Custom Certificate Request (CSR) with Subject Alternative Name (SAN)

Andres Bohren

Hallo zusammen,

Im IIS kann man über den Wizard zwar Zerftifikate erstellen, jedoch keine mit Subject Alternative Names (SAN). Dies wird verwendet, falls man einen Host über ein Zertifikat mit mehreren URL's ansprechen möchte.

Kurze SSL Zertifikatsrepetition. Damit ein Zertifikat vertrauenswürdig ist, also beispielsweise im Browser keinen roten Balken bringt, müssen folgende drei Kriterien erfüllt sein.

  • CN oder SAN muss mit der URL übereinstimmen
  • Gültigkeit des Zertifikats (jedes Zertifikat hat ein Start- und Enddatum)
  • Dem Aussteller (CA) des Zertifikats muss vertraut werden.

mmc starten --> certificates --> Computer

All Tasks --> Advanced Operations --> Create Custom Request

Hier "Proceed without enrolment policy" auswählen

Achtung: Hier zuerst auf Details klicken --> erst dann erscheint der "Properties" Button

Friendly Name eingeben. Es hat sich bewährt hier gleich die URL sprich den Common Name einzugeben.

Nun muss man sich die Optionen zusammenklicken. Im Unteren bereich dann die URL's für den Subject Alternative Name (SAN)

Ich habe diese Optionen einfach mal von meinem Exchange Zertifikat abgeschaut.

So nun wird der Certificate Signing Request (CSR) als ASCII Datei abgespeichert.

Das sieht dann im Notepad so aus

Dieser CSR kann nun bei einer Public Root CA eingegeben werden um ein öffentliches Zertifikat zu erlangen. Ich mache hier das jetzt bei miner Windows Enterprise Certification Authority (CA).

Den Text des CSR im oberen Feld einfügen und als Template Webserver auswählen.

Nun das BASE64 Zertifikat herunterladen

Das *.cer File sieht jetzt so aus

Die eingegebenen Optionen sind korrekt

und auch die Subject Alternative Names sind drin

Jetzt müssen wir das Zertifikat wieder auf der Machine Importieren, auf welchem der CSR erstellt wurde. Denn nur dort ist der Private Key passend zum CSR vorhanden.

Voila - das Zertifikat ist installiert. Und muss nun beispielsweise noch im IIS oder einer anderen Applikation ausgewählt werden.

Beim Doppelklick auf dem Zertifikat werden die Details angezeigt. Wichtig ist, dass ein "private key" zum Zertifikat vorhanden ist - ansonsten ist etwas schief gelaufen.

Grüsse
Andres Bohren