Wie Root Zertifikat von SubCA exportieren?

[andrew 15]

hello together

 

versuche gerade, das Root Zertifikat der SubCA zu exportieren (.pfx File)

 

1. habe Powershell geöffnet

2. certutil -viewstore -Enterprise eingegeben, Enter

3. POP Fenster geht auf mit Titel: Zertifikatsspeicher anzeigen, darin enthalten zwei Zertifikate

=> IT-NetX-RootCA

=> IT-NetX-SubCA

 

Möchte nun das Zertifikat "IT-NetX-SubCA" in ein .pfx File exportieren.

 

Dachte, ich müsste diesen Befehl hier verwenden, da scheint aber was falsch zu sein, weiss aber nicht, wo ich was falsch mache

 

Folgenden Befehl verwendet:

C:\Users\administrator.IT-NETX> certutil -exportPFX -enterprise root "790000000209b5d7a3183d2953000000000002" C:\Temp\IT-NetX-SubCA.pfx

 

Meldung:

root "Vertrauenswürdige Stammzertifizierungsstellen"
CertUtil: -exportPFX-Befehl ist fehlgeschlagen: 0x80090011 (-2146893807 NTE_NOT_FOUND)
CertUtil: Das Objekt wurde nicht gefunden.
PS C:\Users\administrator.IT-NETX>

 

Bemerkung

Öffne ich eine mmc, füge das Snap-In Zertifikate hinzu (Computer), dann finde ich unter

=> Vertrauenswürdige Stammzertifizierungsstellen

   => Zertifikate

 

hier mein Stammzertifikat der untergeordneten CA vor?! .....

Danke für die Unterstützung :-)

[daabm 1.183]

ROOT sind Stamm-CAs - Du suchst ne Sub-CA, da müßte "root" durch "ca" ersetzt werden. So ist das zumindest mit certutil und dem lokalen Store...

[andrew 15]

tatsächlich, der Befehl war soweit richtig, bis auf genau diesen Punkt hehe ... ach jeee, soweit habe ich soeben nicht überlegt, stimmt doch ...

Nachdem ich den Befehl wie unten aufgeführt ist, ausgeführt habe, kam eine Passwort Abfrage: Dieses eingegeben, nochmals bestätigt Und: Das Stammzertifikat (wenn dieser Ausdruck hierfür korrekt ist?!) von meiner SubCA wurde nun Passwortgeschützt inkl. Privater Schlüssel im Format .pfx im Dateipfad C:\Temp\ mit dem Namen IT-NetX-SubCA.pfx abgelegt, goil ;)

 

Für alle, die es interessiert, der Befehl lautete nun wie folgt:

 

C:\Users\administrator.IT-NETX> certutil -exportPFX -Enterprise ca "790000000209b5d7a3183d2953000000000002" C:\Temp\IT-NetX-SubCA.pfx

Weiterführende Infos von Microsoft sind hier erhältlich: http://technet.microsoft.com/library/cc772898.aspx#BKMK_display_certs

 

Super, vielen Dank für den Denkanstoss :-)

nun habe ich aber doch noch eine Frage, denn es erscheint noch folgende Meldung beim Export Vorgang: (fett hervorgehoben)

Woran liegt das?

 

----------------------------------------

CA "Zwischenzertifizierungsstellen"
================ Zertifikat 1 ================
Seriennummer: 790000000209b5d7a3183d2953000000000002
Aussteller: CN=IT-NetX-RootCA, DC=it-netx, DC=local
Nicht vor: 29.06.2014 00:18
Nicht nach: 29.06.2016 00:28
Antragsteller: CN=IT-Netx-SubCA, DC=it-netx, DC=local
Version der Zertifizierungsstelle: V0.0
Zertifikatvorlagenname (Zertifikattyp): SubCA
Kein Stammzertifikat
Vorlage: SubCA, Untergeordnete Zertifizierungsstelle
Zertifikathash(sha1): 74 85 a9 fe 58 05 88 33 84 95 68 43 60 b1 f2 cc 53 cd 30 8f
Keine Informationen über den Schlüsselanbieter
Das Zertifikat und der private Schlüssel für die Entschlüsselung wurden nicht gefunden.
Verschlüsselungstest wurde durchgeführt
Neues Kennwort für die Ausgabedatei C:\Temp\IT-NetX-SubCA.pfx:
Neues Kennwort eingeben:

----------------------------------------------------

[daabm 1.183]

Ist dieses Zertifikat als "exportierbar" markiert? Ich vermute "nein"...

