Error message when IIS 7.0 is attempting to process a pending certificate request.

CertEnroll::Cx509Enrollment::p_InstallResponse: ASN1 bad tag value met. 0x8009310b

I could not complete the certificate request via IIS manager.

This error seems to mean that the private key (created when the certificate request was made) does not match the public key (the .crt file). The keypair is not successfully joined into a working SSL certificate. If you double click the certificate you will see that the private key is missing. Without a private key the certificate is worthless as even if you configure it on your website in IIS you will end up getting Page Cannot Be Displayed.

Løsning #1

Begin by importing the .crt file into the Personal certificate store for the local computer. (Start button > Run: MMC > File Menu > Add/Remove Snap-in > highlight Certificates snap-in and click the ADD button > select Computer Account and click Finish > Click OK > drill into Personal > Certificates > right-click and select All Tasks > select Import > guide to the .crt file.) At this point your certificate is basically a half-certificate. It is still missing its private key.

Second, double-click the crt certificate file you just imported, select the Details tab, scroll all the way down to Thumbprint and highlight Thumbprint. In the lower pane, block and copy all the letters of the thumbprint. Paste the thumbprint characters into notepad. Open the command prompt and run this command:

Certutil /?

The command you’ll want to run is:
certutil -repairstore my "{insert all of the thumbprint characters here}"
e.g certutil -repairstore my "1234567890abcdef1234567890abcdef12345678"

When you see the response: “CertUtil: -repairstore command completed successfully” you should have a private key associated with the .crt file in the personal store. There should no longer be any need to run through the “Complete Certificate Request…” wizard. The certificate should show up in the IIS Manager’s list of server certificates at this point. It should also be available in the SSL Certificates drop-down list when attempting to edit the https binding for a website.Now if the request for the certificate was issued from the same machine you can use the command below to restore the private key for your certificate.

Now the certificate is installed in your Local Computer certificate store so you go into your website properties and assign the certificate by changing the bindings settings.

Løsning #2

Reutsted sertifikatet med en ny CSR-fil.

.PEM SSL Creation Instructions

SSL .pem files (for our purposes, concatenated certificate files), are frequently required for certificate installations when multiple certificates are being imported as one file.

The following sets of instructions walk through creating some of the various files that could be called for if your server requires a .pem ssl certificate.

Creating a .pem with the Entire SSL Certificate Trust Chain

Open a text editor (such as wordpad) and paste the entire body of each certificate into one text file in the following order:

1. The Primary Certificate - your_domain_name.crt
2. The Intermediate Certificate 
3. The Root Certificate

Make sure to include the beginning and end tags on each certificate. The result should look like this:

      -----BEGIN CERTIFICATE-----
      (Your Primary SSL certificate: your_domain_name.crt)
      -----END CERTIFICATE-----
      -----BEGIN CERTIFICATE-----
      (Your Intermediate certificate: intermediate_certificate.crt)
      -----END CERTIFICATE-----
      -----BEGIN CERTIFICATE-----
      (Your Root certificate: root_certificate.crt)
      -----END CERTIFICATE-----

Save the combined file as your_domain_name.pem. Your .pem file is now ready for use.

Creating a .pem with the Server and Intermediate Certificates

With a text editor (such as wordpad), copy and paste the entire body of each certificate into one text file in the following order:

1. The Primary Certificate - your_domain_name.crt
2. The Intermediate Certificate

Make sure to include the beginning and end tags on each certificate. The result should look like this:

      -----BEGIN CERTIFICATE-----
      (Your Primary SSL certificate: your_domain_name.crt)
      -----END CERTIFICATE-----
      -----BEGIN CERTIFICATE-----
      (Your Intermediate certificate: intermediate_certificate.crt)
      -----END CERTIFICATE-----

      Save the combined file as your_domain_name.pem. Your .pem file should be ready for use.

