11
SSL-Zertifikat und Key in das PKCS-Format konvertieren?
Hi,
ich habe folgendes Problem:
Das SSL-Zertifikat von meinem Server 2008 R2 mit IIS7 und Exchange Server 2010 läuft demnächst aus, also habe ich das vorhandene bei GlobeSign verlängern lassen.
Ich hab in folge der Verlängerung aber lediglich die Zertifikate für CSR, CRT und CA bekommen. Diese lassen sich nicht in mein IIS7 importieren.
Wenn ich dort als Zertifikat installieren das CRT hinzufüge, erscheint es zwar kurz auf der Liste der installierten Zertifikate, verschwindet aber nach wenigen Sekungen wieder.
GlobSign sagte mir folgendes:
Sollten Sie versehentlich den CRS nicht im IIS erzeugt haben (sondern z.B. durch uns oder anderweitig), ist es nötig, Zertifikat und Key in das PKCS-Format zu konvertieren. Mit OpenSSL.:
Kopieren Sie beide Textblöcke (und evtl. auch das CA) in eine txt-Datei, z.B. key_und_crt.txt
Dann auf einen PC im OpenSSL-Verzeichnis folgenden Beehl ausführen:
openssl pkcs12 -in key_und_crt.txt -out key_und_crt.pfx -export
Aber wenn ich das mache, erhalte ich folgenden Fehler:
C:\OpenSSL-Win32\bin>openssl pkcs12 -in C:\cert\key_und_crt.txt -out key_und_crt.pfx -export
WARNING: can't open config file: /usr/local/ssl/openssl.cnf
Loading 'screen' into random state - done
unable to load private key
2836:error:0906D06C:PEM routines:PEM_read_bio:no start line:.\crypto\pem\pem_lib.c:696:Expecting: ANY PRIVATE KEY
Danke für die Hilfe
Ich hab in folge der Verlängerung aber lediglich die Zertifikate für CSR, CRT und CA bekommen. Diese lassen sich nicht in mein IIS7 importieren.
Wenn ich dort als Zertifikat installieren das CRT hinzufüge, erscheint es zwar kurz auf der Liste der installierten Zertifikate, verschwindet aber nach wenigen Sekungen wieder.
GlobSign sagte mir folgendes:
Sollten Sie versehentlich den CRS nicht im IIS erzeugt haben (sondern z.B. durch uns oder anderweitig), ist es nötig, Zertifikat und Key in das PKCS-Format zu konvertieren. Mit OpenSSL.:
Kopieren Sie beide Textblöcke (und evtl. auch das CA) in eine txt-Datei, z.B. key_und_crt.txt
Dann auf einen PC im OpenSSL-Verzeichnis folgenden Beehl ausführen:
openssl pkcs12 -in key_und_crt.txt -out key_und_crt.pfx -export
Aber wenn ich das mache, erhalte ich folgenden Fehler:
C:\OpenSSL-Win32\bin>openssl pkcs12 -in C:\cert\key_und_crt.txt -out key_und_crt.pfx -export
WARNING: can't open config file: /usr/local/ssl/openssl.cnf
Loading 'screen' into random state - done
unable to load private key
2836:error:0906D06C:PEM routines:PEM_read_bio:no start line:.\crypto\pem\pem_lib.c:696:Expecting: ANY PRIVATE KEY
Danke für die Hilfe
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 183882
Url: https://administrator.de/contentid/183882
Printed on: April 26, 2024 at 02:04 o'clock
11 Comments
Latest comment
Moin,
bei welchen Hoster hast du das SSL-Zertifikat beantragt? Meistens stellen diese auch die PKCS Datei zur Verfügung. Und wenn nicht, gibt es in den FAQ einen Eintrag wie man diese erstellt.
Grüße,
Dani
bei welchen Hoster hast du das SSL-Zertifikat beantragt? Meistens stellen diese auch die PKCS Datei zur Verfügung. Und wenn nicht, gibt es in den FAQ einen Eintrag wie man diese erstellt.
Grüße,
Dani
Hi, danke.
Bei www.hosteurope.de und die haben folgenden FAQ-Eintrag, aber das funktioniert ja leider nicht (s.o.):
Sollten Sie versehentlich den CSR nicht im IIS erzeugt haben (sondern z.B. durch uns oder anderweitig), ist es nötig, Zertifikat und Key zunächst in das PKCS-Format zu konvertieren. Dies gelingt so:
Kopieren Sie beide Textblöcke (und je nach Zertifikatstyp notwendige CA-Zertifikate) in eine (Text-)Datei, z.b. key_und_crt.txt.
Installieren Sie "openssl" (http://www.openssl.org/). Unter Linux ist dies oft vorinstalliert.
Führen Sie das Kommando wie folgt aus: $ openssl pkcs12 -in key_und_crt -out key_und_crt.pfx -export
Enter Export Password:
Verifying - Enter Export Password:
Notieren Sie sich das gewählte Passwort; es darf nicht leer sein.
Kopieren Sie die .pkcs12-Datei auf den Server und importieren Sie dies als neues Zertifikat für die Domain ("Zertifikat aus eine PFX-Datei importieren"). Ggf. müssen davor schon installierte Zertifikate gelöscht werden.
