none
SSL-Zertifikat verlängern (Virtueller 2012 bei Strato) RRS feed

  • Frage

  • Hallo!

    Kurz. ich verzweifle vollständig. Und womöglich habe ich den PrivateKey eines bald ablaufenden Zertifikates verspielt.

    Ich verzweifle auch, da ich viele Dinge und Begriffe vorgesetzt bekommen die einfach nicht in einen Zusammenhang zu bringen sind. Der eine nennt das Ding so, der andere so (denke ich). Dateinamen geben keinen Aufschluss auf Inhalte. Und der IIS möchte gerne Dateien bestimmten Dateityps…

    Einer Aufforderung seitens Strato ein Zertifikat zu verlängern folge ich (wörtlich, per Links) und bekam von Thawte zwei PEM-Dateien die (beim Runterladen) keinen Klarnamen besaßen sondern als Certificate.pem und dann Certificate_ (1).pem auftauchten. Mutmaßlich eins ein Intermediate, das andere in Root-Zertifikat. PEM-Dateien mit denen ich nicht anfangen kann. (Und wenn, was ist dann im ganzen Reigen das CA-Zertifikat?)

    Ich habe nun in den IIS-Funktionalitäten (Google ist auch »unscharf« was gelieferte Anleitungen angeht) einen CSR ausgelöst… Sorry, ich bin blöd, wieso Zertifikate anfordern und wo wenn ich demnach schon eins (..? 2..?) habe? Gut, die TXT lässt sich speichern - und dann? Dann soll man die Anforderung abschließen. Dazu brauche ich eine CER-Datei. Habe ich nicht. Nur PEM. (Nie hätte ich im Dialog mit Thawte eine TXT einrichten können, einen PrivateKey einliefern…)

    Wie bekomme ich also das was ich angeblich besäße (ein Zertifikat) dahin wo es gebraucht wird? Konvertierungssites z.B. wollen einen Key haben. Nun, immerhin kann ich ja das alte Zertifikat (Stichwort Konsolenstamm) exportieren, mit Key. In der Datei ein Abschnitt eines verschlüsseten Keys (-----BEGIN ENCRYPTED PRIVATE KEY-----)

    Versuche ich in Online-Konvertern nun mit jenem Key und einem der PEM einer CER zu erzeugen gelingt das nicht. Hilflose Fehlermeldungen.

    (A) wenn ich hier mit dem vorhandenen Material etwas grob falsch anstelle - wie muss ich das richtig machen? [Kennt jemand zufällig Wege mit dem Plesk das ich da abbekommen habe?]

    (B) wenn ich unvermeidlich den PrivateKey brauche (ihn aber offenbar nicht mehr habe) - was nun? Woher kriege ich nun Key und geeignetes (!) Zertifikatsfile?

    Eric March


    Eric March »Ein Unterschied der keinen Unterschied bewirkt ist kein Unterschied.«

    Montag, 15. Juni 2020 13:54

Alle Antworten

  • Moin,

    ohjee. Du wirst uns hoffentlich nachsehen, dass Dir nicht hier im Forum die Funktionsweise von PKI erklärt wird ;-)

    Benenne mal die heruntergeladenen .PEM-Dateien jeweils in .CER und schau sie Dir an. Falls da wirklich die CA-Zertifikate von Thawte drin sind, pack sie erst mal einfach beiseite, markiere aber, wer die Root ist (Austeller = Antragsteller) und wer die Intermediate (Aussteller = Root, Antragsteller <> Aussteller).

    Dann nimmst Du Deinen CSR, gehst auf das Kundenportal von Thawte und kopierst den Inhalt dort, wo sie das im Beantragungsprozess haben wollen. Zurück bekommst Du vermutlich eine PEM, die Du dann wieder in CER umbenennst und für "Anforderung abschließen" verwendest.

    Ich habe das Gefühl, dass es nicht auf Anhieb funktionieren wird. Vielleicht fragst Du jemanden (nicht allgemein in der Freizeit, sondern konkret für Geld), der sich mit sowas auskennt? Spart Frustration, und Du kannst Dich sinnvolleren Dingen zuwenden.


