Aus einer pfx-Datei den privaten Schlüssel exportieren
Exportiert man aus dem IIS ein SSL-Zertifikat inklusive dem Key, dann erzeugt Windows eine *.pfx-Datei. In der ist das das Zertifikat, allenfalls der private Schlüssel und die Zertifizierungspfade zu finden. Ich brauche aber lediglich den reinen Key ohne andere Angaben. Offensichtlich kann man aus dem IIS diesen Schlüssel nicht als einzelne Datei exportieren.
Mit der Hilfe unserer Zertifizierungsstelle ist es dann aber doch gelungen, den simplen Key zu bekommen. Das funktioniert – natürlich unter Linux und in meinem Fall unter Ubuntu – ganz gut. Es braucht lediglich das Paket openssl, welches in aller Regel gleich beim Aufsetzen des Systems mit installiert wird. Ansonsten lässt es sich leicht nachinstallieren:
sudo apt-get install openssl
Danach lässt sich der Key ganz einfach exportieren. Im Beispiel liegt eine Datei namens server-iis.pfx vor, die vom IIS exportiert wurde. Mit dem unterstehenden Befehl, der in der Konsole abgesetzt wird, bekommt man die Datei server.key.
openssl pkcs12 -in server-iss.pfx -nocerts -nodes -out server.key
Das ist dann der richtige private Schlüssel. Natürlich sollte man das Kennwort kennen, welches beim Export ab dem IIS angegebene werden muss. Der privaten Schlüssel wird benötigt, um das Zertifikat bei “nichtwindows-Geräte” zu importieren und aktivieren. Gerade bei Zertifikaten, die mehrere URLs zertifizieren, ist das eine gute Sache.
Hinterlasse einen Kommentar