Zertifikat mit IIS7/7.5 anfordern

Mit Windows 2008 hat Microsoft auch die Oberfläche zur Steuerung und Konfiguration des Webservers (IIS7/7.5) radikal verändert. Ich habe auch einige Minuten gesucht, bis ich mich wieder zurecht gefunden habe. Diese Seite beschreibt, die Sie ein Zertifikat mit den Windows 2008 Bordmitteln anfordern, installieren und konfigurieren

Starten Sie dazu wie gewohnt den Manager für die Internetdienste aber wählen Sie nun den Server selbst aus, damit sie im mittleren Abschnitt die "Serverzertifikate" auswählen und per Doppelklick oder "Feature öffnen" aktivieren können.

Danach ändert sich das Bild dergestalt, dass in der Mitte nun alle Zertifikate aufgelistet werden, die für einen Betrieb mit dem Webserver verwendbar sind. Sie sehen hier z.B.: ein Selbstzertifikat (ausgestellt von nawsv003), drei Zertifikate von der Net at Work eigenen Zertifizierungsstelle und ein offizielles Zertifikat von GoDaddy. Am rechten Rand erscheinen nun die Menüs zum erstellen einer Anforderung und die Verarbeitung einer Antwort der Zertifikatsstelle.

Der erste Schritt besteht natürlich im Erstellen einer Anforderung, die durch einen Assistenten begleitet wird

Wichtig ist hier der "Gemeinsame Name", welcher identisch zum DNS-Namen der Webserveradresse sein muss. Die Clients prüfen den im Browser eingegebenen Namen mit diesem Wert und eine fehlende Übereinstimmung ergibt eine unschöne Warnung

Kein SAN-Zertifikat
Dieser Assistent unterstützt sie NICHT bei der Generierung einer Anforderung für ein Zertifikat mit mehreren Namen ! Dies können Sie aber über den Zertifikatsassistenten von Windows 7 und Windows 2008 machen

Das nächste Fenster fordert zur Auswahl eines Anbieters und der Schlüssellänge auf. Da RSA768 mittlerweile als gebrochen angesehen wird und 1024Bit für 2015 als unsicher gelten darf, sollten Sie prüfen, ob ihre Zertifizierungsstelle auch 2048 oder 4096 Bit Schlüssellänge unterstützt.

Dann gilt es nur noch die Anforderung in eine Datei zu speichern.

Die soeben geschriebene Datei können Sie sich mit einem Texteditor ihrer Wahl anzeigen lassen (Hier gekürzt). Hier ist NICHT ihr privater Schlüssel enthalten sondern nur die von ihnen gemachten Angaben zum Namen, Ort, etc und natürlich der öffentliche Schlüssel. Der private Schlüssel bleibt auf ihrem Computer.

Diesen Text senden Sie an die Zertifizierungsstelle, die nach einer Prüfung ihnen ein Zertifikat zurück sendet. Das Zertifikat ist eben wieder diese Information der Anforderung und diesmal digital signiert mit dem Zertifikat der Zertifizierungsstelle. Die Antwort der Zertifizierungsstelle wird wieder als Datei gespeichert und über den Punkt "Zertifikatsanforderung abschließen" importiert.

Nach Abschluss des Assistenten finden Sie das Zertifikat im lokalen Zertifikatsspeicher, den sie auch im IIS-Manager sehen.

Damit ist das Zertifikat aber erst mal nur im lokalen Speicher.

Auf ihrem Computer ist nicht nur das Zertifikat sondern auch der private Schlüssel dazu gespeichert. Diese Information sollten sie besonders dann nicht verlieren, wen Sie ihr Zertifikat bei einer offiziellen Zertifizierungsstelle gekauft haben. Mein erster Schritt ist daher der Export des Zertifikats samt privatem Schlüssel in eine PFX-Datei, welche durch ein Kennwort geschützt wird.

Nun müssen Sie das Zertifikat nur noch an die gewünschte Webseite binden. Dazu gehen Sie zur entsprechenden Website und bearbeiten die Bindungen.

Weitere Links