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Montag, 15. Juni 2020 15:51
  • Hallo Evgenij,

    formulieren wir es so, dass ich das Wenigste davon begreife, nachvollziehen kann.

    Warum sollte ich - und wo genau denn? - mit den mir als Zertifikat (in doppeltem Sinn) verkauften Dateien und einem CSR - den ich woher nehme? - nochmals PEM-Files anfordern? Das sieht mir nach Kreisverkehr aus.

    Ich habe mir die Files natürlich angesehen. Die Norm beglückt mich mit Zertifikatsbeginn und -ende, aber zu deklarieren was das für eins ist (wie gesagt, Thawte liefert identische Dateinamen!), so weit kam man nicht.

    Zum CSR - ich habe bewusst nirgends einen erzeugt! Nach welcher Logik, ohne also eine Anforderung, kann mir Thawte Zertifikate ausstellen? Klar, da habe ich all das eingetragen was die IIS-Dialoge bei der Anforderung wollen, aber eine CSR an sich habe ich nicht bekommen Auch kein Key wurde verlangt. Was haben die mir da also angedreht?

    Ganz offen fühle ich mich hier von den Mechanismen veräppelt. Irgendein Support wird geleistet, man folgt treu den Anweisungen und bekommt Dinge die einem nichts nützten.

    Die Frage was ich mache wenn ich den Personal-Key brauche aber nicht habe ist immer noch offen. Vielleicht ist gerade der der wortwörtliche Schlüssel.

    Welche Online-Services gegen Geld könnte ich anstrengen mir zumindest mit dem existenten Material eine Schritt-für-Schritt-Anleitung zu geben die das Vorhandene nach Analyse passen einsetzt?

    Eric


    Eric March »Ein Unterschied der keinen Unterschied bewirkt ist kein Unterschied.«

    Dienstag, 16. Juni 2020 07:24
  • Warum sollte ich - und wo genau denn? - mit den mir als Zertifikat (in doppeltem Sinn) verkauften Dateien und einem CSR - den ich woher nehme? - nochmals PEM-Files anfordern? Das sieht mir nach Kreisverkehr aus.

    Verlängerung von Zertifikaten funktioniert anders als Verlängerung z.B. von Mietverträgen. Im Zertifikat ist sein Ablaufdatum enthalten, und an dem Tag wird das Zertifikat ungültig. Was wir mit "verlängern" meinen, ist in Wahrheit "neu ausstellen mit denselben Antragstellerdaten und vielleicht auch mit demselben privaten Schlüssel".

    Ich habe mir die Files natürlich angesehen. Die Norm beglückt mich mit Zertifikatsbeginn und -ende, aber zu deklarieren was das für eins ist (wie gesagt, Thawte liefert identische Dateinamen!), so weit kam man nicht.

    Wie ich bereits schrieb, in .CER umbenennen und per Doppelklick öffnen. Da siehst Du alles.

    Zum CSR - ich habe bewusst nirgends einen erzeugt! Nach welcher Logik, ohne also eine Anforderung, kann mir Thawte Zertifikate ausstellen? Klar, da habe ich all das eingetragen was die IIS-Dialoge bei der Anforderung wollen, aber eine CSR an sich habe ich nicht bekommen Auch kein Key wurde verlangt. Was haben die mir da also angedreht?

    Wenn Du bei Thawte einfach Deine gewünschten Daten fürs Zertifikat in ein Web-Formular einträgt, generiert Thawte den CSR (und hat damit auch den Private Key) und erzeugt aus dem CSR dann das Zertifikat. Sie müssen Dir dann beides - den Key und das Zertifikat - zur Verfügung stellen.

    Die Alternative ist, Du erzeugst lokal den CSR und hast damit den Private Key. Den CSR lädst Du bei Thawte hoch, und die stellen Dir ein Zertifikat aus, ohne den Private Key jemals zu Gesicht zu bekommen. Das ist natürlich zu bevorzugen, Du musst dann aber das erhaltene Zertifikat mit dem Private Key (der auf dem System liegt, wo Du den CSR erzeugt hast) zusammenführen. Normalerweise sollte dafür das Importieren des erhaltenen Zertifikats in den Store ausreichen. Das ist es, was IIS mit "Anforderung abschließen" meint.

