slacc

  • Home
  • Lockpicking
  • rad1o badge
  • Kontakt

Linux Apache SSL-Zertifikat über Windows Server 2012 R2 PKI anfordern

Geschrieben am 2. Februar 2018 Von slacc

Intranet Linux Apache Server mit SSL-Verschlüsselung die von Domänen-Client-PCs als „sicher“ eingestuft wird.

Windows Server:
servername.firma.intern als DNS Eintrag auf dem DC hinzufügen:
DNS-Manager
DNS -> DC -> Forward-Lookupzonen -> firma.intern
Rechtsklick -> Neuer Host
Name -> Servername
IP-Adresse -> IP vom Server eintragen (für diese Anleitung verwende ich im folgenden 192.168.1.23 als IP)
-> Host hinzufügen

 
Linux Server:

mkdir /etc/apache2/ssl
cd /etc/apache2/ssl
openssl genrsa 2048 > server.key

openssl req -new -sha256 -key ./server.key > request.csr
Country Name (2 letter code) [AU]:DE
State or Province Name (full name) [Some-State]:Bundesland
Locality Name (eg, city) []:Stadt
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Firma
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:servername.firma.intern
Email Address []:email@firma.de

Please enter the following ‚extra‘ attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

cat request.csr
in die Zwischenablage kopieren

Windows Server:
Es muss die Rolle Active Directory-Zertifikatdienste aktiv sein (Zertifizierungsstelle und Zertifizierungsstellen-Webregistrierung).

Powershell (dies aktiviert SAN damit auch Chrome das Zertifikat akzeptiert):

certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
certutil -setreg ca\csp\CNGHashAlgorithm SHA256
net stop certsvc
net start certsvc

Internet Explorer als Admin starten
http://server/certsrv
-> Ein Zertifikat anfordern
-> erweiterte Zertifikatanforderung
-> Reichen Sie eine Zertifikatanforderung ein, die eine Base64-codierte CMD- oder PKCS10-Datei verwendet…

Zertifikat- oder Erneuerungsanforderung einreichen
Base-64-codierte Zertifikatsanforderung (CMC oder PKCs #10 oder PKCS #7)
-> aus Zwischenablage einfügen

Zertifikatsvorlage: Webserver

bei Attribute:

san:dns=servername.firma.intern&dns=192.168.1.23&ipaddress=192.168.1.23

-> Einsenden

Zertifikat wurde ausgestellt
-> Base-64-codiert
-> Download des Zertifikats

mit WinSCP auf den Linux Server kopieren

 
Linux Server:

mv /home/user/certnew.cer /etc/apache2/ssl/server.cer
chown root:root server.cer
chmod -R 600 /etc/apache2/ssl

vi /etc/apache2/sites-available/default-ssl.conf
einfügen:
SSLCertificateFile /etc/apache2/ssl/server.cer
SSLCertificateKeyFile /etc/apache2/ssl/server.key

a2enmod ssl
a2ensite default-ssl
systemctl reload apache2

Dann sollten Edge und Chrome https://servername.firma.intern/ und https://192.168.1.23/ akzeptieren.

Im Firefox muss man noch eine Einstellung setzen damit Domänen-Zertifikate funktionieren:
about:config
security.enterprise_roots.enabled von false auf true setzen (Rechtsklick -> umschalten)

Veröffentlicht unter Allgemein, Linux, Server 2012r2, Windows |
« Dateien in VM unter Server 2012r2 Hyper-V kopieren
AppleTV AirPlay Schwarzer Bildschirm »

Hinterlassen Sie einen Kommentar Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Neue Beiträge

  • Probleme mit Python GnuGP
  • ESP8266+BME280 influxDB Anbindung
  • kostenloses DynDNS mit inwx und FritzBox
  • AppleTV AirPlay Schwarzer Bildschirm
  • Linux Apache SSL-Zertifikat über Windows Server 2012 R2 PKI anfordern

Neue Kommentare

  • tweg bei kostenloses DynDNS mit inwx und FritzBox
  • Damian bei AppleTV AirPlay Schwarzer Bildschirm
  • SEO freundliche Links bei Wordpress | slacc bei Hallo Welt!

Archive

  • Oktober 2019
  • August 2019
  • März 2018
  • Februar 2018
  • Januar 2018
  • Mai 2017
  • April 2017
  • April 2016
  • August 2015
  • November 2014
  • Oktober 2014
  • August 2014
  • Juni 2014
  • April 2014
  • März 2014
  • Februar 2014
  • Januar 2014
  • Dezember 2013
  • November 2013
  • Oktober 2013

Kategorien

  • Allgemein
  • Android
  • Catcontent
  • Excel
  • Exchange
  • Galaxy S5
  • Hyper-V
  • Impressionstechnik
  • Kali Linux 2.0
  • Linux
  • Lockpicking
  • Mac
  • Minecraft
  • OFFEN!
  • Office
  • Office365
  • Outlook
  • rad1o badge
  • Raspberry Pi
  • Remotedesktop
  • root
  • Samsung
  • SEO
  • Server 2008 R2
  • Server 2012r2
  • Terminalserver
  • VoIP
  • Windows
  • Wordpress

Meta

  • Anmelden
  • Beitrags-Feed (RSS)
  • Kommentare als RSS
  • WordPress.org

CyberChimps WordPress Themes

© slacc