Sziasztok!
Szeretnék kérni egy kis segítséget. Már kb 5 órája bújom a netet és egyszerűen elfogytam az ötletekből.
Adott több szerverből álló IIS szolgáltatást. Ehhez van egy tanúsítvány amit két nap múlva lejár. Készítettem egy cert requestet az egyik Windows szerveren, hogy arra kaphassak egy új wildcard tanúsítványt. Az új tanúsítvány meg is érkezett. Az új tanúsítványt arra a gépre telepítve minden rendben is van. Viszont ezt most ki kellene exportálnom és a többi szerverre is telepítenemű. Viszont nem tudom úgy exportálni, hogy a privát kulcs is jöjjön vele. Azt nem engedi a Windows.
Ha kiadom ezt a parancsot a szerveren: certutil -repairstore my 94F84BAC41VALAMILYENSOROZATSZAMD50816 akkor kiírja nekem, hogy Private key is NOT exportable.
Van esetleg valakinek valamilyen tipje, hogy tudnám exportálni ezt a tanúsítványt?
Előre is köszönöm a segítséget!
- 178 megtekintés
Hozzászólások
A registryből nem tudod tokkal-vonóval átvinni az egészet a másik gépre? Nézd meg a tanúsítvány Thumbprint-jét, majd keresd meg a tanúsítványt a registryben.
Machine Store: HKLM\SOFTWARE\Microsoft\SystemCertificates
User Store: HKCU\SOFTWARE\Microsoft\SystemCertificates
üdv.
- A hozzászóláshoz be kell jelentkezni
Megnézem ma mit látok ott.
- A hozzászóláshoz be kell jelentkezni
Hogyan csináltad (milyen programmal/eszközzel) a csr-t? A csr létrehozás során (vagy még az előtt) kellett létrejönnie a privátkulcsnak is.
- A hozzászóláshoz be kell jelentkezni
Sose kellet csinálnom ilyet és a tapasztalatlanságomban Windowsnak a saját cert managerével. Ha tudtam volna, hogy ilyen bajom lesz akkor felcsapok egy linuxot és azzal generáltam volna.
- A hozzászóláshoz be kell jelentkezni
Hát, ha mégis újrakezded, talán elég a privátkulcs-generálást csinálni openssl-lel, a többi a már ismert módszerrel [legalábbis felteszem, hogy tud "hozott" privátkulccsal dolgozni].
Pl. RSA vagy ECDSA/P256 esetére:
openssl genpkey -algorithm RSA -out key.pem -pkeyopt rsa_keygen_bits:4096
openssl genpkey -algorithm EC -out key.pem -pkeyopt ec_paramgen_curve:P-256
- A hozzászóláshoz be kell jelentkezni
Nem próbáltam, de esetleg: https://www.google.com/url?sa=t&source=web&rct=j&url=https://stackoverf…
- A hozzászóláshoz be kell jelentkezni
Közben kiderült, hogy hol hibáztam. CSR generáláskor nem állítottam be, hogy a privát kulcs exportálható legyen.
- A hozzászóláshoz be kell jelentkezni
Amikor egyszer így jártam a Mimikatz bevált (Igaz, az egy Windows 10-es kliens volt és van minimal safe forkja ami csak ezt tudja, de a Windows Defender szerintem arra is azt mondja , hogy vírus)
- A hozzászóláshoz be kell jelentkezni
Az a baj, hogy ezt most egy éles szerveren kellet volna eljátszanom. És nem mertem megkockáztatni.
- A hozzászóláshoz be kell jelentkezni