Hej,
de som sett längden på mitt skägg gissar säkert om att jag är mer hemma
i Unix-miljö än i Windows-server-miljö, och har rätt... så det praktiska
trixandet med certifikat-begäran och -installation i Windowsmiljö är
inte min starka sida. Jag har fått följande funderingar/frågor från en
organisation som använder SUNET TCS. Har ni här (eller era
Windows-kollegor) något att säga om detta och/eller hur man hanterar
servercerten så smidigt som möjligt i Windows-server-miljö?
> Nu har vi använt den nya Sectigo tjänsten ett tag [...]
> för att hantera och förnya certifikat som används på [våra]
> tjänster och webbplatser. Det har väl gått både bra och dåligt.
>
> Ibland har vi kunnat ladda ned ett certifikat, lagt in det på våra
> Windows servrar och det har fungerat. I vissa fall har det inte
> fungerat bra, då ett nedladdat certifikat med inställningen
> "certificate /w chain" har lagts in men SSL labs mm klagar på att
> "chain is incomplete/missing". Och i vissa fall har vi inte kunnat
> använda ett certifikat nedladdat via "certificate /w chain" utan har
> behövt använda andra alternativ, t ex. "certificate pkcs 7 pem". Men
> då har detta lett till att vi istället har behövt konvertera till pkcs
> 12 för att den filen ska fungerat att importera i Windows IIS-tjänst
> och även i andra applikationer som har fått certifikat. Men då har det
> istället ibland lett till att intermediate och root certifikaten inte
> har kommit med. Då har vi fått lov att separat även lägga på dessa
> parallellt med att vi har lagt till själva webbplats-certifikatet.
>
> Så det är just nu lite för mycket konverteringar och anpassningar av
> de certifikat som går att ladda ned via sectigo för att detta ska
> kännas som en smidig certifikat-administration.
>
> Därför undrar jag om det finns något som kan underlätta för oss
> gällande sectigo och att lägga in deras certifikat på våra windows
> servrar?
>
> För DigiCert hade ett verktyg som hette DigiCert Certificate Utility
> for Windows som fixade mycket av ovan problem när certifikaten skulle
> installeras. Jag har hittat på sectigos hemsida att det ska finnas
> något motsvarande verktyg som kan installeras på Windows som heter det
> "Comodo Certificate Auto-installer" men blir osäker om det är rätt att
> använda eftersom företaget/tjänsten numera heter Sectigo istället. Så
> det verktyget kanske är förlegat/inte kan användas längre?
--
Kent Engström, SUNET TCS
kent at nsc.liu.se, +46 13 28 4444
