Pimp my CA…
…Tach Allereits,
HTTP + SSL = HTTPS – eine Gleichung, die dem ISA- oder TMG-Admin schnell geläufig wird.
🙂
HTTPS wird in vielen verschiedenen Szenarien verwendet, siehe z.B. Malwareüberprüfung und Webveröffentlichungen. Im Rahmen von HTTPS werden Zertifikate eingesetzt und gerade für die Webveröffentlichungen benötigt man schon Mal gerne ein Webserver-Zertifikat. Schön, wenn eine private, hausinterne Zertifizierungsinstanz (CA) verwendet wird. Dort kann man sich ohne große Mehrkosten selber die passenden Zertifikate ausstellen (Nerven nicht mit eingerechnet).
Für die Beantragung eines Webserverzertifikates bietet sich unter Anderem die Weboberfläche an, die über die Microsoft-Zertifizierungsinstanz mit installiert werden kann. Jene sieht wie folgt aus, so die CA von W2K3 verwendet wird. Markiert habe ich 2 wichtige Funktionen imho. Der Button für das Exportieren des privaten Schlüssels ist leider standardmäßig deaktiviert. Aber immerhin lässt sich das Webserverzertifikat im lokalen Zertifikatsspeicher abspeichern, wo es für unseren ISA/TMG auch hingehört:
Eine unter W2K8R2 installierte CA zaubert folgende Weboberfläche ins Browserfenster. Der private Schlüssel ist von Haus aus immer noch nicht exportierbar und blöderweise konsequenterweise fehlt die Option das Zertifikat im lokalen Zertifikatsspeicher abzuspeichern vollends:
Fordert man ein Webserverzertifikat mit dieser Vorlage an, wird es im lokalen Benutzerzertifikatsspeicher unter “eigene Zertifikate” abgelegt. Völlig unbrauchbar für unseren ISA/TMG um dieses Zertifikat beispielsweise auf einen Weblistener zu binden. Exportieren läßt es sich ja dämlicherweise konsequenterweise auch nicht. Für die exklusive und elitäre Gruppe von Admins, die meinen diese Option vielleicht doch brauchen zu wollen gibt es Abhilfe in Form einer neuen Vorlage, die erstellt werden kann. Dazu wird eine neue MMC geöffnet mit dem Snap-In für Zertifikatsvorlagen. Man nehme die bereits existente Vorlage für “Webserver”(-Zertifikate) und erstelle eine “Doppelte Vorlage”. Diese lässt sich dann editieren und passend nach unseren Wünschen konfigurieren:
Wer sich nun in Sicherheit wiegt, der ist getäuscht. Diese nun neu erstellte Vorlage erscheint noch nicht in der Weboberfläche. Dazu bedarf es eines weiteren Snap-Ins, man nehme das für die Zertifizierungsinstanz und navigiere zu dem Unterpunkt “Zertifikatsvorlagen”. Dort wird die neue Zertifikatsvorlage aktiviert:
(Glücks-)Tränen in den Augen:
Siehe da in der Weboberfläche gibt es eine neue Vorlage mit Export-Funktion (getreu dem Motto: “Wozu einfach, wenn’s kompliziert geht”):
Nach wie vor verschollen die Option “Zertifikat im lokalen Zertifikatspeicher aufbewahren”. Finder dieses Ausreißers mögen sich doch bitte bei mir melden – ein paar Kilobyte elektronischen Danks auf dieser Site ist gewiss!
😉
À propos Dank – vielen Dank an den werten Kollegen Oliver Sütsch für die wertvollen Tipps (http://www.aixperts.de/team.html)!
Ebenfalls würde ich mich sehr freuen über die Möglichkeit die zwingende Verwendung von HTTPS für die erweiterte Zertifikatserstellung abschalten zu können – auch hier bin ich für jeden Tipp dankbar!
Gruß, Karsten Hentrup aka Jens Mander…
|<-|