Erstellen eines SAN (Subject Alternative Name)-Zertifikats - 01.07.2012
von Thomas Windscheif / Microlinc
Diese Anleitung behandelt das Thema Erstellen eines selbstsignierten SAN-Zertifikats (Subject Alternative Name) für von der Domain abweichende Domains z.B. Subdomains. Voraussetzung ist ein eigener Zertifizierungsserver wie bei z.B. Windows Small Business Server 2011.
I. Zertifikatanforderung für SAN erstellen
1. Unter Start "mmc" eingeben und der Return-Taste bestätigen. (U. U. meldet sich die Benutzerkontensteuerung, 2. bestätigen Sie mit "Ja" bzw. "Fortsetzen")
3. In der Menüleiste "Datei" wählen und "Snap-In hinzufügen/entfernen..." wählen.
4. Auf der linken Seite des Dialogs am Ende der Liste "Zertifikate" wählen und auf "Hinzufügen" klicken.
5. Bei dem nun erscheinden Dialog wählen Sie "Computerkonto" aus, klicken Sie dann auf "Weiter" und wählen Sie dort "lokalen Computer" und "Fertigstellen".
7. Auswahl mit "OK" bestätigen.
8.Dann unter "Zertifikate (lokaler Computer)" auf "Eigene Zertifikate" mit rechter Maustaste klicken, "Alle Aufgaben">"Erweiterte Vorgänge">"Benutzerdefinierte Anforderung erstellen..." anklicken.
9. 2x auf "Weiter" klicken.
10. Wählen Sie unter Vorlage: "Webserver" wählen & PKCS #10 wählen und klicken Sie auf "Weiter".
11. Dann auf "Detail"s in der Mitte des Fensters klicken.
12. Button "Eigenschaften" wählen.
13. Reiter "Antragsteller" wählen.
14. Unter Rubrik "Antragstellername", "Allgemeiner Name" wählen und den Namen der Domain eintragen z.B. "meinedomain.de", hinzufügen anklicken.
15. Unter Rubrik "Alternativer Name" unter Typ "DNS" wählen und unter wert die eben eingebene Domain eingeben z.B. "meinedomain.de" eintragen und dann auf "Hinuzufügen" klicken.
Diesen Vorgang für alle Subdomains wiederholen z.B. "intern.meinedomain.de" etc. .
16. Reiter "Allgemein" wählen beliebigen Anzeigenamen unter "Anzeigenamen" eintragen.
17. Anschließend den Reiter "Privater Schlüssel" wählen.
18. Rubriken erweitern und unter Schlüsseloptionen, Haken bei "Privaten Schlüssel exportierbar machen" wählen.
19. Auf "OK" klicken.
20. Auf Button "Weiter" klicken.
21. Den Ort für die Offlineanforderung definieren (z.B. den Desktop).
22. Alle geöffneten Fenster schließen.
23. Anschließend auf dem Desktop prüfen ob die Datei erstellt wurde. Unter Umständen muss die Dateiendung .req noch angefügt werden.
II. Zertifikat anfordern und speichern.
1. Unter Start>Systemsteuerung>Verwaltung die Zertifizierungsstelle öffnen.
2. Wählen Sie Ihren Server aus der Wurzelstruktur aus und klicken Sie diesen mit den rechten Maustaste an.
3. Wählen Sie "Alle Aufgaben", "Neue Anforderung einreichen".
4. Wählen Sie im nachfolgenden Dateidialog die Datei aus die eben unter I. erstellt wurde und klicken Sie auf "Öffnen".
5. Geben Sie dann den Pfad an wo das Zertifikat gespeichert werden soll, klicken Sie anschließend auf "Speichern".
III. Zertifikat in lokalen Zertifikatspeicher importieren
1. Unter Start "mmc" eingeben und der Return-Taste bestätigen. (U. U. meldet sich die Benutzerkontensteuerung, bestätigen Sie mit "Ja" bzw. "Fortsetzen")
2. In der Menüleiste "Datei" wählen und "Snap-In hinzufügen/entfernen..." wählen.
3. Auf der linken Seite des Dialogs am Ende der Liste "Zertifikate" wählen und auf "Hinzufügen" klicken.
4. Bei dem nun erscheinden Dialog wählen Sie "Computerkonto" aus, klicken Sie dann auf "Weiter" und wählen Sie dort "lokalen Computer" und "Fertigstellen".
5. Auswahl mit "OK" bestätigen.
6. Dann unter "Zertifikate (lokaler Computer)" auf "Eigene Zertifikate" mit rechter Maustaste klicken, "Alle Aufgaben">"Importieren..." wählen.
7. "Weiter" klicken.
8. Auf "Durchsuchen" klicken und nach dem unter II. erstellten Zertifikat suchen.
9. Klicken Sie auf "Weiter".
10. Sofern nicht bereits ausgewählt, wählen Sie "Alle Zertifikate in folgendem Speicher speichern" und wählen Sie mittels "Durchsuchen" den Zertifikatsspeicher "Eigene Zertifikate".
11. Klicken Sie anschließend auf "Weiter" und abschließend auf "Fertigstellen".
IV. Zertifikat mit privaten Schlüssel exportieren
1. Öffnen Sie wie unter III. beschrieben den lokalen Zertifikatspeicher und wählen Sie unter "Zertifikate">"Eigene Zertifikate">"Zertifikate" das Zertifikat mit einem Doppelklick aus welches Sie eben erstellt haben.
2. Wählen Sie den Reiter "Details" und klicken Sie auf dem Button "In Datei kopieren...".
3. Klicken Sie auf "Weiter".
4. Wählen Sie "Ja, privaten Schlüssel exportieren" und klicken Sie auf "Weiter".
5. Wählen Sie alle Punkte außer "Privaten Schlüssel nach erfolgreichem Export löschen" an.
6. Klicken Sie auf "Weiter".
7. Geben Sie ein Passwort ein (Bitte notieren, es wird später benötigt) und klicken Sie auf "Weiter".
8. Wählen Sie den Speicherort z.B. den Desktop durch Klicken des Buttons "Durchsuchen" aus.
9. Klicken Sie auf "Weiter".
10. Klicken Sie abschließend auf "Fertig stellen".
11. Das Zertifikat liegt nun als PFX-Datei auf dem jeweiligen Speicherort und kann nun in den jeweiligen Webserver importiert werden.
Beachten Sie bitte das die Browser bei Verbindung auf Webseiten mit selbstsignierten Zertifikaten melden das die Zertifikatsstelle nicht vertrauenswürdig scheint. Um dieses Problem zu vermeiden müssen Sie das root-Zertifikat der Zertifizierungsstelle in den Zertifikatsspeicher der verbindenden Clients importieren. (siehe dazu: http://microlinc.homeip.net/index.php?lev1=3&lev2=5&lev3=2&id=75, Abschnitt: "Export des Root-Zertifikats (Root-CA)")
Falls Sie den privaten Schlüssel ohne Passwortschutz benötigen, können Sie diesen aus der Datei mit Hilfe von OpenSSL extrahieren.