    Ganz offen fühle ich mich hier von den Mechanismen veräppelt. Irgendein Support wird geleistet, man folgt treu den Anweisungen und bekommt Dinge die einem nichts nützten.

    Die Frage was ich mache wenn ich den Personal-Key brauche aber nicht habe ist immer noch offen. Vielleicht ist gerade der der wortwörtliche Schlüssel.

    Welche Online-Services gegen Geld könnte ich anstrengen mir zumindest mit dem existenten Material eine Schritt-für-Schritt-Anleitung zu geben die das Vorhandene nach Analyse passen einsetzt?

    Von "Online-Services" habe ich nie gesprochen. Du brauchst jemanden, der bescheid weiß.


    Evgenij Smirnov

    http://evgenij.smirnov.de


    Dienstag, 16. Juni 2020 08:53
  • Hallo Evgenij,

    mir war irgendwie klar geworden, dass man Zertifikate nicht verlängern kann (wäre ja per se auch zu einfach, so eine Mechanik) sondern ein neues einpflegen muss. OK.

    Dazu möge man den PrivateKey brauchen… (A) finde ich den nicht, (B) wurde mir beim Kauf des zur Verlängerung gedachten keiner abverlangt.

    Der Blick per Bordmittel in die in CER umbenannten PEM [warum kein genereller Dateityp, warum kann MS nicht einfach damit?] offenbarte nur eins für Thawte bis 2027 (Garatntiert ID des REmomtecomputer, garantiert demselben meine) - ist so was dieses berühmte CA-Zertifikat? Das andere läuft auf die URL für deren HTTPS ich das Zertifikat brauche (die Beschreibung, Garantiert wem wen, ist aber die selbe). Der Pfad verweist auf ein Zertifikat von 2018 (sind ja immer 2 Jahre die ich begleichen muss). Insgesamt habe ich laut den Pfaden eins von DigiCert (Global root CA), darunter eins von Thawte (RAS CA 2018) und dann das für meine URL.

    Damit werden aber offenbar alle Dialoge die ich mit Files ober kopiertem Reintext füttere nicht glücklich. 

    Und in das große Loch mit dem CSR falle ich immer noch. Wenn (=Falls) Thawte über meinen eingetippten CSR einen PrivateKey erzeugt hat habe ich keinen bekommen. Wie ich den für das derzeitiger, in Kürze ablaufende, erzeugt habe ist mir entfallen. Normalerweise hebe ich etwas was wichtig zu sein scheint auf, gerade Private Schlüssel. Was mir Thawte nun erzeugt hat hat diesen P.K. nie gesehen. Was mache ich mit den PEM ohne einen P.K. wenn die ohne meinen, oder einen den ich kenne, erzeugt wurden?

    Ich kann ja gerne im IIS eine(n) CSR erzeugen - aber auch da wird keine P.K. verlangt. Wenn also Key. wo im Prozess muss ich den zufüttern? Wenn offenbar ohne meinen (von Thawte) erzeugt, und durchaus gültig, mit welchen Schritten setze ich das mir Zugestandene ein?

    Grüße,

    Eric

    Nachtrag - ich habe nun mit den in CER umbenannten PEM herumprobiert. Dabei passierte dies:

    Ich konnte zum Zertifikatsanforderungsabschluss meine CER scheinbar hinzufügen, aber nur privat. Verlasse ich den Dialog aber verschwindet das Zertifikat wie von selbst; wobei rechts kein Exportieren zur Verfügung steht so lange es da ist. Versuche ich es unter Webhosting einzupflegen bekommt ich den Fehler beim Entfernen des Zertifikats. (Resultat in beiden Fällen: keine Zertifikat.)

    In der Konsole, SnapIn für Zertifikate, kann ich es importieren; mir fällt da auf, dass das Icon keinen Schlüssel hat. Habe ich mein Zertifikat falsch beantragt; benötige ich eine Neuausstellung (mit einem Key den ich woher nehme und wie in die Hände bekomme)?


    Eric March »Ein Unterschied der keinen Unterschied bewirkt ist kein Unterschied.«


    • Bearbeitet Eric March II Mittwoch, 17. Juni 2020 12:34 Informationen hinzufügen
    Mittwoch, 17. Juni 2020 09:22