Сертификаты

Let's Encrypt Wild Card Certificate Generation in IIS

Certutil

Документация certutil

Команда Описание
certutil -store -v myпосмотреть сертификаты на компьютере в хранилище my "Personal"
certutil.exe -privatekey -exportpfx <Subject Name of certificate> <filename>.pfx -nochain экспорт сертификата с приватным ключём в pfx без сертификатов из цепочки

Certreq - утилита для запроса сертификатов

Документация по certreq

Пример файла с запросом RequestConfig.inf

RequestConfig.inf
[Version]
 Signature="$Windows NT$"
 
[NewRequest]
Subject="CN=<FQDN>"
Subject="C=RU, E=myemail@mydomain.ru, O=MyOrganization, OU=MyDepartnet, L=Moscow, CN=SERVERNAME.mydomain.ru" 
FriendlyName = SERVERNAME.mydomain.ru
Exportable=TRUE
KeyLength=2048
KeySpec=1
KeyUsage=0xf0
MachineKeySet=TRUE
UserProtected = FALSE
UseExistingKeySet = FALSE
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
ProviderType = 12
RequestType = PKCS10
KeyUsage = 0xA0
HashAlgorithm = SHA256 
 
[RequestAttributes]
CertificateTemplate=MyTemplate
 
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1
OID=1.3.6.1.5.5.7.3.2
 
[Extensions] 
2.5.29.17 = "{text}"
_continue_ = "dns=SERVERNAME.mydomain.ru&dns=SERVERALIAS.mydomain.ru" ;

Создание двоичного файла запроса

certreq -new -f RequestConfig.inf BinaryRequest.req

Отправляем запрос к центру сертификации

certreq -submit -attrib "CertificateTemplate:WebServer"  -config "cert.myserver.ru\MyOrg Enterprise CA" servername.req

Получить сертификат из центра сертификации

certreq -submit -config “cert.myserver.ru\MyOrg Enterprise CA” servername.req

Установить сертификат

certreq -accept -machine  NewCertificate.cer

TLS

Путь к настройкам tls 

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2

Client

"DisabledByDefault" = dword:00000000
"Enabled"           = dword:00000001

Server

"DisabledByDefault" = dword:00000000
"Enabled"           = dword:00000001

После изменений необходимо перегрузить компьютер.

Экспорт сертификата с приватным ключом, если это запрещено

1. Заходим в настройки и разрешаем отображение скрытых файлов 

 Start\Settings\Сontrol Panel\Appearance and Themes\Folder Options\View tab\Hidden files and folders\Show hidden files and folders

2. Заходим в папку 

%SystemDrive%\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys

или 

C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys

Каждый файл это контейнер ключа. Попробуйте открыть с помощью Notepad

3. Если возникает ошибка Access Denied, то необходимо открыть свойства файла, стать его владельцем и выдать учётке Administrator право Full access. Проделать эту операцию для всех файлов.

4. Перезапустить сервис System Attendant service.