makaroni
Jan 02, 2017
view2950
view13
0
Goto Top

PKI - Automatisierung Ausstellung von Zertifikaten

GermansolvedQuestionWindows ServerMicrosoft
Hallo zusammen,

wir betreiben eine PKI und benötigen für viele Linux Maschinen Zertifikate. Somit müssten manuell (OpenSSL, CertSRV, ...) Zertifikate einzeln ausgestellt werden.
Das ist sehr mühsam und zeitaufwändig. Gibt es eine Möglichkeit dieses automatisiert durchzuführen? Sprich von einem dritten (Windows intregierten) Client mittels z.B. CSV Zertifikate ausstelen und diese als .pfx zu erhalten?

Vielen Dank und beste Grüße
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 325245

Url: https://administrator.de/contentid/325245

Printed on: April 20, 2024 at 10:04 o'clock

13 Comments
Latest comment
Goto Top
Mitglied: 131381
Solution 131381 Jan 02, 2017 updated at 09:03:45 (UTC)
Goto Top
Jepp , Get-Certificate in der Powershell oder certreq in der CMD sind deine Freunde.

Gruß mik
heart1
Member: makaroni
makaroni Jan 04, 2017 at 14:12:22 (UTC)
Goto Top
Hey,

erstmal danke für deine Antwort. Die Befehle kenne ich.
Allerdings ist bei mir eher die Frage, ob es überhaupt möglich ist, dass ich von einem beliebigen Windowsrechner ein Zertifikat anfordere, dieses dann mit dem Private Key als .PFX packe. Und das dann am besten noch mit einer CSV Datei die mit x Namen betankt ist.

Der Rechner, der dieses anfordert, fordert dieses nur an, er benötigt es selbst nicht.
Mitglied: 131381
Solution 131381 Jan 04, 2017 updated at 15:27:40 (UTC)
Goto Top
Zitat von @makaroni:
erstmal danke für deine Antwort. Die Befehle kenne ich.
Gut.
Allerdings ist bei mir eher die Frage, ob es überhaupt möglich ist, dass ich von einem beliebigen Windowsrechner ein Zertifikat anfordere,
Ja, kein Problem, du musst dem User in deiner CA nur das Recht erteilen für das entsprechende Template Zertifikate auszustellen (ACL im TEMPLATE), dann kannst du von jeder Station dein Zertifikat mit dem User ausstellen lassen.
dieses dann mit dem Private Key als .PFX packe. Und das dann am besten noch mit einer CSV Datei die mit x Namen betankt ist.
Auch kein Problem. Mit Get-Certificate packt er das Zertifikat zwar erst in den Windows-Store, aber dort kannst du es problemlos als PFX exportieren (ebenfalls direkt mit PS) und anschließend löschen.

In diesem Skript von Frank siehst du wie das geht:
https://www.frankysweb.de/exchange-2013-assistent-fuer-zertifikate/

Für eine Schleife über eine CSV importierst du deine CSV ebenfalls mit einem Oneliner in deine Powershell
$csv = Import-CSV 'c:\Pfad\datei.csv' -Delimiter ";"
Und machst dann mit eine Foreach-Schleife deine Zertifikatsanforderungen. Fertig ist die Laube.
heart1
Member: makaroni
makaroni Jan 05, 2017 at 08:21:31 (UTC)
Goto Top
Besten Dank face-smile

Damit komme ich weiter face-smile
Mitglied: 131381
131381 Jan 05, 2017 at 08:25:37 (UTC)
Goto Top
Immer gerne face-smile
Member: makaroni
makaroni Jan 05, 2017 at 13:22:40 (UTC)
Goto Top
Ich habe alles soweit hinbekommen wie ich es mir vorgestellt habe (CSV fehlt noch, kommt später)
Nun würde ich gerne noch zu den DNS Einträgen den Subjectname im Zertifikat hinzufügen.
Es ist nicht zwingend notwenig, finde ich aber sauberer...

Da schreit mein Script aber immer rum, dass der String einen ungültiges x500 Attribut beinhaltet
Encode: The string contains an invalid X500 name attribute key

Folgende Zeile versuche ich auszuführen:

Get-Certificate -Template WebServer -DnsName test123 -SubjectName test222

Ohne den -SubjetName funktioniert alles super dupa. Ist es nicht möglich den mit einzubinden?!
Mitglied: 131381
Solution 131381 Jan 05, 2017 updated at 13:32:00 (UTC)
Goto Top
-SubjectName test222
Öhm, du weist anscheinend nicht das das Subject anders formatiert sein muss ... Bei einem x509 Subject muss immer der konkrete Feldname vorangestellt werden z.B. für den Common Name CN=BLABLA
Deswegen auch die Fehlermeldung:
The string contains an invalid X500 name attribute key

Certificate Attributes
Beispiel
CN=*.domain.com, OU=Marketing, O=FirmaXYZ, L=KÖLN, S=NRW, C=DE
heart1
Member: makaroni
makaroni Jan 06, 2017 at 06:52:07 (UTC)
Goto Top
Ergibt irgendwie Sinn.
Danke face-smile Nun bin ich auch hoffentlich ruhig face-smile
Wünsche Dir ein schönes Wochenende
Member: makaroni
makaroni Jan 27, 2017 at 09:57:17 (UTC)
Goto Top
Gibt es eine Möglichkeit, den Friendlyname beim Zertifikatsantrag noch mit einzufügen?
Get-Certificate scheint dieses nicht zu können.

