien du wo hinlegen musst steht in den Konfigurationsdateien deines Webservers.

ACME Clients wie der den @morcego geposted hat, und andere, schauen da sogar für dich nach, besorgen die zertigikate und legen sie an die richtige stelle. EInige überpüfen sogar das man RC4, MD5, SSLv3, TLS1.0 etc nicht aktiv hat.
Damit automatisierst du halt das beschaffen und deployen der Zertifikate und musst dich nie wieder darum kümmern.

 

[Myron]

Welche Dateien hast du denn genau? Poste doch mal einen Screenshot aus denen die Dateiendungen hervorgehen, anstatt hier in Rätseln zu sprechen. Und zeig konkrete Beispiele, an denen du im Zertifikatsdialog nicht weiter kommst.

Wenn es allerdings schon daran scheitert beim Webserver das Zertifikat einzuspielen, hoffe ich, dass du nicht für die Absicherung und eine sichere Konfiguration des Servers zuständig bist.

 

[morcego]

Ich schätze oder hoffe da war eine pfx Datei dabei, die wird im IIS im Knotne Server > Zertifikate importiert. Danach kannst du zur Webseite gehen und rechts bei Bindungen das Zertifikat auswählen.

 

[cumulonimbus8]

@madmax2010

Welche dateien du wo hinlegen musst steht in den Konfigurationsdateien deines Webservers.

Es steht dort was für Dateien das sein sollen, aber eben keinesfalls welche!
Und wie das Einpflegen an sich geht weiß ich (noch) - nur eben das Wer-oder-Was, daran scheitert es.

Das Tool von morcego (Ich hasse GitHub, genauso wie ich es hasse solche Zertifikate zu bekommen: ich will wissen was explizit ich dort zu entnehmen habe und wozu.) - man erkläre mir (A) wo das Ding mein zwangsläufig gekauftes Zertifikat denn hernimmt und (B) von welcher Plattform aus (auf dme IIS starten?) es dieses Zertifikat an (C) die richtige Stelle bringt! Wenn ich ihm all das sagen muss kann ich es auch selber machen.


@Myron
Falls du es nicht mitbekommen hast - geanu das wonach du mich fragst ist das wonach ich hier frage!
• Welche Dateien hast du denn genau? → dir helfen die Namen der *.PEM-Dateien nicht weiter.
• anstatt hier in Rätseln zu sprechen → eben, Rätsel; genau vor denen stehe ich ja doch.
• Und zeig konkrete Beispiele, an denen du im Zertifikatsdialog nicht weiter kommst. → konkrete als: ich weiß nicht Welche Datei ich bei der Dateisuche ib diesem und Dialog wählen muss kann ich nicht werden weil ich eben diese Dateien nicht (er)kenne.

» „Im Dialog der Zertifikatsanforderung musst du ein Intermediate-Zertifikat bei der Dateisuche verwenden.“ Oder doch das Root-Zertifikat? Oder kommt das später?
Importiern, ein PFX, habe ich nicht weil ich keine PFX bekomme(n habe).
Ich gebe da (unter Wissen um alle Angaben) das Intermediate an (so es eben genau dieses das ist was jenes File ist) und scheitere schon an der Frage des Kryptigrafiediensteanbieters. Also Weiter. Dateiname für Zertifikatsanforderung, eine TXT, woher nehmen? Ach so, einfach eine erfinden… Und dann? Um die Anforderung abzuschließen brauche ich ein CER. Habe ich auch nicht.
→ Also zu meiner zentralen Frage: woher bekomme ich denn diese PFX und CER wenn man mir nur PEM verkauft?

Wenn es allerdings schon daran scheitert beim Webserver das Zertifikat einzuspielen, hoffe ich, dass du nicht für die Absicherung und eine sichere Konfiguration des Servers zuständig bist.

Ich spreche Deutsch, nicht MS-Sprech. Und allerdings - die Absicherung kann an dieser Fremdsprache scheitern obwohl jemand mit meinem Background absolut weiß was zu tun wäre.


