Zertifikate mit privaten Schlüssel Exportieren

Allgemeines

In diesem kurzen Blogbeitrag wird gezeigt, wie installierte Zertifikate angezeigt und mit privaten Schlüssel exportiert werden. Um den Umgang mit Zertifikaten so einfach wie möglich zu gestalten, liefert Microsoft ein eigenes Modul. Das “PKI” Modul wird ab Windows Server 2012 mitgeliefert, bzw. ist es in den RSAT Tools vorhanden.

Bei der Befehlssuche zeigt sich, dass es viele Cmdlets mit Zertifikatsbezügen gibt. Die hier interessanten befinden sich im genannten PKI Modul.

 

Get-Command -Module PKI

Der Zugriff auf Zertifikate erfolgt über einen Provider. Mit Providern hat man die Möglichkeit verschiedene Datenspeicher, wie ActiveDirectory, Zertifikateoder Registry zu öffnen und zu Editieren. Die Verschiedenen Provider kann man sich mit Get-Provider anzeigen lassen:

 

Get-PSProvider

PowerShell liefert schon einen Zugangspunkt zum Zertifikatsspeicher, so muss dieser nicht selbst erstellt werden. Mit Get-PSDrive lassen sich alle schon vorhandenen Zugangspunkte anzeigen und auch deren Provider.

 

Get-PSDrive

Beachte! Der “:” darf nicht vergessen werden, sonst kommt es zu einer Fehlermeldung.

set-location

Wie auch über die GUI der MMC kann zwischen den lokalen Maschinen – und lokalen Benutzer – Speicher gewählt werden.

PS_Get-ChildItemmmc_Get-ChildItem

Da ein von der PKI Stelle heruntergeladenes Zertifikat exportiert werden soll, wird der “CurrentUser” Pfad gewählt. Außerdem kann man mit “Get-ChildItem” erkennen, dass eine ähnliche Struktur wie in der MMC zu finden ist.

 

Get-ChildItem

Get-ChildItem_MMC

 

Wenn Zertifikate von einer Zertifizierungsstelle heruntergeladen werden, dann werden diese im Speicher der Eigenen Zertifikate gespeichert. Auch hier kann man sich diese leicht mit Get-ChildItem anschauen. Wenn man diesen Output noch gegen Get-Member laufen lässt hat man alle Informationen die zu Verfügung stehen. Unter anderem der TypeName, der nochmal zeigt, dass es sich um ein Zertifikatsobjekt handelt und auch der Thumbprint, anhand dessen wird später das Zertifikat gesucht.

Certifikate_GetMember

Zertifikat Exportieren

Da das Zertifikat mit privaten Schlüssel exportiert werden soll, wird zunächst ein Passwort definiert.

create_secureString

Mit Get-ChildItem wurden die installierten Zertifikate angezeigt und anhand des Subject auch das zu exportierende Zertifikat gefunden. Es kann mit jedem Parameter gemacht werden, in diesem Fall wird der Thumbprint als eindeutiger Indikator genommen

select_certificate

Da alle Informationen vorhanden sind, wird im nächsten Schritt das Zertifikat exportiert.

save_certificate

Beachte! Es gibt noch ein zweites Export Cmdlet im PKI Modul, es soll aber der Private Schlüssel exportiert werden, also mit PFX !

Wird das Zertifikat im Explorer geöffnet, ist es einfach, den Thumbprint und Zertifikatskette zu kontrollieren.

context_open_certificate

open_certificate_cert

show_cert_properties

Dies soll es auch zum kurzen Ausflug in die Welt der Zertifikate gewesen sein.

Über Andreas Bittner

MCSA Server 2016, MCSA Server 2012R2, Exchange 2010 & SharePoint Devop
Dieser Beitrag wurde unter Allgemein, DevOps abgelegt und mit , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*