[andrew 15]

Vielleicht habe ich einen Überlegungsfehler gemacht, dachte, ich müsste das Zertifikat der SubCA exportieren, damit ich beispielsweise dieses auf meiner Sophos UTM Firewall importieren könnte Und: somit dann in der Lage gewesen wäre, Zertifikate auf der Sophos UTM Firewall zu generieren, welche mit Hilfe dieses Zertifikats signiert würden.

 

Aber: Dieses Zertifikat beinhaltet keinen privaten Schlüssel, denn sonst hätte es ja noch das kleine Schlüssel Symbol in Zertifikat, oder?

Dieses Schlüssel Symbol hat nur mein RootCA Zertifkat, welches ich bereits als .pfx vorliegend habe.

 

Dachte mir dann, ok, dann importiere ich halt das Root Zertifikat mit dem Privaten Schlüssel auf meiner Sophos UTM Firewall (Dort gibt es unter Zertifikatverwaltung einen Punkt, der nennt sich: CA Importieren). Das geschützt Root Zertifikat mit privaten Schlüssel, welches ich als Passwortgeschützte .p12 Datei vorliegend habe, importierte ich wie beschrieben auf der Sophos UTM Firewall.

 

Danach erstellte ich auf der Sophos UTM Firewall ein neues Zertifikat, welches nun meiner Meinung nach in einer mathematischen Beziehung zum Root Zertifikat mit privaten Schlüssel steht, korrekt?

 

Warum das alles?

Weil ich mit der Sophos UTM die Möglichkeit habe, um Benutzern Remote Zugriffe auf die Firewall bzw. auf mein Netzwerk zu gewähren, was ich zuerst mit SSL VPN Versucht hatte.

 

Als ich ursprünglich auf einem PC via Benutzerportal der Sophos UTM Firewall den SSL VPN Client heruntergeladen hatte, danach versuchte, eine SSL VPN Verbindung von extern auf meine Sophos UTM Firewall herzustellen, scheiterte die Verbindung.

 

Ich überprüfte das LOG File und stellte fest, dass ein ein SSL Handshake Problem gab.

Genau das war der Grund für diese ganze Übung, eben ein Zertifikat meiner internen Windows Server 2012 R2 CA auf der Sophos UTM Firewall importieren zu wollen, damit auf der Sophos UTM eine CA vorhanden ist, welche Zertifikate signieren und oder prüfen kann, welche dann auf der Sophos UTM Firewall erstellt würden Und: im SSL VPN Paket, welches via User Portal von Benutzern heruntergeladen kann, in diesem SSL VPN Paket dann enthalten ist oder wäre.

 

Was wiederum dann eine saubere SSL Kommunikation zwischen SSL VPN Client (darin enthalten wäre oder ist dann meiner Meinung nach eben ein SSL Zertifikat, welches auf der Sophos UTM zuvor von mir erstellt und von der CA auf der Sophos UTM signiert wurde) erlaubt.

 

Natürlich hätte ich auch auf der Sophos UTM die vorkonfigurierten CAs belassen können, welche die Zertifikate signiert und oder verifiziert hätten, welche nachträglich auf der Sohpos UTM Firewall erstellt würden und somit auch in einer mathematischen Beziehung zu einander stehen würden, jedoch reizte mich eben die Möglichkeit, die Windows CA soweit verwenden zu können, dass ich die Zertifikate überall hin exportieren, importieren und verwenden kann, Dienste verifizieren usw.

