Server2012, SSL-Zertifikat: woher nehmen, was einfügen

cumulonimbus8 schrieb:
Tja… Ich habe eben auf dem Weg @Myron, den ich aus Kostengründen nicht nachvollziehen will die PEMs von Thawte bekommen.
Ich habe allenfalls jenen Request online durchgeführt. Es gibt keine Maschine die sich quasi selbst das Zertifikat ausstellt.
Dass du das öffentliche Zertifikat am Ende von einer CA ausgestellt bekommst ist klar! Nur MUSST du für eine Zertifikatsbeantragung, wie bereits von @Zensai erwähnt, ein CSR und somit auch einen privaten Key generiert haben. Aber da du partout den Prozess nicht verstehen zu scheinst und auch nicht klar deine Anleitung, die ja angeblich vorliegt - die du uns aber anscheiend nicht vorlegen kannst, bin ich hier raus.
Bei dem Punkt der Anleitung ging es mir darum, dass wir nachvollziehen können WO dein Fehler liegt (also wo du vielleicht aus Versehen oder Unwissen beispielweise einen CSR generiert hast ohne zu wissen, dass du es getan hast).

Tu dir einen Gefallen und hole dir Hilfe von einem Kollegen oder einer externen Kraft, die zusammen mit dir den Prozess durchführt. So führt das hier zu nichts mehr. Viel Erfolg noch!
Ergänzung ()

cumulonimbus8 schrieb:
Sie brauchen ein neues Zertifikat, für ihren IIS? Verkaufen wir Ihnen! Geben Sie die relevanten Daten auf diese Page ein, sie bekommen (da Sie einen IIS benutzen) neben der Rechnung einen Download zu der PFX die sie benötigen (und dort und dort hinzufügen).
Das wäre dann von vornherein ein unsicherer Prozess - so wäre der Aussteller des Zertifikats ebenfalls im Besitz des privaten Schlüssels und könnte damit sämtliche Verbindungen entschlüsseln!

Daher läuft der Prozess (grob beschrieben) so:
1. Erzeugen eines privaten Schlüssel auf einer lokalen Maschine (bestenfalls direkt der Server auf dem das Zertifikat eingesetzt werden soll)
2. Erzeugen eines Certificate Signing Request (CSR) unter Einbeziehung des privaten Schlüssels - das beinhaltet beispielsweisen die IPs und/oder den DNS-Namen des Servers für die das Zertifikat sein soll
3. Senden des CSR an eine CA (bei dir Thawte) - dieser stellt dir wiederrum ein öffentliches Zertifikat aus, zu dem dein privater, lokaler Schlüssel der Key ist
4. Einspielen des öffentlichen Zertifikats auf deinem Server und dann die entsprechende Konfiguration deines Webserver o.ä.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: MrKr4D und Zensai
cumulonimbus8 schrieb:
Was ist denn jetzt nun wieder ein PEM-Container?


Tja… Ich habe eben auf dem Weg @Myron, den ich aus Kostengründen nicht nachvollziehen will die PEMs von Thawte bekommen.
Ich habe allenfalls jenen Request online durchgeführt. Es gibt keine Maschine die sich quasi selbst das Zertifikat ausstellt.


Ja, aus was (PEM-Contianer?? s.o.) soll ich denn einen Key extrhaieren wenn ich allein 2 PEM-Files habe?


Logisch, aber wenn ich so was nicht angeboten bekomme oder, kurz gesagt, Murks ausgeliefert kriege?


Diese IIS will komische Files von mir, CER, PFX (und zwar immer nur ei einziges)! - eine Anleitung sagt generös ich könnte irgendwo was runterladen oder, noch toller, den Klartext der Zerzifiakte (oder was immer die Felder sind - Namen ohne Bezug zum Ziel) herauskopieren ums sie beim IIS nirgendwo einkleben zu können.


Sie brauchen ein neues Zertifikat, für ihren IIS? Verkaufen wir Ihnen! Geben Sie die relevanten Daten auf diese Page ein, sie bekommen (da Sie einen IIS benutzen) neben der Rechnung einen Download zu der PFX die sie benötigen (und dort und dort hinzufügen).
Sie brauchen ein neues Zertifikat? Verkaufen wir Ihnen! Geben Sie die relevanten Daten auf diese Page ein, sie bekommen einen Download zu allen Files mit selbsterklärendem Namen die sie brauchen um die gelieferten vom Typ XYZ in den für Sie nötigen zu konvertieren.
Kann so was denn nicht so einfach sein?

CN8
https://serverfault.com/questions/9...-differ-from-other-openssl-generated-key-file

Kurze Frage: Du sagtest yuvor erwähnt das du github hasst. Darf ich erfahren was du daran nicht magst? Mir fallen da schon gründe ein, aber das bezieht sich vor allem auf teile der Firmenpolitik

Und noch ein 3. mal die Frage: Zu den Konvertier-Websites: Hast du versucht die zu verwenden um deinen private key zu extrahieren? Beziehungsweise, hast du auf solchen websites Dateien welche du von thawte bekommen hast hochgeladen?
 
