.pfx für SSL-Zertifikat erstellen: Aber wie?

Hallo,

Ich möchte ein SSL-Zertifikat für einen Linux-Server erstellen, aber mir fehlt ein Puzzleteil um zu begreifen, wie ich ein Zertifikat als .pfx erstelle. Meine Zertifizierungsstelle läuft auf Windows Server.

Folgendes steht in der Doku:

openssl pkcs12 -in cert.pfx -out cert.pem -nokeys -clcerts`

Und mir fehlt dabei halt die cert.pfx

Hat jemand eine Idee?

Gruß

24.02.2025, 13:29

UPDATE: https://reukauff.eu/2023/12/16/PsonoInstallDE.html

Das ist die Anleitung

Dultus

24.02.2025, 12:32

Wozu brauchst Du das? Mal überlegt, stattdessen auf einen reverse Proxy wie Caddy zu setzen?

kekw2305

Beitragsersteller

24.02.2025, 13:29

Laut Anleitung wird nginx verwendet. Das Ganze soll im lokalen Netzwerk eingerichtet werden.

Answer1234567

24.02.2025, 13:41

Hast du denn überhaupt schon Zertifikat und Key erstellt?Wozu brauchst du hier überhaupt hier ,PFX, wenn du lt. Anleitung ohnehin wieder eine .PEM daraus machen willst?

kekw2305

Beitragsersteller

25.02.2025, 13:39

Weil das Anscheinend Voraussetzung ist und ich mich an die Anleitung halte, damit das Ergebnis zu 100% passt.

1 Antwort

FordPrefect

24.02.2025, 12:27

Was für ein Zertifikat soll das denn werden? EIn Drittanbieterzertifikat? Das geht so nicht. Du kannst die Zertifikatanforderung zwar in Windows Server erstellen als .txt Datei, aber die musst du an einen kommerziellen Anbieter übermitteln, der dir daraus eine .crt Datei erstellt nach Verifizierung.

Der openssl Befehl kann so auch nicht funktionieren, da er ja ein bereits vorliegendes Zertifikat voraussetzt. Ich wüsste jetzt auch nicht, wozu du ein entsprechendes Zertifikat erneut konvertieren solltest.

kekw2305

Beitragsersteller

24.02.2025, 13:30

Das Zertifikat soll von einer lokalen Zertifizierungsstelle kommen und rein im lokalen Netz verwendet werden, da ich meine Dienste nicht nach extern gebe.

FordPrefect

24.02.2025, 13:50

@kekw2305

Das lokale Zertifikat der AD Zertifizierungsstelle musst du doch aber vom entsprechenden Server beantragen und bereitstellen lassen. Dazu müssen auf dem DC die Rolle Zertifikatdienste aktiv, und die CA eingerichtet sein.

kekw2305

Beitragsersteller

25.02.2025, 13:40

@FordPrefect

Die Zertifikatsdienste und die CA sind eingerichtet. Bloß verstehe ich den Vorgang noch nicht.

FordPrefect

25.02.2025, 16:38

@kekw2305

Das Zertifikat bekommst du von der lokalen CA. Was du dann mit openssl willst, verstehe ich dennoch nicht.

https://docs.omnissa.com/de-DE/bundle/Horizon8InstallUpgrade/page/ObtainaSignedCertificatefromaWindowsDomainorEnterpriseCA.html

Ähnliche Beiträge

SSL - Eigene Zertifizierung?

Man erstellt ja ein CSR, was man einer Zertifizierungsstelle übergibt, die einem dann erst das Zertifikat austellen... Nun die Frage, kann man sich das Zertifikat selbst austellen?

...zum Beitrag

DNS Einträge bei Netcup ändern?

Moin,

Ich würde gerne auf meine Website ein SSL Zertifikat erstellen.

Der Hoster ist Netcup und dieser bietet ein Kostenloses SSL Zertifikat bei einer domain an. Wenn ich jetzt das Zertifikat einrichten will, dann bekomme ich diese Nachricht

Wenn Sie die Zertifikatanforderung abbrechen und löschen möchten, klicken Sie auf "Abbrechen".

