Certificaat request maken zonder IIS

Martijn Bellaard — Wed, 06 Jan 2010 11:20:15 GMT

Als ik een TMG implementatie doe en ik moet een SSL website publiceren, dan moet ik beschikken over een prived key van de SSL website. Het komt dan soms voor dat een certificaat opnieuw moet worden aangevraagd. Het aanvragen van een certificaat kan leiden tot wat uitdaging. Vaak wordt zo een certificaat gemaakt op een IIS server. Maar als je geen IIS server tot je beschikking hebt dan is dat lastig. Nu kun je er voor kiezen om IIS op TMG te installeren, maar dit is geen optie.

Het wordt nog lastiger als je een certificaat wilt hebben voor bijvoorbeeld IPSec of code signing. Hiervoor kun je dan gebruik maken van speciale tools, maar deze moet je dan wel net tot je beschikking hebben.

Maar gelukkig is er een andere mogelijkheid. In deze blog behandel ik deze optie voor SSL. Het is ook mogelijk om voor ander zaken een certificaat aan te vragen.

Als eerste log je aan op een Windows 7 werkstation of Windows 2008 (R2) server.
Start een nieuwe MMC op.
Laadt de certificaten snap-in

File è Add/Remove Snap-in
Selecteer Certificates è ADD
OK en Finish

Je kunt deze aanvraag vanuit de gebruiker doen.

Selecteer Personal
Action, All Tasks, Advanced Operations, Create Custom Request
Op het eerste scherm: Next
Selecteer: Proceed without enrollment policy

Nu kun je kiezen uit twee “templates”

(No template) CNG Key
(No template) Legacy Key

CNG key is een “nieuwe” manier voor het opslaan van de sleutels (certificaten). Deze methode heb je alleen op Windows Vista of hoger (http://msdn.microsoft.com/en-us/library/bb931355(VS.85).aspx). We kiezen voor CNG en gaan het opslaan als een PKCS #10 formaat. Hierbij geldt wel dat de CA waar je het certificaat gaat aanvragen dit formaat moet ondersteunen.

Nu komt het “lastige” gedeelte. We moeten nu zelf gaan aangeven waar de key voor dient.

Klik op “Details”
Properties

We gaan nu de properties van het certificaat invullen.

Tabblad General

Friendly name: Een naam voor het certificaat. Maakt niet uit wat.

Tabblad Subject

Subject name

Type: Common Name
Value: De URL van de website

Tabblad Extensions

Key Usage: Digital signature
Extended Key Usage (Application policies): Server Authentication
Basic Constraints: Enable this extension, de rest laten we default

Tabblad Private key

Key Options: Make private key Exportable, we willen hem later kunnen exporteren en importeren op andere server. Je kunt hier ook kiezen voor een grote Key size. Default is 102.

We zijn nu klaar met alles invullen, druk op OK
Next
Sla het nu op als Base 64 bestand.

Nu heb je een request file zoals deze door bijvoorbeeld IIS wordt gemaakt. Hiermee kun je naar je eigen SSL provider gaan en een certificaat request doen. Het bestand dat je terug krijgt importeer je weer op dezelfde computer als waar je het request hebt gemaakt. Nu kun je de private key exporteren en ergens anders importeren.

Martijn Bellaard

Search results matching tags 'Exchange Server 2010', 'directaccess', 'Security', 'Windows Server 2008 R2', 'Internet', 'Certificaat', and 'Forefront Unified Access Gateway'

Certificaat request maken zonder IIS