Zertifikat mit AD erzeugen

Wenn du eine klassische AD-Zertifizierungsstelle hast und nur mit Windows-Bordmitteln ein Zertifikat anfordern willst, geht das sehr stabil mit certreq + certutil + openssl. Damit bekommst du auch die drei Dateien (.crt, .key, .chain.pem), die Nginx Proxy Manager erwartet.

🔧 Schritt-für-Schritt mit Windows Bordmitteln

1. Request-Datei erstellen

Erstelle eine INF-Datei, z. B. request.inf:

[Version]
Signature="$Windows NT$"

[NewRequest]
Subject = "CN=app.contoso.com"
KeySpec = 1
KeyLength = 2048
Exportable = TRUE
MachineKeySet = TRUE
SMIME = FALSE
PrivateKeyArchive = FALSE
UserProtected = FALSE
UseExistingKeySet = FALSE
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
ProviderType = 12
RequestType = PKCS10
KeyUsage = 0xa0

[Extensions]
2.5.29.17 = "{text}"
_continue_ = "dns=app.contoso.com&"
_continue_ = "dns=www.app.contoso.com"

[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1 ; Server Authentication

2. CSR erzeugen

certreq -new request.inf request.csr

3. Zertifikat bei der AD-CA beantragen

Falls dein Client Mitglied der Domäne ist und du Berechtigungen hast:

certreq -submit -config "CA-SERVER\CA-NAME" request.csr cert.cer

• CA-SERVER\CA-NAME ist deine AD-CA (findest du in der CA-Konsole).

• Ergebnis: cert.cer (dein Serverzertifikat).

• Private Keys liegen im Windows-Keystore.

4. In PFX exportieren

Zuerst Zertifikat in den Store importieren:

certreq -accept cert.cer

Dann per certutil mit privatem Schlüssel exportieren:

certutil -exportPFX -p SuperGeheimesPasswort My "CN=app.contoso.com" app.pfx

Jetzt hast du alles in app.pfx.

5. Aufsplitten in 3 Dateien

Windows kann kein .pem direkt erzeugen → hier kommt OpenSSL ins Spiel (kannst du von slproweb.com installieren).

# privater Schlüssel extrahieren
openssl pkcs12 -in app.pfx -nocerts -out privkey.pem -nodes -password pass:SuperGeheimesPasswort

# Zertifikat extrahieren
openssl pkcs12 -in app.pfx -clcerts -nokeys -out cert.pem -password pass:SuperGeheimesPasswort

# Kette (Root + Intermediate) extrahieren
openssl pkcs12 -in app.pfx -cacerts -nokeys -out chain.pem -password pass:SuperGeheimesPasswort

Damit hast du:

• privkey.pem → der private Schlüssel

• cert.pem → dein Serverzertifikat

• chain.pem → die Zwischen-/Root-Zertifikate

Diese drei Dateien kannst du dann im Nginx Proxy Manager unter „Custom SSL Certificate“ hochladen. ✅

📌 Zusammenfassung

• Mit certreq → CSR erzeugen und Zertifikat von AD CS holen

• Mit certutil → in PFX exportieren

• Mit openssl → in die drei Dateien (privkey.pem, cert.pem, chain.pem) zerlegen

Das ist der „saubere“ Microsoft-Weg, kein Gefrickel.

👉 Soll ich dir ein komplettes PowerShell-Skript bauen, das all diese Schritte (CSR → AD-CA → PFX → PEMs) automatisch abwickelt? Dann müsstest du nur einmal CN/Domains eintragen und hättest am Ende direkt die 3 Dateien im gewünschten Ordner.