# Zertifikat mit AD erzeugen Wenn du eine **klassische AD-Zertifizierungsstelle** hast und **nur mit Windows-Bordmitteln** ein Zertifikat anfordern willst, geht das sehr stabil mit **certreq + certutil + openssl**. Damit bekommst du auch die drei Dateien (`.crt`, `.key`, `.chain.pem`), die Nginx Proxy Manager erwartet. --- ## 🔧 Schritt-für-Schritt mit Windows Bordmitteln ### 1. Request-Datei erstellen Erstelle eine INF-Datei, z. B. `request.inf`: ```ini [Version] Signature="$Windows NT$" [NewRequest] Subject = "CN=app.contoso.com" KeySpec = 1 KeyLength = 2048 Exportable = TRUE MachineKeySet = TRUE SMIME = FALSE PrivateKeyArchive = FALSE UserProtected = FALSE UseExistingKeySet = FALSE ProviderName = "Microsoft RSA SChannel Cryptographic Provider" ProviderType = 12 RequestType = PKCS10 KeyUsage = 0xa0 [Extensions] 2.5.29.17 = "{text}" _continue_ = "dns=app.contoso.com&" _continue_ = "dns=www.app.contoso.com" [EnhancedKeyUsageExtension] OID=1.3.6.1.5.5.7.3.1 ; Server Authentication ``` ### 2. CSR erzeugen ```powershell certreq -new request.inf request.csr ``` ### 3. Zertifikat bei der AD-CA beantragen Falls dein Client Mitglied der Domäne ist und du Berechtigungen hast: ```powershell certreq -submit -config "CA-SERVER\CA-NAME" request.csr cert.cer ``` - `CA-SERVER\CA-NAME` ist deine AD-CA (findest du in der CA-Konsole). - Ergebnis: `cert.cer` (dein Serverzertifikat). - Private Keys liegen im Windows-Keystore. ### 4. In PFX exportieren Zuerst Zertifikat in den Store importieren: ```powershell certreq -accept cert.cer ``` Dann per `certutil` mit privatem Schlüssel exportieren: ```powershell certutil -exportPFX -p SuperGeheimesPasswort My "CN=app.contoso.com" app.pfx ``` Jetzt hast du alles in `app.pfx`. ### 5. Aufsplitten in 3 Dateien Windows kann kein `.pem` direkt erzeugen → hier kommt **OpenSSL** ins Spiel (kannst du von [slproweb.com](https://slproweb.com/products/Win32OpenSSL.html) installieren). ```bash # privater Schlüssel extrahieren openssl pkcs12 -in app.pfx -nocerts -out privkey.pem -nodes -password pass:SuperGeheimesPasswort # Zertifikat extrahieren openssl pkcs12 -in app.pfx -clcerts -nokeys -out cert.pem -password pass:SuperGeheimesPasswort # Kette (Root + Intermediate) extrahieren openssl pkcs12 -in app.pfx -cacerts -nokeys -out chain.pem -password pass:SuperGeheimesPasswort ``` Damit hast du: - `privkey.pem` → der private Schlüssel - `cert.pem` → dein Serverzertifikat - `chain.pem` → die Zwischen-/Root-Zertifikate Diese drei Dateien kannst du dann im **Nginx Proxy Manager** unter „Custom SSL Certificate“ hochladen. ✅ --- ## 📌 Zusammenfassung - Mit **`certreq`** → CSR erzeugen und Zertifikat von AD CS holen - Mit **`certutil`** → in PFX exportieren - Mit **`openssl`** → in die drei Dateien (`privkey.pem`, `cert.pem`, `chain.pem`) zerlegen Das ist der „saubere“ Microsoft-Weg, kein Gefrickel. --- 👉 Soll ich dir ein komplettes **PowerShell-Skript** bauen, das all diese Schritte (CSR → AD-CA → PFX → PEMs) automatisch abwickelt? Dann müsstest du nur einmal CN/Domains eintragen und hättest am Ende direkt die 3 Dateien im gewünschten Ordner.