SSL/TLS-Platzhalterzertifikat von Let's Encrypt wird ausgestellt für die Domain blablabla.de.

Bitte fügen Sie einen DNS-Eintrag mit den folgenden Parametern hinzu:

Eintragstyp: TXT

Domainname: _acme-challenge.blablabla.de

Eintrag: aGKeuwLYoMz4Gf5blub_bla123bla123-blablabla

Ich weiß leider nicht so ganz wo ich meine DNS Einträge da ändern soll.

Könnte mir vielleicht jemand, der Erfahrung damit hat weiterhelfen ?

Vielen lieben Dank und ein schönes beinahe Wochenende ;)

PS: Kennt einer von euch vielleicht eine größere Discord-Gruppe oder ähnliches mit Hostern/Itlern wo ich so etwas bei Bedarf mal fragen könnte ? Ich studiere selber Wirtschaftsinformatik und interessiere mich sehr für das Ganze ;)

...zum Beitrag

Wie kann ich ein SSL Zertifikat auf einem Apache2 Server aktivieren (Docker)?

Ich versuche schon über mehrere Tage es irgendwie hinzubekommen, dass der Webserver mit "https" erreichbar ist. Das gültige Zertifikat/ die Dateien habe ich schon:

cert.pem  chain.pem  fullchain.pem  privkey.pem

Jedoch läuft der Apache-Webserver als Docker Image. Ich weiß jedoch nicht, wie ich das SSL Zertifikat hinzufüge, da keine "normale" Apache2 Config vorliegt.

<VirtualHost *:443>
  SSLEngine on
  SSLCertificateChainFile "path to fullchain.pem"
  SSLCertificateKeyFile "path to privkey.pem"
</VirtualHost>

Dies habe ich ich dann via in den Apache2 Server-config importiert. (Wichtig zu wissen ist, dass der Pfad "sites-available" nicht exsestiert.

./configfile.conf:/etc/apache2/sites-available/000-default.conf

Port 80, also http funktioniert auch noch weiter... (80 und 443 sind freigegeben)

Weiß jemand, wie ich ein SSL Zertifikat auf einem Apache2 Server aktiviere, welcher auf Docker läuft / Wie ich die Config Datei richtig lade (denke nämlich nicht, dass diese richtig geladen wird)

Hier nochmal meine docker-compose.yml (unvollständing) :

   web:
    build:
        context: ./php
        dockerfile: Dockerfile
    container_name: php73
    depends_on:
      - db
    volumes:
      - /home/pi/web_dev/uploads.ini:/usr/local/etc/php/conf.d/uploads.ini
      - ./php:/var/www/html/
      - ./my_vhost.conf:/vhosts/myapp.conf:ro
      - ./certs:/certs
    ports:
      - 443:443
      - 80:80

Und meine Dockerfile:

FROM php:7.3.3-apache

RUN a2enmod ssl && a2enmod rewrite
RUN mkdir -p /etc/apache2/ssl

COPY /etc/letsencrypt/live/MYIP/*.pem /etc/apache2/ssl/
COPY ../config/000-default.conf /etc/apache2/sites-available/000-default.conf


RUN apt-get update && apt-get upgrade -y
RUN docker-php-ext-install mysqli
RUN mv "$PHP_INI_DIR/php.ini-production" "$PHP_INI_DIR/php.ini"
ADD php.ini /home/pi/web_dev
EXPOSE 80
EXPOSE 443

...zum Beitrag

Wie kann ich die Domaininhaberschaft nachweisen (GoDaddy STRATO)?

Ich fange zurzeit an, meine ersten Webseiten zu erstellen. Jetzt habe ich ein paar Probleme.

Ich habe meine Domain über STRATO bezogen. WordPress Hosting lasse ich über GoDaddy laufen.