Creating a .pem to include your private key and entire trust chain

With a text editor (such as wordpad), copy and paste the entire body of each certificate into one text file in the following order:

1. The Private Key - your_domain_name.key
2. The Primary Certificate - your_domain_name.crt
3. The Intermediate Certificate
4. The Root Certificate

Make sure to include the beginning and end tags on each certificate. The result should look like this:
      -----BEGIN RSA PRIVATE KEY-----
      (Your Private Key: your_domain_name.key)
      -----END RSA PRIVATE KEY-----

      -----BEGIN CERTIFICATE-----
      (Your Primary SSL certificate: your_domain_name.crt)
      -----END CERTIFICATE-----
      -----BEGIN CERTIFICATE-----
      (Your Intermediate certificate: intermediate_certificate.crt)
      -----END CERTIFICATE-----
      -----BEGIN CERTIFICATE-----
      (Your Root certificate: root_certificate.crt)
      -----END CERTIFICATE-----

      Save the combined file as your_domain_name.pem. Your .pem file should be ready for use.

Creating your .pem file

1. Åpne alle filer i en tekstbehandler. (Husk, ikke ditt domenesertifikat.)
2. Lag en ny blank fil.
3. Kopier innholdet i alle filene i omvendt rekkefølge og lim dem inn i filen.
4. Eksempel: Mellomliggende 3, Mellomliggende 2, Mellomliggende 1, Rotsertifikat.
5. Lagre den nye filen som 'dittDomene.ca-bundle'.

1. For å resette IIS, klikk Start
2. Klikk All Programs
3. Klikk Accessories
4. Høyreklikk på Command Prompt og velg Run as administrator
5. Skriv inn iisreset, og klikk Enter.
   

1. Det er kun EV (Extended Validation) SSL sertifikater som viser Grønn adresselinje. Dersom du ønsker et EV SSL sertifikat kan du ta kontakt med Kundesenteret på 21 55 62 60 og velge "Spørsmål om våre produkter og tjenester".
2. Dersom du skriver inn url til din side (feks www.commfides.com) bør du videresendes automatisk til den krypterte delen av siden (dvs https://www.commfides.com). Dersom dette ikke skjer, kan dette konfigureres på serveren eller kodes inn på innholdet på websiden.
3. Dersom begge punktene over er korrekte, vil ofte grunnen til at du ikke får en grønn adressebar være at din webside både inneholder sikkert og usikkert innehold. For å få hjelp til denne problemstillingen kan du lese artikkelen "Sikkerhetsadvarsel "Vil du kun se det sikre innholdet på websiden?""

Disse kommandoene lar deg konvertere sertifikater og privat nøkler til forskjellige formater for å gjøre dem kompatible med bestemte typer servere eller programvare.
For eksempel kan du konvertere en normal PEM-fil som ville fungere med Apache til en PFX (PKCS#12) fil og bruke den med Tomcat eller IIS.

• Konverter en DER-fil (.crt .cer .der) til PEM

  openssl x509 -inform der -in certificate.cer -out certificate.pem

   
• Konverter en PEM-fil til DER

  openssl x509 -outform der -in certificate.pem -out certificate.der

   
• Konverter en PKCS#12-filen (.pfx .p12) som inneholder en privatnøkkel og sertifikater til PEM

  openssl pkcs12 -in keystore.pfx -out keystore.pem -nodes

  Du kan legge til -nocerts for å bare få ut den private nøkkelen eller legge til -nokeys for å bare få ut sertifikatet. 
  
  Bruk legacy mode for eldre PKCS#12 algoritmer. "provider-path" må endres i forhold til hvor OpenSSL er installert.
  -legacy -provider-path "C:\Program Files\OpenSSL-Win64\bin"
  
   
• Konverter en PEM-sertifikat fil og en privatnøkkel til PKCS#12 (.pfx .p12)

  openssl pkcs12 -export -out certificate.pfx -inkey privatekey.key -in certificate.crt -certfile cabundle.crt

Hvor du kan laste ned OpenSSL.
https://openssl.org/

OpenSSL for Windows.
https://wiki.openssl.org/index.php/Binaries
https://www.openssl.org/community/binaries.html