@morcego

Ich schätze oder hoffe da war eine pfx Datei dabei, die wird im IIS im Knotne Server > Zertifikate importiert. Danach kannst du zur Webseite gehen und rechts bei Bindungen das Zertifikat auswählen.

Rat mal was ich nicht (bekommen) habe.


Deswegen noch mal die Gebetsmühle: wo kriege ich all die Files her die MS von mir haben will um ihm genau dort dienlich zu sein?

CN8

 

[Myron]

dir helfen die Namen der *.PEM-Dateien nicht weiter.

Also zu meiner zentralen Frage: woher bekomme ich denn diese PFX und CER wenn man mir nur PEM verkauft?

Aha, das ist doch schon mal eine Info, die auch kurz und knapp in den Startpost gehört hätte:
"Ich habe eine ".pem" und brauch eine ".pfx" und ".cer" Datei". Deine blumige Beschreibungsart ist einfach nicht zielführend, wenn man dabei die wichtigen und detaillierten Infos weglässt und sich diese erst aus der Nase ziehen lässt.

Da verrat ich dir mal einen Geheimtipp, den du mit einer kurzen Googleanfrage auch gefunden hättest:
Du kannst eine PEM-Datei mit einem Befehl in eine PFX-Datei umwandeln.
https://lost-in-it.de/ssl-zertifikat-umwandeln/

 

[cumulonimbus8]

Ich habe zwar eine PEM - aber ich wusste nicht was ich brauche…
Oder genauer weiß ich immer noch nicht welche zweier PEM denn die ist die ich einsetzen muss.

Und nun? Klappt dieses OPENSSL nicht. Die Site zeigt zwar eine Syntax - aber dann kommt ein Error, dass kein Private Key gefunden würde.
Den wollten auch Konvertier-Websites, die ich fand (ganz so blöd ist der Mann ja nicht). Und was habe ich nicht, außer diesen PEMs? Jenen Key. Sackgasse.
(Geschweige, dass ich bei der Syntax wüsste wo ich der Befehlszeile jenen Key würde angeben können.)

So viel also zu kurzen und knappen Fragen die man stellen könnte. Dann frage ich mal kurz und knapp zurück wo der Key den wäre, man ist ja neugierig. (Und; auf dem Server passiert dasselbe - auf dass OPENSSL nicht so einen Key irgendwo automatisch fände).

CN8

 

[madmax2010]

Ich schreibe nachher mal ausführlicher nach feierabend..
Aber eine schnelle zwischenfrage: Hast du teile deiner dateien auf irgendwelchen webseiten zum umwandeln hochgeladen?
Wenn ja: welche

 

[Myron]

Also irgendwas nach Anleitung erzeugt

Was genau hast du denn erzeugt und nach welcher Anleitung? Du wirst ja für die Erzeugung des Zertifikats auch einen CSR haben, damit musst du zu erst die Zertifikatsbeantragung im IIS abschließen.

 

[maloz]

Wenn du auf irgendwelchen Konvertierungswebsites das Cert + euren private Key importiert hast oder hättest importieren wollen rate ich dringend dazu einen Fachmann für 0,5h zu engagieren der das für euch für einen kleinen Obolus erledigt.

 

[Myron]

@cumulonimbus8 Für dein Verständnis hier ein kleiner Ausschnitt aus Wikipedia, damit du verstehst, was du eigentlich gerade tust (beziehungsweise versuchst):

Ein Certificate Signing Request dient dazu, dass der private Schlüssel vom Käufer eines öffentlichen Zertifikats geheim bleibt gegenüber der Certificate Authority (CA).[1]

1. Hierzu erzeugt der Kunde im ersten Schritt auf seiner eigenen privaten Hardware ein Schlüsselpaar (einen privaten Schlüssel und einen öffentlichen).
2. Der Kunde erzeugt eine CSR-Datei, welche ein elektronisches Formular ist. Es enthält neben den Antragsdaten auch seinen öffentlichen Schlüssel.
3. Im dritten Schritt sendet der Kunde die CSR an die CA.
4. Die CA prüft den Antrag (also die CSR-Datei mit den Formularangaben und dem enthaltenden öffentlichen Zertifikat). Bei positiver Prüfung sendet die CA dem Käufer ein neues öffentliches Zertifikat zurück (als doppelt signierter öffentlicher Schlüssel).

