Domänenkontroller Zertifikat manuell beantragen

Domänenkontroller Zertifikat manuell beantragen

Zertifikatvorlage kann nicht verwendet werden

Wenn es die Situation erfordert und es nicht möglich ist, ein Zertifikat von der Zertifizierungsstelle direkt anzufordern, dann kann der Zertifikatantrag (Certificate Signing Request) manuell erstellt werden.

Domänenkontroller Zertifikat manuell beantragen

Dazu benötigen wir lediglich eine Konfigurationsdatei. In der Konfigurationsdatei steht alles drin, was wir zur Erstellung einer Zertifikatanfrage benötigen. Es müssen lediglich 3 Strings angepasst werden.

  • SERVER_FQDN
  • DOMAIN_FQDN
  • DOMAIN_NETBIOS_NAME

Domänenkontroller Zertifikat manuell beantragen

Die Beantragung erfolgt über eine administrative Kommandozeile. Der Name der Zertifikatvorlage sollte bekannt sein.

certreq.exe -new cert.inf DC2.req
certreq -submit -attrib „CertificateTemplate:SHA256-DC“ DC2.req
certreq -retrieve 176
certreq -accept DC2.cer

Der Ablauf sieht dann wie folgt aus:

certreq Domain Controller

Nachdem das Zertifikat signiert und installiert wurde, sollte es noch geprüft werden.

certutil -dcinfo

certutil dcinfo

Certutil Domain Controller Certificate