 

Das klappte nach meiner Übung dann schlussendlich auch, denn ich konnte mich nach dem

=> Import des RootCA im .p12 Format mit Privaten Schlüssel auf der Sophos UTM

=> dem danach erstellen eines SSL Zertifikats auf der Sophos UTM

=> dem angeben in der VPN Konfiguration der Sophos UTM, dass ich dieses soeben erstellte SSL Zertifikat verwenden will

=> dem Download des SSL VPN Pakets via User Portal von extern und dadurch auch durch den Erhalt des SSL Zertifikats (welches ich auf der Sophos UTM Firewall erstellt habe, welches dann durch das RootCA Zertifikat mit Privaten Schlüssel signiert wurde)

=> erfolgreich von extern eine SSL VPN Verbindung auf die Firewall herstellen, SSL Handshake kam ohne Fehlermeldungen zu Stande und somit war der verschlüsselte SSL Kanal perfekt (von extern, auf meine Sophos UTM Firewall) :-)

[Dukel 436]

Ich weiß jetzt nicht ob das von Sophos so gewünscht ist aber das Root Certifikat gibt man, vor allem nicht mit dem Privaten Schlüssel, heraus.

[daabm 1.183]

Jedes Zertifikat hat einen privaten Schlüssel, sonst wäre es keines :-) Noch mal die Frage nach "ist der Schlüssel überhaupt exportierbar"... Und wie von Dukel schon geschrieben - ein Root-Zertifikat gibt man nicht inkl. Private Key raus. Niemals und an niemanden.

 

@Dukel. Das Zertifikat selber MUSST Du ja herausgeben, damit es vertrauenswürdig werden kann :cool:  Da steckt dann aber nur der Public Key drin, und der heißt so, weil er genau das ist: Öffentlich.

[andrew 15]

zuerst, was die Sophos Firewall Hilfe zum Thema CA (Signierungs- & Verifizierungs CA) sagt ;)

 

Auf der Registerkarte Site-to-Site-VPN > Zertifikatverwaltung > CA können Sie neue Zertifizierungsstellen importieren. Eine Zertifizierungsstelle (CA, Certificate Authority) ist eine Organisation, die digitale Zertifikate für die Benutzung durch andere Parteien ausstellt. Eine CA attestiert, dass der im Zertifikat enthaltene öffentliche Schlüssel zur Person oder Organisation, zum Host oder einer anderen Instanz gehört, die/der im Zertifikat aufgeführt ist. Dies wird erreicht, indem bei der Signierungsanfrage das Zertifikat mit dem privaten Schlüssel des CA-eigenen Zertifikats signiert wird.

Bemerkung dazu von mir: Da das Root Zertifikat mit dem Privaten Schlüssel aus Sicherheitsgründen NICHT exportiert werden soll, so müsste ich ja demnach das Zertifikat der SubCA (meiner Windows Server 2012 R2 CA) auf der Sophos Firewall importieren, damit meine Sophos Firewall auch als Signierungs CA fungieren könnte), ist anders gar nicht möglich (oder sehe ich da was falsch?)

 

Solch eine CA wird deshalb auch als Signierungs-CA bezeichnet.

Auf der UTM wurde die Signierungs-CA automatisch während der ersten Anmeldung an der UTM generiert, wobei die angegebenen Informationen verwendet wurden. Dadurch sind alle Zertifikate, die Sie auf der Registerkarte Zertifikate erzeugen, selbst-signierte Zertifikate, das bedeutet, dass Aussteller und Inhaber identisch sind. Alternativ können Sie jedoch eine Signierungs-CA eines Drittanbieters importieren. Darüber hinaus können Sie auch andere CA-Zertifikate verwenden, deren private Schlüssel unbekannt sind, um die Authentizität eines Hosts oder Benutzers zu überprüfen, der versucht, sich über IPsecCollapsed zu verbinden. Diese CA-Zertifikate wiederum werden als Verifizierungs-CAs bezeichnet und können auch auf dieser Registerkarte importiert werden

 

 

Betreffend, ob der private Schlüssel meines SubCA Zertifkats auch exportierbar ist: Blöde Frage, wie teste ich das am einfachsten?

