Zusammenfassung

Wenn man ein Server-Zertifikat erhalten hat, muss man noch alle nötigen Zertifikate und Schlüssel in den Zertifikatsspeicher des Computerkonto importieren und danach den IIS-Webserver entsprechend konfigurieren.


Diese Anleitung richtet sich besonders an folgende Zielgruppen:

  • Studierende
  • Zweit- und Gasthörende
  • Lehrende
  • Mitarbeitende
  • Einrichtungen und Gremien (z.B. Fachschaftsräte)
  • Arbeitsbereiche / Gruppen (z.B. Projekte)
  • Sekretariate
  • Gäste der Friedrich-Schiller-Universität

Schritt-für-Schritt-Anleitung

  1. Öffnen der Management-Konsole.
  2. Hinzufügen vom Snap-In Zertifikate für das Computerkonto.
  3. Anschließend die CA-Zertifikate importieren (rechter Mausklick!).
    1. Das Wurzelzertifikat DFN-Verein PCA Classic - G01 wird unter Vertraute Herausgeber importiert.
    2. Das Zertifikat der Uni Jena wird unter Vertrauenswürdige Stammzertifizierungsstellen importiert, damit der Webserver, die gesamte Zertifikatskette liefern kann.
  4. Bei Ausstellung eines Zertifikat erhält man eine Mail mit dem neuen Zertifikat im PEM-Format.
    Aus der Mail alle Zeilen zwischen den Trennzeilen -----BEGIN CERTIFICATE----- und -----END CERTIFICATE----- inklusive dieser Trennzeilen in die Datei cert.pem kopieren. Nun muss aus dem privaten Schlüssel private_key_enc.pem und dem neuen Zertifikat cert.pem des Webservers eine sogenannte PKCS12-Datei gebaut werden, damit Windows nicht nur das Zertifikat sondern auch den geheimen, privaten Schlüssel importieren kann (für die Übersichtlichkeit sind hier Zeilenumbrüche eingefügt):


    openssl pkcs12 
    
      -export 
      -passin pass:geheim 
      -passout pass:geheim2 
      -inkey private_key_enc.pem 
      -in cert.pem 
      -out winsslcer.p12
           

    Darin ist geheim2 das Export/Import-Passwort, dass später beim Importieren eingegeben werden muss. "geheim" bzw. "geheim2"ist nur ein Beispiel!
    Die PKCS12-Datei winsslcer.p12 enthält nun den geheimen, privaten Schlüssel und das neue Zertifikat des Webservers in einem Format, das Windows verarbeiten kann.

  5. Diese neu erzeugte Datei winsslcer.p12 muss unter Eigene Zertifikate für den lokalen Computer importiert werden. Das Passwort, das eingegeben werden muss, ist das zuvor vereinbarte Export/Import-Passwort (in diesem Beispiel geheim2).
  6. Im letzten Schritt muss noch der IIS so konfiguriert werden, dass dieser das neue Zertifikat verwendet.
     



Verwandte Artikel

Titel: "Serverzertifikate"

Stand: 27.05.2022