Die GUI kann nicht alles. Und so stolpert man hin und wieder über Dinge, die man über die gute alte (bzw. neue gute Powershell) Kommandozeile machen muss. Dazu gehören Certificate Signing Requests in einem solchen Format, dass man sie nicht im Browser copy/paste einfügen kann um sie zu verarbeiten. Denn dort lassen sich nur base-64-encoded CMC oder PKCS #10 Formate verarbeiten.
Stattdessen benutzt man certreq.exe . Diesem Kommando muss man allerdings einen wichtigen Parameter mitgeben, da man sonst in folgenden Fehler reinläuft:
Klingt eigentlich logisch. Schließlich kann jemand externes nicht wissen was für Zertifikatsvorlagen wir im Unternehmen nutzen und kann daher nicht diese Information im Request mitgeben. Also müssen wir certreq mit dieser Information füttern:
certreq -attrib "CertificateTemplate:WebServer" C:\temp\request.csr
Danach kommt ein Popup zum Auswählen der CA und der Speichern Unter Dialog für das signed Certificate.
Achtung:
Wenn ihr im Unternehmen eigene Zertifikatsvorlagen benutzt, die Leerzeichen enthalten, dann werden Ihr folgende Fehlermeldung bekommen:
The requested certificate template is not supported by this CA. 0x80094800
Denied by Policy Module 0x80094800, The request was for a certificate template that is not supported by the Certificate Services policy: Firma Eigenstrick Web Server Vorlage
Das liegt daran, dass certreq mit dem friendly name und den Leerzeichen nichts anfangen kann. Also im Attribut daher schön die Leerzeichen weglassen:
certreq -attrib "CertificateTemplate:FirmaEigenstrickWebServerVorlage" C:\temp\request.csr
Und schon funktioniert es einwandfrei.