Mit certutil, Befehl?

 

Wenn ich die MMC öffne, das Snap-IN Zertifikate einfüge, das SubCA Zertifikat markiere und dann via rechte Maustaste auswähle, Alle Aufgaben/ exportieren, kann ich nur folgendes wählen

=> DER-codiert-binär X.509 (.CER)

=> Base-64-codiert X.509 (.CER)

=> Syntaxstandard kryptografischer Meldungen - "PKCS #7"-Zertifikate (.P7B)

=> alle anderen Optionen sind ausgegraut, unter anderem auch .pfx ?! ....

[daabm 1.183]

Dir fehlen noch Grundlagen zum Public/Private Key Prinzip... Google, Bing und WIkipedia können helfen :cool:

[andrew 15]

Vielen Dank für diesen sehr hilfreichen Hinweis, dass mir noch Grundlagen fehle in Bezug auf Public Key - mag sein, jedoch steht diese Grundsatzfrage hier im Mittelpunkt?

 

Gegenfrage: Du hast gefestigte Kenntnisse im Zertifikatswesen? Anscheinend ist bei Dir ein gewisses Verständnis vorhanden, hast mir zumindest bereits oben eine treffende Frage gestellt, jedoch dann auf meine Gegenfrage leider keine Antwort geliefert, liefern können, liefern wollen?!

 

Jedes Zertifikat hat einen privaten Schlüssel, sonst wäre es keines :-) Noch mal die Frage nach "ist der Schlüssel überhaupt exportierbar"... Und wie von Dukel schon geschrieben - ein Root-Zertifikat gibt man nicht inkl. Private Key raus. Niemals und an niemanden.

 

@Dukel. Das Zertifikat selber MUSST Du ja herausgeben, damit es vertrauenswürdig werden kann :cool:  Da steckt dann aber nur der Public Key drin, und der heißt so, weil er genau das ist: Öffentlich.

 

Wenn Du oder sonst Jemand hier im Board bessere Kenntnisse hat in Bezug auf Zertifikate, CA usw. und dies erhoffe ich mir, darum auch der Versuch, auf meine Fragen hier im Forum eine Antwort zu erhalten, würde es mich extrem freuen, wenn mir Jemand folgende Frage beantworten kann:

 

Das folgende Zitat von mir oben ist nun nochmals in gekürzter Form vorhanden, auf meinen blau geschriebenen Text habe ich keine Antwort erhalten?! :-(

 

zuerst, was die Sophos Firewall Hilfe zum Thema CA (Signierungs- & Verifizierungs CA) sagt ;)

 

Auf der Registerkarte Site-to-Site-VPN > Zertifikatverwaltung > CA können Sie neue Zertifizierungsstellen importieren. Eine Zertifizierungsstelle (CA, Certificate Authority) ist eine Organisation, die digitale Zertifikate für die Benutzung durch andere Parteien ausstellt. Eine CA attestiert, dass der im Zertifikat enthaltene öffentliche Schlüssel zur Person oder Organisation, zum Host oder einer anderen Instanz gehört, die/der im Zertifikat aufgeführt ist. Dies wird erreicht, indem bei der Signierungsanfrage das Zertifikat mit dem privaten Schlüssel des CA-eigenen Zertifikats signiert wird.

Bemerkung dazu von mir: Da das Root Zertifikat mit dem Privaten Schlüssel aus Sicherheitsgründen NICHT exportiert werden soll, so müsste ich ja demnach das Zertifikat der SubCA (meiner Windows Server 2012 R2 CA) auf der Sophos Firewall importieren, damit meine Sophos Firewall auch als Signierungs CA fungieren könnte), ist anders gar nicht möglich (oder sehe ich da was falsch?)

 

Solch eine CA wird deshalb auch als Signierungs-CA bezeichnet.

