Selbstsigniertes SSL Zertifikat mit eigener Zertifizierungsstelle erzeugen

SSL Zertifikate braucht man immer wieder und die in meinem alten Posting beschriebene Methode mit SelfSSL.exe aus dem „IIS6 Resource Kit Tools“ ist wirklich nicht mehr zeitgemäß, deshalb war ich auf der Suche nach einer Anleitung, wie man mit Hilfe einer eigenen Windows Zertifizierungsstelle ein SSL Zertifikat erzeugt.

Der schon etwas ältere Artikel kb307267 beschreibt die nötigen Schritte ausführlich für Windows Server 2000. Unter Windows Server 2003 und 2008 ist die Vorgehensweise praktisch identisch. Letztlich sind 3 Schritte erforderlich:

  • Zertifikat mit dem IIS Manager anfordern
  • Zertifikat mit der Zertifizierungsstelle ausstellen
  • Zertifikat installieren.

Hier nur die nötigen Schritte ohne lange Erklärungen:

  • Mit „Add/Remove Windows Components“ die beiden Komponenten „Certificate Services“ (mit allen Subkomponenten) und „Application Server – Internet Information Services (IIS)“ (benötigte Subkomponenten werden automatisch selektiert) mit den Default-Einstellungen installieren.
  • Unter „Administrative Tools“ den „Internet Information Services (IIS) Manager“ starten und mit Rechtsklick in die „Properties“ der „Default Web Site“ gehen. Dort auf dem Reiter „Directory Security“ auf „Server Certificate“ klicken und mit dem Assistenten eine neue „Certificate Request“ Datei erzeugen.
  • Mit dem IE auf http://localhost/certsrv gehen und auf „Request a Certificate“, dann auf „Advanced Request“ und dann auf „Submit a certificate request … file“ klicken. Dort die gerade im IIS Manager erzeugte Certificate Request Datei öffnen oder (wenn die IE Sicherheitseinstellungen das nicht zulassen) einfach den Inhalt der Datei reinpasten und schließlich auf „Submit“ klicken.
  • Unter „Administrative Tools“ die „Certivicate Authority“ öffnen und darin in „Pending Requests“ mit Rechtsklick auf den gerade eingereichten Request mit „Issue“ das Zertifikat ausstellen.
  • Dann wieder mit dem IE auf http://localhost/certsrv gehen und diesmal auf „View the status of a pending certificate request“, dann auf das gerade ausgestellte Zertifikat klicken und auf der folgenden Seite als „Base64“ mit „Download CA certificate“ als Datei sichern.
  • Die so erzeugte Zertifikatsdatei öffnen und auf „Install Certificate“ klicken. Im Assistenten alle Default-Einstellungen akzeptieren. Damit ist das Zertifikat fertig installiert und kann verwendet werden.
  • Um den Prozess sauber abzuschließen, sollte man im IIS Manager an der gleichen Stelle an der man vorher die Certificate Request Datei erzeut hat (Properties der Default Web Site) das neu erzeugte Zertifikat eben der Default Website zuweisen.

Bei der Installation der Zertifizierungsstelle kann man die Gültigkeit des dazugehörigen Zertifikates einstellen (Default ist 5 Jahre), bei der Anforderung des SSL Zertifikats gibt es keine direkte Möglichkeit die Default Gültigkeit von (nur) 1 Jahr zu verändern.