Certifikát webového serveru hezky pěkně manuálně
http://old.dolezel.net/post/2015/02/09/Certifikat-weboveho-serveru-hezky-pekne-manualne
09.02.2015 8:00:00
Autor: Radek
Předpoklady: CA akceptuje SAN CSR. Chci mít certifikát s možností exportu privátního klíče. Post

Předpoklady:

CA akceptuje SAN CSR.
Chci mít certifikát s možností exportu privátního klíče.

Postup:

Stáhnu si přílohu ssl.inf a doplním/změním požadované parametry.

Vytvořím CSR soubor
certreq -new ssl.inf ssl.req

CSR můžu zkontrolovat pomocí
certutil ssl.req

Pokud je CA dostupná přes RPC, můžu následující příkaz spustit rovnou tam, kde jsem vytvářel CSR. Jinak musím soubor na CA nejdříve překopírovat.

certreq -submit ssl.req
nebo
certreq -attrib “CertificateTemplate:webserver” -submit ssl.req

Druhou variantu je nutné použít např. v případě, kdy bych chtěl takto vydat certifikát na základě CSR vytvořeného v průvodci Exchange 2010 (a možná i 2013).

Předposledním krokem je instalace vydaného certifikátu, čímž dojde k propojení s privátním klíčem
certreq -accept ssl.cer

Posledním krokem je export certifikátu ve formátu PFX a uložení na bezpečné místo. Nejdříve si certifikát vypíšu.
certutil -store My

Musím si poznamenat sériové číslo certifikátu a následně jej vyexportovat
certutil -exportPFX -p "Password" My 610df5bb000000000002 exportovany_certifikat.pfx

Zdroje:

http://blogs.technet.com/b/pki/archive/2009/08/05/how-to-create-a-web-server-ssl-certificate-manually.aspx
http://certificate.fyicenter.com/685_Microsoft_CertUtil_Microsoft_certutil_-user_Certificate_St.html
http://blogs.technet.com/b/yuridiogenes/archive/2011/04/20/exporting-certificates-using-certutil.aspx

ssl.inf (1,4KB)