Für die Erstellung eines offiziellen Server-Zertifikats, unterzeichnet von einer Certificate-Authority (CA) der Firma, muss zunächst eine Zertifikats-Anfrage erstellt werden.

Die Anfrage wird von der CA unterzeichnet.

Das Zertifikat wird in den Zertifikatspeicher des Servers re-importiert.

Alle Clients müssen der CA vertrauen.

Rufen Sie auf dem Server "certlm" auf:

Computerzertifikate verwalten

certlm.msc

Klicken Sie im certlm [Zertifikate - Lokaler Computer] unter Eigene Zertifikate -> Zertifikate unter Alle Aufgaben -> Erweiterte Vorgänge auf Benutzerdefinierte Anforderung erstellen....

Benutzerdefinierte Anforderung erstellen...

-> Der Dialog Zertifikatregistrierung -> Vorbereitung wird geöffnet.

Klicken Sie Weiter.

Vorbereitung

Wählen Sie die Option Vom Administrator konfiguriert (sofern vorhanden) und klicken Sie Weiter.

Zertifikatregistrierungsrichtlinie auswählen

-> Der Dialog Zertifikatregistrierung -> Benutzerdefinierte Anforderung wird geöffnet.

Benutzerdefinierte Anforderung

Wählen Sie die Vorlage Webserver bzw. diejenige, welche die Administration vorschreibt.

Webserver

Klicken Sie Weiter.

-> Der Dialog Zertifikatregistrierung -> Zertifikatsinformationen wird geöffnet.

Klicken Sie den Button Eigenschaften.

Zertifikatsinformationen

-> Der Dialog Zertifikateigenschaften wird geöffnet.

Wählen Sie auf der Registerseite Antragsteller unter Antragstellername -> Typ die Option Allgemeiner Name und tragen Sie unter Wert Folgendes ein:

server.domain

Klicken Sie Hinzufügen >.

Zertifikateigenschaften > Antragsteller

-> Der Wert wird nun auf der rechten Seite angezeigt.

Zertifikateigenschaften > Antragsteller

Fügen Sie unter Alternativer Name mit Typ "DNS" alle Varianten des Server-Hostnamens ein und klicken Sie jeweils Hinzufügen.

-> Die Werte werden auf der rechten Seite angezeigt.

Zertifikateigenschaften > Antragsteller

Wechseln Sie auf die Registerseite Allgemein und fügen Sie die Beschreibung des Zertifikats ein.

Zertifikateigenschaften > Allgemein

Wechseln Sie auf die Registerseite Erweiterungen und verifizieren Sie, dass diese Schlüsselverwendungen selektiert sind:

"Schlüsselverwendung" und "Erweiterte Schlüsselverwendung"

Wechseln Sie auf die Registerseite Privater Schlüssel.

Verifizieren Sie die Eigenschaften unter Kryptografiedienstanbieter.

Die Schlüsselgröße sollte 2048 oder größer sein.

Zertifikateigenschaften > Privater Schlüssel

Schlüsseltyp: Es sollte die Option Austausch gewählt werden.

Zertifikateigenschaften > Privater Schlüssel

Schlüsselberechtigungen:

Aktivieren Sie die Option Benutzerdefinierte Berechtigungen verwenden und klicken Sie dann auf den Button Berechtigungen festlegen.... Wählen Sie die Berechtigungen so, dass der Benutzer, unter dem der AppServer läuft, Zugang zum privaten Schlüssel hat.

Bestätigen Sie mit OK.

-> Es wird nun wieder der Dialog Zertifikatsinformationen angezeigt.

Zertifikatsinformationen

Klicken Sie Weiter.

-> Es wird der Dialog Wohin möchten Sie die Offlineanforderung speichern? angezeigt.

Bestimmen Sie den Dateiname der zu generierenden Zertifikatanforderung und klicken Sie Fertig stellen.

Wohin möchten Sie die Offlineanforderung speichern?

Senden Sie nun die Datei servercert.req an die Administration, damit diese die Anfrage mit der Firmen CA unterzeichnet.

Sie werden ein unterzeichnetes Zertifikat als *.crt Datei zurückbekommen.

Importieren Sie das Zertifikat wieder in den lokalen Store unter Eigene Zertifikate > Zertifikate (als Admin).

Selektieren Sie dazu das Zertifikat, öffnen Sie das Kontextmenü und klicken Sie auf Zertifikat installieren oder im certlm unter Eigene Zertifikate > Zertifikate auf den Kontextmenübefehl Alle Aufgaben > Importieren.

Zertifikat installieren

Importieren...

Nach dem Import des Zertifikats, sollte der Dialog Zertifikatsinformationen anzeigen "Sie besitzen einen privaten Schlüssel für dieses Zertifikat".

Zertifikatsinformationen