Den Namenserver habe ich jetzt schon genauso wie die IP-Adresse hinterlegt.

Jetzt soll ich von GoDaddy aus einen TXT-Datensatz erstellen, um meine Inhaberschaft der Domain nachzuweisen. Die muss ich ja, so wie ich es verstanden habe, bei STRATO erstellen.

Wenn ich jetzt bei STRATO bei der Domain bin, kann ich dort unter DNS den Punkt: TXT und CNAME Records inklusive SPF und DKIM Einstellungen aufrufen. Dort kann ich dann den Typen auswählen (TXT), den Präfix, wo meine Domain am Ende ist und den Wert.

So wie ich es verstanden habe, muss ich bei Wert den langen Code, den ich von GoDaddy bekommen habe, unter Wert eintragen. Wenn ich das so speichern möchte, steht aber, dass der Präfix fehlt. Ich weiß aber leider nicht, wo ich den Präfix herholen oder was ich dort eintragen soll.

Ich habe im Internet gesucht, aber da steht nur, dass man @ oder * eintragen soll. Das funktioniert alles nicht. Wenn ich auf der Hilfseite von STRATO schaue, tragen die als Beispiel unter Präfix auch einen längeren "Code" ein. Dieser soll wohl ein anderer als der sein, den man von GoDaddy unter Wert einträgt.

So wie ich das wohl verstehe, muss der Präfix bestimmt der Startort sein und der Wert dann der Zielwert.

Wie trage ich das richtig ein, um die SSL-/Domaininhaberschaft für GoDaddy zu bestätigen?

Vielen Dank im Voraus!

...zum Beitrag

Nehmt ihr eure Internetsicherheit selbst in die Hand oder vertraut ihr eurem Betriebssystem bzw. Browserhersteller?

Firefox hat 159 vorinstallierte Root CAs, viele davon wirken nicht gerade vertrauenswürdig. Zum Beispiel:

China Financial Certification Authority (CFCA)
Chunghwa Telecom
Global Digital Cybersecurity Authority Co., Ltd. (Formerly Guang Dong Certificate Authority (GDCA))
Government of Hong Kong (SAR), Hongkong Post, Certizen
Government of Spain, Autoritat de Certificació de la Comunitat Valenciana (ACCV)
Government of The Netherlands, PKIoverheid (Logius)
Government of Turkey, Kamu Sertifikasyon Merkezi (Kamu SM)
iTrusChina Co., Ltd
Shanghai Electronic Certification Authority Co., Ltd.
Taiwan-CA Inc. (TWCA)

Das Problem mit diesen Root CAs ist, dass sie gefälschte Zertifikate ausstellen können, um MiTM Angriffe für beliebige Webseiten durchzuführen (trotz TLS/SSL). Dass einige dieser CAs von Regierungen undemokratischer Länder wie China oder der Türkei kontrolliert werden, die dafür bekannt sind, Hackerangriffe gegen politische Gegner durchzuführen, finde ich äußerst besorgniserregend.

Ich habe deshalb die meisten Root CAs auf meinen Geräten deaktiviert. Ich denke aber, dass sich viele Menschen gar nicht damit beschäftigen und einfach alle vorinstallierten CAs aktiviert lassen.

Wie macht ihr das, und warum?

...zum Beitrag

Gültige SSL Zertifikate im lokalen Netzwerk ausstellen?

Aktuell nutze ich selbsterstellte und signierte Zertifikate für meine interne kevin.local Domain. Die Meldung 'Diese Seite ist nicht sicher' ist halt immer da. Klar, ich könnte das mit einer eigenen CA lösen, aber dann müsste ich die auf jedem Gerät eintragen, was ich nicht will. Gibt es keine schönere Lösung, bei der ich .home als Domain setzen kann, da es mit .local unter Linux ein Problem gibt? Ja, ich könnte auch DuckDNS.org nutzen, aber das finde ich schrecklich als Namen für meine Dienste.