Die Schritte 1 bis 3 wirst du sicher getan haben (ansonsten hättest du kein Zertifikat von der CA bekommen). Wie sieht also deine Anleitung aus, der du bisher gefolgt bist?

 

[morcego]

Was du damit sollst, ist dich beschäftigen und womöglich vorher informieren. Nicht immer nur meckern was angeblich alles ganz furchtbar ist (Ribbon, Windows, die Welt). Wenn du das nicht möchtest, dann solltest du bei dir im Unternehmen keine IT machen.

Wenn du "alle" pem Dateien hast, kannst du das per openssl in eine pfx wandeln lassen.
Beispiel wie ich das für Synology > Windows gemacht habe

Spoiler: Code

function Convert-ipxSynologyCertificateToPfx {
    <#
        .Synopsis
            Konvertiert die Zertifikatdateien vom Synology NAS in eine PFX-Version
        .Description
            Im Synology NAS wird zB das Let´s Encrypt Zertifikat abgerufen und dann exportiert. Das entstandene zip-Archiv wird entpackt,
            es liegen dann die einzelnen *.pem Dateien dort. Über OpenSSL wird anschließend die PFX-Datei aus den drei einzelnen Dateien konvertiert
            Im Programmablauf wird nach dem entpackten Ordner und dem Namen für das Zertifikat gefragt (ohne Dateiendung!).
            Das Ergebnis wird im selben Ordner wie die Quellen liegen.
            Die Routine läuft nicht in der Powershell ISE!
        .Inputs
            Synology Exported Certificate As PEM
        .Outputs
            Converted Certificate as PFX
        .Notes
            Version: 1.0.0.0
            Datum: 06.07.2018
            Doesn´t work in Powershell ISE
        .Component
            GnuWin OpenSSL 0.9.7
    #>

    param (

    )
    $OpenSSLExecute = 'C:\Program Files (x86)\GnuWin32\bin\openssl.exe'
    If ( -not ( Test-Path $OpenSSLExecute)) {
        Write-Host "OpenSSL wurde nicht im Standardpfad gefunden, die Konvetierung kann nicht erfolgen. :(" -ForegroundColor Red
        break;
    }
    
    $SynologyCertificateFolder = (Get-ipxFoldername -description "Den entpackten Synology Zertifikatordner angeben")
    If ( -not ( Test-Path $SynologyCertificateFolder\cert.pem )) {
        Write-Host "cert.pem fehlt im Ordner!" -ForegroundColor Red
        break;
    }
    If ( -not ( Test-Path $SynologyCertificateFolder\chain.pem )) {
        Write-Host "chain.pem fehlt im Ordner!" -ForegroundColor Red
        break;
    }
    If ( -not ( Test-Path $SynologyCertificateFolder\privkey.pem )) {
        Write-Host "privkey.pem fehlt im Ordner!" -ForegroundColor Red
        break;
    }
    Write-Host "Alles geprüft, los gehts! :)" -ForegroundColor Green
    $CertificateName = Read-Host -Prompt "Dateiname des neuen Zertifikats eingeben"
    $Type = "pkcs12"

    & $OpenSSLExecute pkcs12 -export -out $SynologyCertificateFolder\$CertificateName.pfx -inkey $SynologyCertificateFolder\privkey.pem -in $SynologyCertificateFolder\cert.pem -certfile $SynologyCertificateFolder\chain.pem