Bei www.hosteurope.de und die haben folgenden FAQ-Eintrag, aber das funktioniert ja leider nicht (s.o.):
Sollten Sie versehentlich den CSR nicht im IIS erzeugt haben (sondern z.B. durch uns oder anderweitig), ist es nötig, Zertifikat und Key zunächst in das PKCS-Format zu konvertieren. Dies gelingt so:
Kopieren Sie beide Textblöcke (und je nach Zertifikatstyp notwendige CA-Zertifikate) in eine (Text-)Datei, z.b. key_und_crt.txt.
Installieren Sie "openssl" (http://www.openssl.org/). Unter Linux ist dies oft vorinstalliert.
Führen Sie das Kommando wie folgt aus: $ openssl pkcs12 -in key_und_crt -out key_und_crt.pfx -export
Enter Export Password:
Verifying - Enter Export Password:
Notieren Sie sich das gewählte Passwort; es darf nicht leer sein.
Kopieren Sie die .pkcs12-Datei auf den Server und importieren Sie dies als neues Zertifikat für die Domain ("Zertifikat aus eine PFX-Datei importieren"). Ggf. müssen davor schon installierte Zertifikate gelöscht werden.
Bei www.hosteurope.de und die haben folgenden FAQ-Eintrag, aber das funktioniert ja leider nicht (s.o.):
Da kannst du PKCS fertig runterladen. Im Dropdown sollte es einen Eintrag mit den Namen "Windows kom....". Das Passwort ist deine Kundenummer. Dieses File kannst du unter Exchange 2010 problemlos einspielen. Machen wir genauso
Allerdings frage ich mich gerade wie du das Zertifikat beantragt hast oder ist es ein Wildcard?! Denn ansonsten hättest du für die Domain einen Request auf dem Exchange erzeugen müssen.
Grüße,
Dani
Danke, aber find da nix 
http://r1chy.de/zert.jpg
Hab keinen Request erstellt, sondern auf meinem Host Europe Portal nur auf "Verlängern" geklickt.
http://r1chy.de/zert.jpgHab keinen Request erstellt, sondern auf meinem Host Europe Portal nur auf "Verlängern" geklickt.
Seltsam... mach am Besten ein Ticket auf. Da stimmt was nicht...
Grüße,
Dani
Grüße,
Dani
Danke für den Tipp, hab ich dann gestern auch noch gemacht.
Aber die schieben die Schuld jetzt auf meinen Server und der wird nicht supportet. Super!
Ich will doch nur ne PKCS-Datei...
PS: Auf nem Linux bekomm ich übrigens den gleichen Fehler: http://www.r1chy.de/openssl-fehler.png
Aber die schieben die Schuld jetzt auf meinen Server und der wird nicht supportet. Super!
Ich will doch nur ne PKCS-Datei...
PS: Auf nem Linux bekomm ich übrigens den gleichen Fehler: http://www.r1chy.de/openssl-fehler.png
Aber die schieben die Schuld jetzt auf meinen Server und der wird nicht supportet. Super!
Äh? Wie was wo?Grüße,
Dani
Ah, danke
Aber das hat leider auch nicht funktioniert...
Hab zunächst einen RSA private key erstellt:
C:\Openssl\bin\openssl.exe genrsa -out <Key Filename> <Key Size>
Und dann mit meiner CRT-Datei von Host Europe eine PKCS#12 erstellen:
C:\Openssl\bin\openssl.exe pkcs12 -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES -export -in <Public Certificate Filename> -inkey <Private Key Filename> -out <PKCS#12 Filename> -name "<Display Name>"
Aber dann erhalte ich folgenden Fehler:
No certificate matches private key
Aber das hat leider auch nicht funktioniert...
Hab zunächst einen RSA private key erstellt:
C:\Openssl\bin\openssl.exe genrsa -out <Key Filename> <Key Size>
Und dann mit meiner CRT-Datei von Host Europe eine PKCS#12 erstellen:
C:\Openssl\bin\openssl.exe pkcs12 -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES -export -in <Public Certificate Filename> -inkey <Private Key Filename> -out <PKCS#12 Filename> -name "<Display Name>"
Aber dann erhalte ich folgenden Fehler:
No certificate matches private key
vielen Dank für Ihre Anfrage. Für deren Bearbeitung ist es für uns notwendig, dass Sie diese über das KIS und dort über das passende Formular für Serveraufträge (https://kis.hosteurope.de/support/supportanfrage/) einreichen, da Sie Änderungen an Ihrem Server durch uns wünschen oder ein Zugang zur Fehlersuche erforderlich ist.
Das Problem ist nicht auf einem Server von Host Europe, sondern auf meinem privaten zuhause. Ich habe lediglich das SSL-Zertifikat über Host Europe gekauft.
Das Problem ist nicht auf einem Server von Host Europe, sondern auf meinem privaten zuhause. Ich habe lediglich das SSL-Zertifikat über Host Europe gekauft.
Das Problem ist nicht auf einem Server von Host Europe, sondern auf meinem privaten zuhause. Ich habe lediglich das SSL-Zertifikat über Host Europe gekauft.
Ist bei uns ebenfall so.. wir haben es auf unserem Exchangeserver am Laufen. 
