Selfsigned Certificate - Selbserstelltes Zertifikat - MakeCert.exe

Autor: Mark Heitbrink - vom 02.12.2013 - Kategorie(n): Anleitungen

Ihr braucht für rein interne Zwecke ein Zertifkat für euren Webserver. Dafür jetzt eine PKI aufzubauen, wäre wohl mit Kanonen auf Spatzen geschossen.


Eine ganz einfache schnelle Lösung bietet: SelfSSL.exe

Die etwas komfortablere Lösung ist: MakeCert.exe aus dem Windows SDK

Der Vorteil gegenüber SelfSSL ist, ihr könnt damit SAN Certificates (Subject Alternate Name) austellen und sogar Wildcard Certificates. Das Ganze zuwohl für den Benutzer, als auch den Computer und es erlaubt jeden Verwendungszweck, nicht nur Serverauthentifizierung.

Ein mögliches Einsatzgebiet ist neben den klassischen WebSeiten, die interne und externe Namen haben auch euer WSUS Server, der ein CodeSigning Certificate nutzen kann um Drittanbieter Software, z.B. über den WPP - Wsus Package Publisher zu verteilen.

Die makecert.exe ist Bestandteil des Windows 7.1 SDKs:

http://www.microsoft.com/en-us/download/details.aspx?id=8279

Bei der Installation benötigt ihr nicht alle Komponenten, sondern nur:
Windows Native Code Development -> Tools


Danach habt ihr unter C:\Program Files\Microsoft SDKs\Windows\v7.1\Bin\x64 die makecert.exe

Erstellen eins Zertifikats mit allen Verwendungszwecken: makecert -r -pe -n "CN=meinserver" -e 12/02/2023 -ss my -sr localmachine -sky signature

Erstellen eines CodeSigning Zertifikates:

Makecert -r -pe -n "CN=meinserver" -e 12/02/2023 -ss my -sr localmachine -eku 1.3.6.1.5.5.7.3.3


Erstellen eines SAN - WebServer Zertifikates / Serverauthentifizierung:

Makecert -r -pe -n "CN=meinserver, CN=meinserver.firma.ads, CN=mail.firma.de" -e 12/02/2023 -ss my -sr localmachine -eku 1.3.6.1.5.5.7.3.1

Verwendungszwecke - Gültige OIDs in makecert.exe
http://www.codingfreaks.de/2012/04/02/gultige-oids-in-makecert-exe/