 

Betreffend, ob der private Schlüssel meines SubCA Zertifkats auch exportierbar ist: Blöde Frage, wie teste ich das am einfachsten?

Mit certutil, Befehl?

 

Wenn ich die MMC öffne, das Snap-IN Zertifikate einfüge, das SubCA Zertifikat markiere und dann via rechte Maustaste auswähle, Alle Aufgaben/ exportieren, kann ich nur folgendes wählen

=> DER-codiert-binär X.509 (.CER)

=> Base-64-codiert X.509 (.CER)

=> Syntaxstandard kryptografischer Meldungen - "PKCS #7"-Zertifikate (.P7B)

=> alle anderen Optionen sind ausgegraut, unter anderem auch .pfx ?! ....

 

Dies wird auch in diesem Artikel hier beschrieben

http://technet.microsoft.com/en-us/library/hh994592.aspx

 

Bemerkung betreffend meinem letzten Versuch, via MMC/ Snap-IN Zertifikate, das SubCA Zertifikat zu exportieren und den mir zur Verfügung stehenden Möglichkeiten, welche auf Grund dieses Typs von Zertifikat mir zur Verfügung stehen

 

Wenn dieses SubCA Zertifikat einen exportierbaren Schlüssel hätte, so wäre ja wie Du auch schon bemerkt hast, wohl diese Fehlermeldung nicht aufgetaucht Und: Ich hätte gemäss MMC/ Snap-IN hinzufügen (Snap-IN Zertifikate) wohl dann auch die Möglichkeit, den privaten Schlüssel zu exportieren, was ich aber nicht kann, wie Du sehen kannst, anhand der mir zur Verfügung stehenden Export Möglichkeiten.

 

Doppelklicke ich das SubCA Zertifikat und prüfe, auf Grund welcher Vorlage dieses ich vor langer Zeit erstellt habe, so stelle ich fest, dass im Reiter Details, Zertifikatvorlagenname, der Name: SubCA steht.

 

Bringt mich das weiter?

[daabm 1.183]

Hi Andrew. Sorry - hab wohl einen Teil der Fragen einfach übersehen :(

 

Da das Root Zertifikat mit dem Privaten Schlüssel aus Sicherheitsgründen NICHT exportiert werden soll, so müsste ich ja demnach das Zertifikat der SubCA (meiner Windows Server 2012 R2 CA) auf der Sophos Firewall importieren, damit meine Sophos Firewall auch als Signierungs CA fungieren könnte), ist anders gar nicht möglich (oder sehe ich da was falsch?)

 

Besser Du erstellt für Sophos ein eigenes CA-Zertifikat. Und achtest dabei darauf, dass der Private Key exportierbar ist. Grundsätzlich hast Du recht - wer Zertifikate ausstellen (=mit seinem privaten Schlüssel verschlüsseln/signieren) will, braucht ein CA-Zertifikat und eben den privaten Key.

 

Betreffend, ob der private Schlüssel meines SubCA Zertifkats auch exportierbar ist: Blöde Frage, wie teste ich das am einfachsten?

Mit certutil, Befehl?

 

Wenn das im Windows-Store ist: Versuche es zu exportieren. Auf der zweiten Assistentenseite kommt der private Schlüssel... Wenn Du hier nicht "Ja" anwählen kannst, dann ist er nicht exportierbar.

 

Die Zertifikatsvorlage SubCA bringt Dich nur bedingt weiter - Du könntest die bearbeiten und den PK als exportierbar markieren, dann ein neues basierend auf dieser Vorlage ausstellen.

 

PS: Ja, ich "glaube", daß ich gefestigte Kenntnisse habe :D Und die Grundlagen sind wichtig: http://blogs.technet.com/b/askds/archive/2009/09/01/designing-and-implementing-a-pki-part-i-design-and-planning.aspx

[Dunkelmann 96]

Moin,
 
bevor Du wild Zertifikate hin und her schiebst, solltest Du Dich etwas mit den Grundlagen einer PKI und der UTM vertraut machen. Etwas Grundlagen im OpenSSL Framework können auch nicht schaden.
 
