Speziell bei den SSL Wildcard Zertifikaten – z.B. für Email Server oder Citrix ADC Appliances der Kundschaft – ist der erhöhte Sicherheitsstandard der ausstellenden Einrichtungen mittlerer Weile recht anstrengend. Die Zertifikate können nicht mehr wie früher mit einer Laufzeit von 3 oder sogar 5 Jahren gebucht werden. Es erfolgt ein zwanghafter Ablauf bereits vor einer Zeitschiene von 2 Jahren.
So lange der Prozess der Zertifikatserneuerung nicht in allen Bereich vollautomatisiert ist, ist somit regelmäßig manuelle Arbeit angesagt, was ich persönlich als rausgeschmissene Zeit empfinde, aber was gemacht werden muss, muss halt gemacht werden…
Da kommt es einem zu Gute, dass einige Anbieter zumindest eine Art Abo für die von früher gewohnten Laufzeiten von 3 oder sogar 5 Jahren anbieten. Hierbei stellen diese einem zwar nicht voll automatisch die neue .pfx Datei aus, die zumindest wir in der Kundschaft meistens benötigen, jedoch kann man i.d.R. zumindest mit 1-2 Klicks automatisiert eine aktuelle .cer Datei erhalten, wenn man diese basierend auf den bisherigen Private Key/privaten Schlüssel ausstellen lässt.
Die neue .pfx Datei lässt sich dann auf Basis der neuen .cer Datei i.V.m. dem bisherigen Private Key/privaten Schlüssel via des OpenSSL Kommando Zeilen Tool (kompilierte Binaries für Windows 64 Bit, Version 1.0.2d herunterladen) recht leicht erstellen. Der Einfachheit halber gehen wir bei diesen Beispielen davon aus, dass die nötigen Dateien alle samt im Verzeichnis des OpenSSL Kommando Zeilen Tool liegen. HIer die nötigen Schritte:
- Renewal des SSL Wildcard Zertifikat via der Verwaltungskonsole beim Anbieter und von diesem Erhalt des neuen Zertifikats als .cer Datei (kommt ggf. auch als .crt Datei)
- Bei Bedarf Export des bisherigen Privat Key aus der bisherigen .pfx Datei (bei diesem Vorgang muss das Passwort der bisheirgen .pfx Datei eingegeben werden sowie auch ein Passwort für die Export Datei des Private Key/privaten Schlüssel):
openssl pkcs12 -in bisherige-Datei.pfx -nocerts -out privater-Schluessel.key
- Falls gewünscht kann man sich den Private Key/privaten Schlüssel nun auch noch ohne Passwort, also unverschlüsselt, speichern/erzeugen – dies ist für die Nutzung in dem ein- oder anderem System für den Import bei unseren Kunden tatsächlich schon nötig gewesen:
openssl rsa -in privater-Schluessel.key -out privater-Schluessel-decrypted.key
- Erstellen der neuen .pfx Datei auf Basis der neuen .cer Datei sowie des Private Key/privaten Schlüssel:
openssl pkcs12 -export -out neue-Datei.pfx -inkey privater-Schluessel.key -in neues-Zertifikat.crt
Nun hat man die nötige neue .pfx Datei für den Import vorliegen.
Leave a Reply
You must be logged in to post a comment.