Neues Zertifikat beantragen oder Verlängerung mittels CSR Request

Auf dem Rechner CTXGW unter Verwaltung den Internetinformationsdienste-Manager starten. Dann eine neue Webseite erstellen – diese dient nur als Dummy. Die Eigenschaften mittels Rechtsklick öffnen und im Reiter Verzeichnissicherheit auf Serverzertifikat klicken. Dann ein neues Zertifikat erstellen mit allen relevanten Daten – das Request Textfile speichern. Mit diesem Request (CSR) kann dann ein neues Zertifikat bestellt werden.

Wenn die Bestätigungs-Email vom Trustcenter angekommen ist (mit dem Server-Zertifikat) kann die eigentliche Installation beginnen. Hier: http://www.trustcenter.de/suchen kann dann das Zertifikat gesucht und herunter geladen werden (als PEM). Alternativ kann natürlich auch das Zertifikat aus der e-Mail heraus kopiert werden – dann aber unbedingt darauf achten keine zusätzlichen Zeichen mit zu kopieren.

Installation (auf Windows Server 2003)

Den vom TrustCenter heruntergeladenen PEM Schlüssel (nicht die PKCS7-Datei) auf nem USB Stick ziehen – als meincert.pem in folgender Beschreibung benannt. Dazu noch das alte Zertifikat aus der mmc Konsole ebenfalls auf den USB Stick exportieren (alt.pfx) – unbedingt mit dem privaten Schlüssel zusammen.

Die mmc Konsole startet Ihr wie folgt: Einfach im Ausführen Dialog mmc aufrufen :-) Dort dann als neuen Snap-In Zertifikate / Computerkonto / lokaler Computer auswählen. Die Zertifikate sollten eigentlich unter “Eigene Zertifikate” liegen. Bei einem Neuantrag liegt der Schlüssel zum exportieren unter Zertifizierungsanforderungen / Zertifikate. In diesem Fall natürlich diesen Schlüssel exportieren.

Auf einem Linux System dann den privaten Schlüssel aus dem alten Zertifikat extrahieren:

openssl pkcs12 -in alt.pfx -nocerts -out privaterSchluessel.key

So, nun hat man den privaten Schlüssel einzeln. Jetzt kann man mit dem neuen PKCS7 und dem privaten Schlüssel zusammen das neue PKCS12 Zertifikat erzeugen, welches dann auch für Citrix verwendet werden kann:

openssl pkcs12 -in “meincert.pem” -inkey “privaterSchluessel.key” -export -out “neu.p12″

Dann den neuen PKCS12 Schlüssel im mmc importieren (die p12 Datei) – alten Schlüssel löschen. Danach den “Secure Gateway Configuration Wizard” starten. Einmal den Wizard für den Presentation Server durchlaufen, am besten im Advanced Modus. Bei den Zertifikaten sollte er hier schon das neue anzeigen und auch akzeptieren.

Das wars.