SSL Zertifikate von IIS auf Apache konvertieren

Zuerst benötigt man eine Microsoft Management Console. Diese startet man über „Start -> Run… -> mmc.exe“.

Nun muss man das Zertifikat Snap-in hinzufügen. Snap-ins können über „File -> Add/Remove Snap-in …“ hinzugefügt werden. In diesem Fenster kann man nun nach dem Klick auf „Add“ Snap-in’s zum hinzufügen auswählen. Hier wählt man „Certificates“ und bestätigt die auswahl mit „Add“. In dem sich öffnenden Dialog wählt man zuerst „Computer account“ und anschließend „Local Computer“ und bestätigt die Auswahl mit „Finish“. Es müssen keine weiteren Snap-ins hinzugefügt werden, darum kann man die Auswahl mit „Close“ verlassen und mit „OK“ bestätigen.

Nun findet man im Menü das Zertifikat Snap-in und in diesem unter „Personal“ und dann „Certificates“ die einzelnen IIS Zertifikate, welche auf dem Server installiert sind. Jetzt muss das Zertifikat zuerst exportiert werden. Dazu macht man einen Rechtsklick auf das entsprechende Zertifikat und wählt „All Tasks -> Export…“ und startet damit den „Certificate Export Wizard“. Hier ist es wichtig das die Option „Yes. export the private key“ mit ausgewählt wird. Am Ende des Assistenten kann man das Zertifikat als PFX Datei speichern (z.B. export.pfx).

Die PFX Datei kann nun mit openssl konvertieren. Dazu muss zuerst der Private Key aus der PFX Datei extrahiert werden:

openssl pkcs12 -in export.pfx -nocerts -out key.pem

Anschließend das eigentliche Zertifikat ebenfalls aus der PFX Datei extrahieren:

openssl pkcs12 -in export.pfx -clcerts -nokeys -out cert.pem

Nun muss man noch das Passwort, welches von Windows vom Zertifikatschlüssel entfernen. Ansonsten müsste man bei jedem Neustart des Apache Webservers dieses Passwort eingeben

openssl rsa -in key.pem -out server.key
openssl rsa -in key.pem > key.pem

Nun kann man das Zertifikat und den dazugehörigen Schlüssel zum VirtualHost in die entsprechende Apache Site Konfiguration einbinden:

SSLEngine on
SSLCertificateFile cert.pem
SSLCertificateKeyFile key.pem

Links:
http://www.madboa.com/geek/openssl

Schreibe einen Kommentar

eMail-Benachrichtigung bei weiteren Kommentaren.
Auch möglich: Abo ohne Kommentar.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.