Tanúsítvány export probléma

Sziasztok!

Szeretnék kérni egy kis segítséget. Már kb 5 órája bújom a netet és egyszerűen elfogytam az ötletekből. 

Adott több szerverből álló IIS szolgáltatást. Ehhez van egy tanúsítvány amit két nap múlva lejár. Készítettem egy cert requestet az egyik Windows szerveren, hogy arra kaphassak egy új wildcard tanúsítványt. Az új tanúsítvány meg is érkezett. Az új tanúsítványt arra a gépre telepítve minden rendben is van. Viszont ezt most ki kellene exportálnom és a többi szerverre is telepítenemű. Viszont nem tudom úgy exportálni, hogy a privát kulcs is jöjjön vele. Azt nem engedi a Windows. 

Ha kiadom ezt a parancsot a szerveren:  certutil -repairstore my 94F84BAC41VALAMILYENSOROZATSZAMD50816 akkor kiírja nekem, hogy Private key is NOT exportable

Van esetleg valakinek valamilyen tipje, hogy tudnám exportálni ezt a tanúsítványt? 

Előre is köszönöm a segítséget!

Hozzászólások

Szerkesztve: 2021. 10. 20., sze – 21:33

A registryből nem tudod tokkal-vonóval átvinni az egészet a másik gépre? Nézd meg a tanúsítvány Thumbprint-jét, majd keresd meg a tanúsítványt a registryben.

Machine Store: HKLM\SOFTWARE\Microsoft\SystemCertificates
User Store: HKCU\SOFTWARE\Microsoft\SystemCertificates

üdv.

Hogyan csináltad (milyen programmal/eszközzel) a csr-t? A csr létrehozás során (vagy még az előtt) kellett létrejönnie a privátkulcsnak is.

Hát, ha mégis újrakezded, talán elég a privátkulcs-generálást csinálni openssl-lel, a többi a már ismert módszerrel [legalábbis felteszem, hogy tud "hozott" privátkulccsal dolgozni].

Pl. RSA vagy ECDSA/P256 esetére:


openssl genpkey -algorithm RSA -out key.pem -pkeyopt rsa_keygen_bits:4096
openssl genpkey -algorithm EC  -out key.pem -pkeyopt ec_paramgen_curve:P-256

Közben kiderült, hogy hol hibáztam. CSR generáláskor nem állítottam be, hogy a privát kulcs exportálható legyen. 

-------------------------------------------

Szerkesztve: 2021. 10. 21., cs – 10:02

Amikor egyszer így jártam a Mimikatz bevált (Igaz, az egy Windows 10-es kliens volt és van minimal safe forkja ami csak ezt tudja, de a Windows Defender szerintem arra is azt mondja , hogy vírus)