...zum Beitrag

SSL-Zertifizierung nicht möglich bei Domain-Weiterleitung?

Hallo zusammen,
erstelle gerade meine Webseite und habe dafür 2 Domains eingerichtet.

Die eine endet auf .com und die andere auf .de

Nun möchte ich, dass alle URL-Eingaben mit der Endung .com an die domain mit .de geleitet wird. Es funktioniert auch ganz gut soweit. Weiterleitungen von http://blabla.com nach https:://blabla.de funktionieren (HTTP wird zu HTTPS und .com wird zu .de) und die Seite bleibt weiterhin ssl-zertifiziert, da ich für beide domains jeweils ein Zertifikat habe. Was aber nicht klappt ist die Weiterleitung von https://blabla.com zu https://blabla.de. Wie ist das, wenn man von .com auf .de schalten will und weiterhin möchte, dass die SSL-Verschlüsselung benutzt wird.

Ich hoffe jemand kann mir da helfen.

...zum Beitrag

Ubuntu Server - openssl Zertifikat löschen?

wenn man mit openssl ein Zertifikat generiert mit dem folgendem Befehl:

openssl req -x509 -nodes -days 7300 -newkey rsa:2048 -keyout /etc/ssl/private/pure-ftpd.pem -out /etc/ssl/private/pure-ftpd.pem

(Quelle: https://www.howtoforge.com/tutorial/perfect-server-ubuntu-16.04-with-apache-php-myqsl-pureftpd-bind-postfix-doveot-and-ispconfig/2/)

Wie kann man das löschen ? Und wird dass auch irgentwie online gespeichert oder genertiert ? Wenn ja, wie kann man dass dann auch da löschen ? Allg. was macht der Befehl überhaupt genau ?

...zum Beitrag

SSL Zertifikat geht nicht?

Hallo,

ich verzweifele langsam. Ich versuche seit Tagen mein SSL Zertifikat von Strato in Plesk einzubinden. Nur sagt mir Plesk andauernd, dass es dieses Zertifkat nicht geben würde. Was soll ich machen ?

...zum Beitrag

SSL auf Raspberry Pi für Nextcloud in Docker Container?

Ich habe auf meinem Raspberry Pi 4 Casa OS installiert. Darin läuft unter anderem eine NextCloud-Instanz.

Von Aussen (aka Internet) kann ich über domain.de:5011 zugreifen. Der Router leitet den Port zu meinem Raspberry Pi auf den Port von der NextCloud weiter. Das Problem ist, dass die Verbindung noch unverschlüsselt ist.

Ich habe bereits auf x verschiedene Wege versucht SSL über den Nginx Proxy Manager einzurichten. Das einzige, das mir (irgendwie) gelungen ist, ist ein Zertifikat zu erstellen. Aber das höchste aller Gefühle war dann immer eine Bad-Gateway-Fehlermeldung.

Weiss jemand, wie ich eine verschlüsselte Verbindung entsprechend einrichten kann bei meinem Setup:

"domain.de:5011". Von Aussen habe ich diesen Port im Router zur Verfügung.
Nextcloud ist in einem Docker Container installiert (Port 10081)
Nginx Proxy Manager in einem Docker Container hört auf dem Port 80 und 443 zu (Admin Panel auf Port 81)

Vielleicht noch als Nebeninformation. Im gleichen Netzwerk laufen auch Synology-Services, die jedoch verschlüsselt arbeiten und ebenfalls über 5000-er Ports von aussen erreichbar sind. (In den Tutorials, die ich gefunden habe, wurde die SSL-Einrichtung im Nginx Proxy Manager nie über Ports ermöglicht. Erschweren diese Ports das Ganze?)

Ich verstehe wirklich nicht, wie ich das am besten einrichten soll. Kann man den Raspberry Pi "allgemein" verschlüsselt kommunizieren lassen (soll heissen, dass auch der Traffic im lokalen Netz bereits verschlüsselt ist. Das ist bei den Synology-Services so.) oder geht es einfacher, wenn nur der Traffic nach aussen verschlüsselt ist?