Out if the box ist die UTM selbst eine Root-CA.
Du musst als erstes entscheiden, ob sie das weiterhin sein soll, ob sie als Sub CA in eine PKI integriert werden soll oder ob die UTM nur Zertifikatsempfänger werden soll.
 

zuerst, was die Sophos Firewall Hilfe zum Thema CA (Signierungs- & Verifizierungs CA) sagt ;)
 
Auf der Registerkarte Site-to-Site-VPN > Zertifikatverwaltung > CA können Sie neue Zertifizierungsstellen importieren. Eine Zertifizierungsstelle (CA, Certificate Authority) ist eine Organisation, die digitale Zertifikate für die Benutzung durch andere Parteien ausstellt. Eine CA attestiert, dass der im Zertifikat enthaltene öffentliche Schlüssel zur Person oder Organisation, zum Host oder einer anderen Instanz gehört, die/der im Zertifikat aufgeführt ist. Dies wird erreicht, indem bei der Signierungsanfrage das Zertifikat mit dem privaten Schlüssel des CA-eigenen Zertifikats signiert wird.
Bemerkung dazu von mir: Da das Root Zertifikat mit dem Privaten Schlüssel aus Sicherheitsgründen NICHT exportiert werden soll, so müsste ich ja demnach das Zertifikat der SubCA (meiner Windows Server 2012 R2 CA) auf der Sophos Firewall importieren, damit meine Sophos Firewall auch als Signierungs CA fungieren könnte), ist anders gar nicht möglich (oder sehe ich da was falsch?)

Wenn Du die Windows PKI nutzt, muss die UTM die ganze Kette kennen (und die CDP müssen für die UTM erreichbar sein).
 

Solch eine CA wird deshalb auch als Signierungs-CA bezeichnet.
Auf der UTM wurde die Signierungs-CA automatisch während der ersten Anmeldung an der UTM generiert, wobei die angegebenen Informationen verwendet wurden. Dadurch sind alle Zertifikate, die Sie auf der Registerkarte Zertifikate erzeugen, selbst-signierte Zertifikate, das bedeutet, dass Aussteller und Inhaber identisch sind. Alternativ können Sie jedoch eine Signierungs-CA eines Drittanbieters importieren. Darüber hinaus können Sie auch andere CA-Zertifikate verwenden, deren private Schlüssel unbekannt sind, um die Authentizität eines Hosts oder Benutzers zu überprüfen, der versucht, sich über IPsecCollapsed zu verbinden. Diese CA-Zertifikate wiederum werden als Verifizierungs-CAs bezeichnet und können auch auf dieser Registerkarte importiert werden
 
 
Betreffend, ob der private Schlüssel meines SubCA Zertifkats auch exportierbar ist: Blöde Frage, wie teste ich das am einfachsten?
Mit certutil, Befehl?
 
Wenn ich die MMC öffne, das Snap-IN Zertifikate einfüge, das SubCA Zertifikat markiere und dann via rechte Maustaste auswähle, Alle Aufgaben/ exportieren, kann ich nur folgendes wählen
=> DER-codiert-binär X.509 (.CER)
=> Base-64-codiert X.509 (.CER)
=> Syntaxstandard kryptografischer Meldungen - "PKCS #7"-Zertifikate (.P7B)
=> alle anderen Optionen sind ausgegraut, unter anderem auch .pfx ?! ....

Soll die UTM als Issuing CA betrieben werden, muss eine Zertifikatsanforderung für die UTM erstellt werden. Diese Anforderung muss dann von der Root signiert und das Zertifikat auf der UTM importiert werden.

 

Das Prinzip ist hier beschrieben:

http://www.sophos.com/de-de/support/knowledgebase/118084.aspx

 

Bei der Erreichbarkeit der CDP bin ich mir nicht sicher, ob die UTM das benötigt. Grundsätzlich sollten CPD aber allen Teilnehmern einer PKI zugänglich sein.