SSL Zertifikat ersetzen

Um ein bestehendes Zertifikat zu ersetzen, muss die Bindung an das alte entfernt werden. Dann kann es aus dem Zertifikatsspeicher von Windows entfernt werden. Das erneuerte Zertifikat muss im .pfx-Format importiert werden (wegen dem private Key, der dort mit dran hängt). Andernfalls kommt es bei der Bindung zu einem Fehler.

Platzhalter werden im folgenden mit < > gekennzeichnet und sind durch Werte zu ersetzen.

Schritt 1: Erneuertes SSL-Zertifikat im .pfx-Format importieren #

Am Einfachsten kommt man zum Import des Zertifikats, indem in der Suchleiste ‘Zerti’ eingegeben wird, und dann ‘Computerzertifikate verwalten’ wählt. Es klappt ebenso mit ‘mmc’ und den Hinzufügen des Snap-In ‘Zertifikate’. Hier muss das Zertifikat unter Eigene Zertifikate (mit dem Häkchen bei exportierbar gesetzt) importiert werden.

Hinweis:

Wenn dass Zertifikat nicht als .pfx-Datei zur Verfügung steht, dann wird der Import zwar funktionieren, aber beim Setzen der Bindung an den Port kommt eine Fehlermeldung. Es ist möglich, aus dem Privaten Schlüssel und dem Zertifikat ein .pfx-Zertifikat zu erzeugen.

Dafür wird benötigt (alle Dateien am Besten im selben Ordner):

• OpenSSL für Windows (vorzugsweise portable)
• Datei mit dem Private Key (üblicherweise endet die Datei mit .key)
• Datei mit dem Zertifikat (üblicherweise endet die Datei mit .crt)

openssl.exe pkcs12 -inkey privaterSchlüssel.key -in certificate.crt -export -out certificate.pfx

Schritt 2: Fingerprint des importierten Zertifikats ermitteln #

Mit einem Doppelklick auf das importierte Zertifikat steht dann unter ‘Fingerprint’ im Reiter ‘Details’ der Wert für den Fingerprint. Den brauchen wir in Schritt 5, also notieren.

Schritt 3: Prüfen, welche Bindungen vorhanden sind #

(Da es sein kann, dass es mehr, als nur eine Bindung für den selben Fingerprint gibt, das mit dem folgenden Kommando prüfen.)

netsh http show sslcert

Schritt 4: Löschen der bestehenden Bindung #

(Sollte es in Schritt 3 mehr als eine Bindung auf den selben Fingerprint geben, müssen beide gelöscht werden)

netsh http delete sslcert ipport=0.0.0.0:<PORT>

netsh http delete sslcert ipport=<HOSTNAME>:<PORT>

Schritt 5: Bindung neu erzeugen #

(Sollte es in Schritt 3 mehr als eine Bindung auf den selben Fingerprint geben, müssen beide hinzugefügt werden)

netsh http add sslcert ipport=0.0.0.0:<PORT> certhash=<FINGERPRINT> appid={de123d7b-7dde-4c4e-b5d5-eb92343fa34e}

netsh http add sslcert ipport=<HOSTNAME>:<PORT> certhash=<FINGERPRINT> appid={de123d7b-7dde-4c4e-b5d5-eb92343fa34e}