Vielen Dank im Voraus :) Ich bin wirklich langsam überfragt...

...zum Beitrag

SSL Zertifikat für Domain und alle ports?

Hey leute,

gibt es eine möglichkeit ein SSL Zertifikat zu erstellen dass sowohl für die Domain aber auch alle ports gilt?

Sprich ich möchte gerne folgendermaßen auf einen service zugreifen:

mydomain.com:11000

Jedoch ist diese Verbindung dann immer nur über HTTP und nicht über HTTPS.

Ist das möglich?

...zum Beitrag

Cpanel Emails mit outlook verbinden Zielprinzipalname ist falsch?

Servus,

ich habe in meinem Cpanel Email Adressen erstellt und versuche nun diese mit Outlook zu verbinden. Was soweit auch klappt und funktioniert, aber ich erhalte immer wieder diese meldung (siehe Bild). Die Meldung erscheint immer wenn sich Outlook dass erst mal mit meinem Server verbindet und wenn ich dann ja drücke funktioniert wieder alles.
Mein Hosting Anbieter ist godaddy und die sagen, dass sie nicht wissen woran das liegt und es ja Software von Drittanbieter sei, somit soll ich da mal nachfragen bzw. es auf eigene faust lösen. Ich glaube aber es liegt am SSL, Zertifikatsnamen. Vielleicht weiß jemand was ich einstellen muss?

...zum Beitrag

Synology Bitwarden/vaultwarden geht nicht mehr?

Ich habe einen Vaultwarden Server via Docker auf meiner Synology/Xpenology NAS am laufen.

Ich hatte das ganze nach langem gefummel schon am laufen, konnte mich über meine Domain verbinden. Leider hat sich letzte Nacht meine IP adresse (obwohl ich eine Feste IP gebucht habe) geändert. Scheinbar wechselt mein Internet anbieter trotzdem ab und zu die IP Adresse.. Naja..

Auf jeden Fall es ging gestern noch, heute nach neustarten der NAS nicht mehr.

Bitwarden läuft im Docker und ich habe einen Reverse Proxy in der NAS aktiv der alle verbindungen von DOMAIN.de:5554 zu dem dockerport (5555) leitet.

Die Domain habe ich entsprechend angepasst das der DNS auf die neue Router IP zeigt. Die Routerports sind entsprechend geöffnet.

Ich habe ein Zertifikat für DOMAIN.de angelegt.

Wenn ich die Weboberfläche der NAS über die DOMAIN.de:5000 öffne bekomme ich auch ein schloss angezeigt, also sichere verbindung, das Zertifikat funktioniert.

Öffne ich DOMAIN.de:5554 bekomme ich Meldung:

400 Bad Request

The plain HTTP request was sent to HTTPS port

nginx

Außerdem ist das Schloss nicht mehr da. Öffne ich DOMAIN.de:5555 (also den Dockerport) komme ich auf die Bitwarden oberfläche aber ebenfalls ohne gültigen Zertifikat.

Hat jemand ne Idee warum weshalb woher?

...zum Beitrag

Wer ist für das SSL Zertifikat zuständig?

Folgendes Szenario:

Wir haben ein Webhosting-Paket bei ALL-INKL. Dort ist es grundsätzlich möglich, Lets Encrypt Zertifikate für angelegte Domains zu erstellen.

In diesem Szenario verweist via A-Record eine unserer Subdomains (Subdomain wurde nicht erstellt, sondern einfach in den DNS-Einstellungen so angelegt) auf einen anderen Server. Wer ist in diesem Fall für die Erstellung eines SSL-Zertifikates verantwortlich? Wir als Inhaber der Domain? Oder muss der Inhaber des externen Servers sich darum kümmern, auf den die Subdomain verweist?

Vielen Dank im Voraus!

...zum Beitrag

Was möchtest Du wissen?

Deine Frage stellen