}

function Get-ipxFoldername {
<#
    .Synopsis
        Windows Dateidialog für Abfrage eines Ordners
    .Parameter rootpath
        Gibt das Verzeichnis an mit dem der Dialog initialisiert wird
    .Parameter description
        Gibt dem Benutzer im Dialogfeld einen Hinweistext was zu tun ist
    .Example
        Get-ipxFoldername -rootpath C:\Users\User -description Bitte Ordner wählen
        Öffnet den Dialog im Benutzerverzeichnis und gibt den Hinweistext mit an.
    .Inputs
        System.String rootpath und description
    .Outputs
        System.String
    .Notes
        Version: 1.0.0.0
        Datum: 23.2.2015
    .Component
        System.Windows.Forms
#>
    param (
        [Parameter(HelpMessage='Pfad in dem der Dialog geöffnet wird')]
        [string]$rootpath,
        [Parameter(HelpMessage='Hilfstext im Dialogfeld')]
        [string]$description
    )
    [void] [System.Reflection.Assembly]::LoadWithPartialName("System.Windows.Forms")
    $filefinder = New-Object System.Windows.Forms.FolderBrowserDialog
    $filefinder.SelectedPath = $rootpath
    $filefinder.Description = "$description"
    $filefinder.ShowNewFolderButton = $false

    if($filefinder.ShowDialog() -eq 'OK'){
        $filefinder.SelectedPath;
    }
    else {
    $null;
    }
}

Danach hast du ein pfx mit selbst vergebenen Passwort. Das ist die Methode wenn ein Linux sich das Zertifikat abholt und irgendwo hinlegt.

Alternativ geht das Posh-Acme von jedem beliebigen Rechner aus.
Posh wird direkt von der Powershell aus installiert, bei zickigen Servern geht aber auch ein manueller Dowload des Pakets und anschließendes Entpacken in den Module Ordner von Powershell.

New-PACertificate *.domain.de -AcceptTOS -Contact xy@domain.de -DnsPlugin AcmeDns -PluginArgs @{ACMEServer='auth.acme-dns.io'} -PfxPass <deinPasswort -Verbose -Force

Jede validierte (Sub)Domain bekommt einen _acme-challenge TXT record, das sagt das Skript aber auch in seiner Ausführung. Bei Strato zB werden die dann angelegt und dagegen validiert LetsEncrypt. CNAME Subdomains funktionieren damit nicht.

Dann hast du sowohl pem als auch pfx auf dem Rechner liegen. Das Cmdlet kann das Zertifikat auch direkt importieren und für den IIS vorbereiten. Zuweisen musst du aber selber.

Im ISS gehst du auf den Serverknoten, dort gibt es Zertifikate im großen mittleren Bereich, da kannst du es sonst importieren. Danach auf die direkte Webseite im Baum, rechts Bindung, 443 als Port bei deiner Webseite wählen und das neue Zertifikat auswählen.

 

[cumulonimbus8]

Ich hatte leidlich zu tun bis jetzt.

Mein Provider - hat eine Anleitung wie ich über Thawte ein geeignetes Zertifikat kaufen könne. Der folgte ich, eine Rechnung wurde bestätigt, ein Link führt zur Downloadmöglichkeit von 6 PEM-Files…
SHA-2 Intermediate CAs (under SHA-1 Root)
• SSL Web Server with Extended Validation (EV)
• SSL 123 Wildcard
SHA-2 Intermediate CAs (under SHA-2 Root)
• SSL 123 Wildcard
…von denen die oberen 4 nach einem Datum im Namen offenbar die Bestellung von vor 2 Jahren sind.
Als SSL 123 Wildcard bekomme ich ein «Intermediate CA» und ein «Root».
Allem folgend was man wissen kann, in diesem Prozess, sollte «Root» das Zertifikat sein das ich benötige.

Weitere Dateien habe ich nicht - so weit ich den Spoiler lesen kann will auch der wieder Files von mir die schlicht nicht existieren.
Installation Instructions for Microsoft IIS 8.0 and 8.5
Option 1: Thawte SSL Assistant Certificate Installation
1. Download your certificate from the unique secure link we provide your technical contact via order fulfillment email.
2 .The ZIP file you download contain the SSL and Intermediate CA certificate in PKCS#7 file (i.e. ssl_certificate.p7b).
Keine Ahnung was Thawte da so denkt und tut - andere Links außer den der zur obigen Page führt habe ich keine, und auch kein ZIP mit einer P7B-Datei.

Damit:
(A) wie bekomme ich eine PEM auf IIS installiert?
(B) wie bekomme ich diese PEM in etwas konvertiert das das brauchbar ist - P7B - wenn CER offenbar an der mir übergebenen Ausstattung scheitert?
Ein primitives HowTo mit dem was man dem was man mir zugesteht vorankomme.