Get-Certificate -Template <string> [-Url <uri>] [-SubjectName <string>] [-DnsName <string[]>] [-Credential <PkiCredential>] [-CertStoreLocation <string>] [-WhatIf] [-Confirm] [<CommonParameters>] Get-Certificate -Request <Certificate> [-Credential <PkiCredential>] [-WhatIf] [-Confirm] [<CommonParameters>]
Mitglied: 131381
Solution 131381 Jan 27, 2017 updated at 10:11:07 (UTC)
Goto Top
Zitat von @makaroni:
Gibt es eine Möglichkeit, den Friendlyname beim Zertifikatsantrag noch mit einzufügen?
Get-Certificate scheint dieses nicht zu können.
Wozu brauchst du den? Den kannst du in der Certificate-MMC doch leicht anpassen.

Kannst du aber auch leicht über die Powershell nachträglich machen denn die Zertifikate kann man wie Dateien in der Powershell über das PS-Drive cert:\ ansprechen:
(get-item cert:\localmachine\my\048740C6CDDE4F4524C63264688FF297C4A3C00D).FriendlyName = "Mein tolles Zertifikat"
den benötigten "Thumbprint (lange Zeichenfolge i.o.g. Befehl)" des neuen Zertifikats erhältst du ja beim Erzeugen im Objekt des Zertifikats.

Bedenke das der FriendlyName nur auf dem jeweiligen System erhalten bleibt auf dem du diesen änderst. Dieser ist kein Bestandteil des Zertifikats an sich.
Member: makaroni
makaroni Jan 27, 2017 updated at 10:48:54 (UTC)
Goto Top
Zitat von @makaroni:
Gibt es eine Möglichkeit, den Friendlyname beim Zertifikatsantrag noch mit einzufügen?
Get-Certificate scheint dieses nicht zu können.
Wozu brauchst du den? Den kannst du in der Certificate-MMC doch leicht anpassen.
Viele Applicationen benötigen mehrere Zertifikte z.B. SkypeForBusiness und in der GUI ist es dann so auf den ersten Blick nicht ersichtlich welches welches ist face-smile
Kannst du aber auch leicht über die Powershell nachträglich machen denn die Zertifikate kann man wie Dateien in der Powershell über das PS-Drive cert:\ ansprechen:
> (get-item cert:\localmachine\my\048740C6CDDE4F4524C63264688FF297C4A3C00D).FriendlyName = "Mein tolles Zertifikat"  
>
den benötigten "Thumbprint (lange Zeichenfolge i.o.g. Befehl)" des neuen Zertifikats erhältst du ja beim Erzeugen im Objekt des Zertifikats.
Perfekt, hat funktioniert face-smile Vielen Dank
Bedenke das der FriendlyName nur auf dem jeweiligen System erhalten bleibt auf dem du diesen änderst. Dieser ist kein Bestandteil des Zertifikats an sich.
Jaein, ich kann den auf jedem System neu anpassen. Exportiere ich dann aber das Zertifikat, mit dem aktuellen FriendlyName, so wird dieser mit exportiert. Ich habe das Zertifikat gerade nochmal auf einem anderen System importiert auf dem mir nun der Friendlyname angezeigt wird, den auf einem anderen System geändert habe bevor ich es exportiert habe. Aber ich gebe dir Recht, für einen Zertifikatsrequest wird dieses nicht benötigt und dabei auch nicht gesetzt. Aber dennoch beinhaltet ja das Zertifikat ein Attribut wo dieser wohl gespeichert wird.
Mitglied: 131381
131381 Jan 27, 2017 updated at 11:05:02 (UTC)
Goto Top
Zitat von @makaroni:
Jaein, ich kann den auf jedem System neu anpassen. Exportiere ich dann aber das Zertifikat,
Jepp, im Export-Fall ja wenn es sich um eine PFX handelt, packt MS da eigene Felder mit rein.
Member: makaroni
makaroni Jan 27, 2017 at 11:09:21 (UTC)
Goto Top
Danke, gut zu wissen face-smile
GermansolvedQuestionWindows ServerMicrosoft
Hotly discussed
gleixnerdCheck of ZFW Firewallgleixnerd - 3 CommentsAlexWishaHow to set up and configure a Linux GRE tunnelAlexWisha - 3 CommentsjstrickerWIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 3 CommentsDaniEnd of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment