Wiki source code of PFX Key erstellen für Azure Active Directory Domain Services
Version 1.1 by Dimitri Rupp on 2026/06/11 11:09
Show last authors
| author | version | line-number | content |
|---|---|---|---|
| 1 | Für ein erstelles Azure Active Directory Domain Service werden PFX Zertifikate benötigt. Diese können von einer Trsuted CA gekauft werden oder selber erstellt werden. Um ein PFX Zertifikat selber zu erstellen wird das Programm OpenSSL benötigt. Dies gibt es für Linux und Windows. | ||
| 2 | |||
| 3 | Aktuell wird bei SPL ein selbstsigniertes PFX Zertifikat für KnowBe4 verwendet. | ||
| 4 | |||
| 5 | Open SSL für Windows kann aktuell hier heruntergeladen werden: [[https:~~/~~/www.heise.de/download/product/win32-openssl-47316>>https://www.heise.de/download/product/win32-openssl-47316]] | ||
| 6 | |||
| 7 | Bei OpenSSL handelt es sich um eine reine Ansammlung an Command Tools, somit gibt es keine Oberfläche und alles muss in der CMD Eingabeaufforderung durchgeführt werden. | ||
| 8 | |||
| 9 | |||
| 10 | |||
| 11 | CMD muss zwingend mit einem User ausgeführt werden der Schreibrechte auf c:\ hat, da Temporär Dateien im Root abgelegt werden und ein regulärer Benutzer diese Rechte nicht hat. | ||
| 12 | |||
| 13 | |||
| 14 | Nun wechselt man in das Open SSL Verzeichnis, dort in den Ordner BIN und führt die Datei openssl.exe aus. Alle folgenden Befehle werden nun von OpenSSL interpretiert. | ||
| 15 | |||
| 16 | |||
| 17 | |||
| 18 | Damit wir ein PFX Zertifikat erstellen können sind mehrere Schritte nötig. | ||
| 19 | |||
| 20 | ~1. Wir öffnen uns ein Notepad und erstellen uns eine Config Datei mit deren Hilfe wir unseren Key erstellen. In dieser Datei ist im Grunde alles egal, bis auf den CN, dieser muss zwingend mit dem Domain Namen für den Domain Service übereinstimmen. Die Konfig Datei für KnowBe4 ist wie folgt aufgebaut. | ||
| 21 | |||
| 22 | ># openssl x509 extfile params | ||
| 23 | >extensions = extend | ||
| 24 | >[req] | ||
| 25 | >prompt = no | ||
| 26 | >distinguished_name = dn-param[dn-param] # DN fields | ||
| 27 | >C = AT | ||
| 28 | >ST = NOE | ||
| 29 | >L = Wolkersdorf | ||
| 30 | >O = Spl Tele | ||
| 31 | >OU = spltele | ||
| 32 | >CN = *.spltele.onmicrosoft.com[extend] | ||
| 33 | >subjectKeyIdentifier = hash | ||
| 34 | >authorityKeyIdentifier = keyid:always | ||
| 35 | >keyUsage = digitalSignature,keyEncipherment,keyCertSign | ||
| 36 | >extendedKeyUsage=serverAuth,clientAuth | ||
| 37 | |||
| 38 | |||
| 39 | Konfig Datei zum Download: [[attach:spltele.cfg||target="_blank"]] | ||
| 40 | |||
| 41 | |||
| 42 | 2. Das erstellen eines Privaten Keys welcher zur Ver- und entschlüsselung genutzt wird. Hierzu folgenden Befehlt ausführen: | ||
| 43 | |||
| 44 | (% class="box infomessage" %) | ||
| 45 | ((( | ||
| 46 | genrsa -out spltele.key 2048 | ||
| 47 | ))) | ||
| 48 | |||
| 49 | 3. Nun erstellen wir uns einen CSR auf Basis des vorher bereits erstellen Keys und der Config Datei. Dazu geben wir folgenden Befehl ein: | ||
| 50 | |||
| 51 | (% class="box infomessage" %) | ||
| 52 | ((( | ||
| 53 | req -new -key spltele.key -out spltele.csr -config spltele.cfg | ||
| 54 | ))) | ||
| 55 | |||
| 56 | 4. Mit dem CSR und dem Privaten Key können wir nun das eigentliche Zertifikat im CER oder CRT Format erstellen. Dazu brauchen wir folgenden Befehl: | ||
| 57 | |||
| 58 | (% class="box infomessage" %) | ||
| 59 | ((( | ||
| 60 | x509 -req -sha256 -days 1095 -in spltele.csr -signkey spltele.key -out spltele.crt -extfile spltele.cfg | ||
| 61 | ))) | ||
| 62 | |||
| 63 | 5. Zum Schluss können wir das CRT File dann in ein PFX File umwandeln. Dazu folgenden Befehl verwenden. | ||
| 64 | |||
| 65 | (% class="box infomessage" %) | ||
| 66 | ((( | ||
| 67 | pkcs12 -export -out spltele.pfx -inkey spltele.key -in spltele.crt | ||
| 68 | ))) | ||
| 69 | |||
| 70 | Während der Erstellung des PFX Files wird ein Passwort verlangt, dieses ist bei einem PFX File zwingend. Auch wird dieses später beim einbinden vom Domain Services angefordert. | ||
| 71 | |||
| 72 | ---- | ||
| 73 | |||
| 74 | == Verwandte Themen == | ||
| 75 | |||
| 76 | //Kuratiert — kann direkt im Editor ergänzt werden:// | ||
| 77 | |||
| 78 | * [[Abwesenheitsnotiz setzen (Admin Console)>>doc:IT-Wiki.02-Tools.Microsoft-365.Admin.Abwesenheitsnotiz-setzen-(Admin-Console).WebHome]] | ||
| 79 | * [[Antiphishing Ausnahmen definieren>>doc:IT-Wiki.02-Tools.Microsoft-365.Admin.Antiphishing-Ausnahmen-definieren.WebHome]] | ||
| 80 | * [[Basic-authentifzierung aktivieren>>doc:IT-Wiki.02-Tools.Microsoft-365.Admin.Basic-authentifzierung-aktivieren.WebHome]] | ||
| 81 | |||
| 82 | {{include reference="IT-Wiki.Makros.Verwandte-Themen.WebHome"/}} | ||
| 83 | |||
| 84 | ---- | ||
| 85 | **Status:** Migriert — Team-Review ausstehend · **Owner:** //(festlegen)// · **Letzter Review:** 2026-06-11 |