CN8

 

[Myron]

Mein Provider - hat eine Anleitung wie ich über Thawte ein geeignetes Zertifikat kaufen

Stell die Anleitung mal bitte hier rein, damit wir nachvollziehen können was du gemacht hast.

 

[madmax2010]

SHA-2 unter SHA-1 Root solltest du nicht machen. Siehe: https://sslmate.com/blog/post/chrome_cached_sha1_chains

Du sagtest:

Ich habe zwar eine PEM - aber ich wusste nicht was ich brauche…
Oder genauer weiß ich immer noch nicht welche zweier PEM denn die ist die ich einsetzen muss.

Und nun? Klappt dieses OPENSSL nicht. Die Site zeigt zwar eine Syntax - aber dann kommt ein Error, dass kein Private Key gefunden würde.
Den wollten auch Konvertier-Websites, die ich fand (ganz so blöd ist der Mann ja nicht). Und was habe ich nicht, außer diesen PEMs? Jenen Key. Sackgasse.
(Geschweige, dass ich bei der Syntax wüsste wo ich der Befehlszeile jenen Key würde angeben können.)

Wo klappt openssl nicht? zum extrahieren der bestandteile aus dem pem container?

Zu den Konvertier-Websites: hast du versucht die zu verwenden um deinen private key zu extrahieren?

 

[Zensai]

Den Key hat nur die Maschine, die den Request erstellt hat. Willst du also eine pfx, musst du das Zertifikat auf jener Maschine einspielen, installieren.
Dann inklusive Private Key exportieren.
Da das ein potentielles Sicherheitsproblem sein kann, muss dafür allerdings SCHON BEIM ERSTELLEN des Requests der spätere Export des Keys erlaubt sein.

 

[cumulonimbus8]

Wo klappt openssl nicht? zum extrahieren der bestandteile aus dem pem container?

Was ist denn jetzt nun wieder ein PEM-Container?

Den Key hat nur die Maschine, die den Request erstellt hat. Willst du also eine pfx, musst du das Zertifikat auf jener Maschine einspielen, installieren.

Tja… Ich habe eben auf dem Weg @Myron, den ich aus Kostengründen nicht nachvollziehen will die PEMs von Thawte bekommen.
Ich habe allenfalls jenen Request online durchgeführt. Es gibt keine Maschine die sich quasi selbst das Zertifikat ausstellt.

Zu den Konvertier-Websites: hast du versucht die zu verwenden um deinen private key zu extrahieren?

Ja, aus was (PEM-Contianer?? s.o.) soll ich denn einen Key extrhaieren wenn ich allein 2 PEM-Files habe?

Da das ein potentielles Sicherheitsproblem sein kann, muss dafür allerdings SCHON BEIM ERSTELLEN des Requests der spätere Export des Keys erlaubt sein.

Logisch, aber wenn ich so was nicht angeboten bekomme oder, kurz gesagt, Murks ausgeliefert kriege?


Diese IIS will komische Files von mir, CER, PFX (und zwar immer nur ei einziges)! - eine Anleitung sagt generös ich könnte irgendwo was runterladen oder, noch toller, den Klartext der Zerzifiakte (oder was immer die Felder sind - Namen ohne Bezug zum Ziel) herauskopieren ums sie beim IIS nirgendwo einkleben zu können.


Sie brauchen ein neues Zertifikat, für ihren IIS? Verkaufen wir Ihnen! Geben Sie die relevanten Daten auf diese Page ein, sie bekommen (da Sie einen IIS benutzen) neben der Rechnung einen Download zu der PFX die sie benötigen (und dort und dort hinzufügen).
Sie brauchen ein neues Zertifikat? Verkaufen wir Ihnen! Geben Sie die relevanten Daten auf diese Page ein, sie bekommen einen Download zu allen Files mit selbsterklärendem Namen die sie brauchen um die gelieferten vom Typ XYZ in den für Sie nötigen zu konvertieren.
Kann so was denn nicht so einfach sein?

CN8