In meiner kleinen Reihe über Einrichtung und Verwaltung von Azure wird es auch um die Einrichtung von ADFS-Servern für Office 365 gehen. Für ADFS benötigen Sie, auch für Testzwecke, ein gültiges SSL-Zertifikat. In diesem Artikel zeige ich, wie Sie dafür einen Zertifikatsrequest erstellen und wie Sie bei Comodo ein 90 Tage gültiges SSL-Zertifikat beantragen können. Das Testzertifikat ist ein ganz normales SSL-Zertifikat, das bei Comodo auch verlängert werden kann. Die einzige Einschränkung ist die Laufzeit von 90 Tagen. Für die Verwendung als Zertifikat für Webserver würde ich LetsEncrypt empfehlen, da man hier komplett kostenlose SSL-Zertifikate bekommt.
SSL-Zertifikats-Request erstellen
Um ein Zertifikat bei einer Zertifizierungsstelle zu beantragen, benötigen Sie eine Zertifikats-Anforderung. Die kann Ihnen z.B. von der IIS-Konsole erstellt werden. Einfacher geht es aber mit einem freien Tool von Digicert, die selber auch Zertifikatsanbieter sind. Laden Sie dazu einfach das Digicert Certificate Utility for Windows https://www.digicert.com/util/ auf den Rechner, auf dem das Zertifikat erstellt werden soll, herunter. Wichtig ist, dass Sie das Tool wirklich auf dem Rechner starten, auf dem das Zertifikat installiert werden soll, da mit dem Zeritifikatsrequest ein privater Schlüssel erstellt wird, der den Rechner nicht verlässt und der zusammen mit dem Zertifikat benötigt wird. Den Schlüssel später auf den Zielrechner zu exportieren ist zwar möglich, aber sehr umständlich. Das Certificate Utility muss auch nicht installiert werden, insofern sollte der Aufruf auch auf einem Server unproblematisch sein.
Das Tool kommt in einem Zip-File. Entpacken Sie es und starten Sie DigicertUtil.exe. Nachdem Sie dem Lizenzvertrag zugestimmt haben, öffnet sich die Digicert-Konsole. Hier Wählen Sie gleich im ersten Fenster oben rechts den Eintrag „Create CSR“.
Geben Sie jetzt die Zertifikatsinformationen ein. Das Utility gibt dabei auch Hilfestellung – auf der rechten Seite finden Sie Informationen zu den Daten, die gewünscht sind.
Die meisten Daten hier sind selbsterklärend. Als Zertifikatstyp wählen Sie in unserem Fall SSL. Code Signing Zertifikate benötigen Sie für die Signatur von Programmen oder Powershell-Scripten. Als Common Name (CN) wählen Sie den DNS-Namen, unter dem der Server angefragt wird (in meinem Fall ADFS.Tonitester.work). Wenn Ihr Server unter mehreren Namen erreichbar sein soll, können Sie im Feld „Subject Alterative Names“ weitere Namen eingeben. Im Feld Key Size übernehmen sie am besten die Standardvorgabe von 2048 Bit. Anschließend klicken Sie auf „Generate“. Das Zertifikats-Utility generierte Ihnen dann einen Textschlüssel, der den Request darstellt und den Sie bei der Zertifikats-Registrierungsstelle einreichen müssen. Den Request können Sie in einer Textdatei speichern oder gleich ins Clipboard kopieren.
SSL-Zertifikat beantragen
Gehen Sie jetzt zu www.comodo.com. Comodo ist ein Anbieter für offiziell anerkannte Zertifikate. Wählen Sie auf der Startseite „SSL Cetificates“ und dann „Free SSL Certificates“.
Auf der folgenden Seite starten Sie "Free SSL Trial".
Nun benötigen Sie den Zertifikats-Request, den Certutil Ihnen erzeugt hat. Kopieren Sie ihn in das entsprechende Feld unter „Provide your CSR“.
Um zu validieren, dass Sie wirklich der Besitzer der Domäne sind, liest Comodo den Admin-C aus Ihrem DNS-Eintrag. Es werden auch alternative Adressen angegeben. Die Adresse wird verwendet, um eine Validierungsmail zu schicken.
Legen Sie außerdem ein Benutzerkonto bei Comodo an.
Es wird ein Validierungscode an die ausgewählte email-Adresse verschickt. Dieser muß unter Domain Control Validation eingegeben werden.
Das Zertifikat kommt innerhalb weniger Minuten als ZIP-Datei per email. Kopieren Sie die ZIP-Datei auf den ADFS-Server, entpacken Sie sie und installieren Sie die crl-Datei, die dem Namen Ihrer Domäne entspricht. Die anderen mitgelieferten Zertifikate sind die Zertifikate der Stammzertifizierungsstelle und die Zertifikatskette. Sie werden nicht benötigt.
Zur Installation öffnen Sie einfach das Kontextmenü des Zertifikats und wählen „Install Certificate“.
Wählen Sie den Zertifikatsspeicher des Computers aus.
Damit ist Ihr Zertifikat installiert. Überprüfen können Sie das z.B., indem Sie die Powershell öffnen und folgenden Befehl eingeben:
dir Cert:\LocalMachine\My | Select Thumbprint,Subject,NotBefore,NotAfter
Es werden Ihnen alle lokal installierten Zertifikate angezeigt. Thumbprint ist eine Checksumme, die das Zertifikat eindeutig indentifiziert, Subject ist der Name, den Sie im Request eingegeben haben, und NotAfter sollte bei unserem Testzertifikat 90 Tage in der Zukunft liegen. Nun können Sie das Zertifikat z.B. zur Absicherung Ihres Webservers, SQL-Server oder allen Diensten verwenden, die auf Public-Key-Verschlüsselung setzen.