Leider lang andere Arbeit an…

Nur MUSST du für eine Zertifikatsbeantragung, wie bereits von @Zensai erwähnt, ein CSR und somit auch einen privaten Key generiert haben.
Das… kann ich nicht ausschließen… Dumm ist und bleibt: ich füttere im Verkaufsvorgang eine Website, die nimmt alles entgegen und - tschüss. Ich bekomme als Download weder den Key noch den CSR. Für mich ist das Füttern selbst identisch mit dem CSR: ich requeste ja etwas. Wo der Key dann bleibt? Mögen Klügere als ich wissen .
Wenn jeder CSR seinen eigene Key erzeugt ist der Key logisch unsinnig. Ist der Key dem CSR inhärent und ich bekomme jenen CSR nicht übergeben ist das auch sinnfrei. Wiederum müssten Klügere wissen, dass ich das brauche.

Aber da du partout den Prozess nicht verstehen zu scheinst und auch nicht klar deine Anleitung, die ja angeblich vorliegt […]
Die Anleitung? Screenshots wie ich nochmals ein Zertifikat…
(Ich solle es verlängern, praktisch kaufe ich aber ein neues - was eine Logik. Neu und damit mit Key, oder..?)
…kaufe? Das wird nicht gehen. Und wie die Klammer sagt - ja, ich verstehe das alles nicht. Aber das teilte ich Eingangs mit. Namen und Begriffe hier, (unvollständige?) Rückgaben dort - aber nichts was an anderer Stelle verwertbar ist. Und der Verkäufer, der Urheber der Aktion, Hoster Strato, ist unfähig seine Maßnahme bis ans Ende zu erklären, wie sein vorgeschlagener Weg zu gehen ist.

so wäre der Aussteller des Zertifikats ebenfalls im Besitz des privaten Schlüssels
Und wieder verstehe ich den Mechanismus nicht, ich bin so doof. (A) der Zertifikatsausgeber erzeugt jenen Key, dann hat er ihn und gibt ihn mir, (B) ich muss irgendwas im Kaufprozess hnizufügen, eben einen, für einen Doofen wie mich, Key, den ich unter den Namen Key (!) irgendwie generiere aber auch selbst ablege. Kryptische Namen und Endungen helfen nicht. Wer Weiß, ich habe evtl. den Key finde ihn aber aus besagten Gründen nicht.
→ Ich will diese Datei in den Papierkorb löschen. „Bist du sicher?“ Ja. „Ganz sicher?“ Ja. „Na gut, OK.“ • Ich will dieses Haus sprengen… Rummmms! Aber da kommt keine Rückfrage, analog wie meiner Erinnerung nach für jenen Key.

Daher läuft der Prozess (grob beschrieben) so:
Klingt absolut logisch. Das Dumme ist, Schritt 1 allein hat den Makel. dass ich den nicht finde falls ich ihn erzeugt habe. Kann ich einen Tipp haben in welcher Form ein IIS so etwas auswirft?
Auch Schritt 2 kann ich händisch am IIS, allein ich habe keine Datei (TXT, besinne ich mich rechtens) dort erzeugt um es an »die Vorstufe von Thawte« oder Thawte selbst zu übergeben, samt Key den ich nicht habe.
Schritt 3 - ich habe keinen Dunst was Thwate mit meinen - demnach unzureichenden! - Daten, Eingaben, gemacht hat um mir 2 PEM zu liefern
Schritt 4 - ob ohne oder mit Key, diese PEM scheine mir beim IIS nicht zu helfen…


Kurze Frage: Du sagtest yuvor erwähnt das du github hasst. Darf ich erfahren was du daran nicht magst? Mir fallen da schon gründe ein, aber das bezieht sich vor allem auf teile der Firmenpolitik
Ich wurde einst auf eine GitHub-Seite gelenkt seil ich (ganz dumm und doof) eine Download brauchte. Ich sehe eine Liste mit einem ganzen Haufen… Mist… aber (und da wären wir wieder!) keinen klaren Namen dessen was ich dort benötige und was nicht.
Allein die Usability für Fremde die keine Infos haben ist die zentrale Katastrophe. Die Funktion dieses (nennen wir es so) Containers ist nicht das Problem.

Und noch ein 3. mal die Frage: Zu den Konvertier-Websites: Hast du versucht die zu verwenden um deinen private key zu extrahieren? Beziehungsweise, hast du auf solchen websites Dateien welche du von thawte bekommen hast hochgeladen?
Ich wäre nicht auf die Idee verfallen so eine Key dort zu extrahieren, allenfalls sollte ich einen eingeben.
Ja, ich habe etwas einzugeben versucht (oder, da lüge ich) die Dateien deren Inhalt ich eingegeben habe hochgeladen. Aber alle wollten (unklar definiert, für mich) wohl das Interim, das Root und den Key der mir fehlte.


Falls ich den Key widerfände, und ich ihn Thawte gar nicht übergab, was mache ich nun..?

CN8
 
Zurück
Oben