Etablering og testing av sertifikat:

1. Opprett en ny CSR fil
1. Common name: Et hoveddomene til firmaet som skal levere tjenesten feks www.commfides.com
2. Whois/ Norid må være likt med oppføringen i Brønnøysundregisteret
3. Organisation name: Eieren som står oppført i Whois/ Norid
2. Kjøp et Commfides UC SAN sertifikat
3. Installer sertifikat og test at det fungerer
1. Det er 20 dagers tilbaketrekkingsfrist til å teste funksjonalitet

Reutstedelse av ditt Commfides UC SAN sertifikat med ekstra/ nye felter (Common Name (CN) kan ikke endres)

1. Alle nye domener krever hvert sitt korrekt utfylte og signerte "Authorization letter"
1. Whois/ Norid må være likt med oppføringen i Brønnøysundregisteret
2. Organisation name: Eieren som står oppført i Whois/ Norid
3. Person med signeringsrett for bedriften som eier domenet må legges inn og signere dokumentet
4. Dokumentet skannes inn (signert) og lagres som et PDF dokument
2. Opprett en ny CSR fil
1. Common name: Et hoveddomene til firmaet som skal levere tjenesten feks www.commfides.com
2. Whois/ Norid må være likt med oppføringen i Brønnøysundregisteret
3. Organisation name: Eieren som står oppført i Whois/ Norid
3. Lag/ oppdater tekst fil med alle SAN-felter (alle som skal være med i det "nye" sertifikatet)
4. Send e-post til Commfides med forespørsel om reutstedelse
1. E-post skal inneholde ordrenummer på opprinnelig sertifikat og hvilket Common name som det inneholder
2. Vedlegg til e-post:
1. Alle nye "Authorization letter"
2. Den nye CSR-filen
3. Den oppdaterte Tekst-filen med alle SAN felter som skal være med
3. E-post sendes til servicedesk@commfides.com
5. Installer det nye sertifikatet når det mottas fra Commfides

VIKTIG: Etter 31. Oktober 2014 kan man ikke bestille sertifikater som inneholder intern domenenavn eller intern IP.
Grunnen til dette er at alle sertifikatet som inneholder interne domenenavn eller intern IP må utgå før 31. Oktober 2015.

Bruk av Intranett SSL er avgrenset av domenenavn og ip-adresser som ikke er offentlige.
Dette vil feks si servernavn.domene.local eller lignende for domenenavn og private IP range'r.

De private IP range'ne er:
10.0.0.0 - 10.255.255.255
172.16.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.255

SSL og TLS har i en periode faset ut bruk av Intranett-navn, servernavn, IP-adresser og lokale domener som hoveddomenenavn eller Alternativt navn for emne (SAN-er) i SSL-sertifikater. Dette er en bransjeomfattende avgjørelse og ikke spesifikk for Commfides.

For mer informasjon, les Akseptable Intern domenenavn.

Hvis du benytter Microsoft® Exchange Server, så vil du imøtekomme kravene fra Certificate Authorities Browser Forum guidelines ved å rekonfigurere din server til å akseptere et offisielt akseptert domenenavn (FQDN). For eksempel så kan du endre et internt navn som server.local til mail.dittdomene.no.

Hvis du allerede ikke har gjort det, og for å sikre at intern Autodiscover fortsetter å fungere, må du opprette en intern DNS sone for domenenavnet ditt (f.eks. autodiscover.dittdomene.no) og et MX record som peker til serverens interne IP adresse.

Koden nedenfor viser eksempel på hvordan du kan omkonfigurere din exchange:

• Erstatt mail.dittdomene.no med ditt riktige domeneanvn (FQDN)
• Erstatt Ditt_Servernavn med ditt servernavn

MERK: Vi anbefaler på det sterkeste at kun erfarne Exchange konsulenter eller administratorer følger denne prosedyren. Disse instruksjonene gjelder IKKE Windows Server® 2012 eller Microsoft Small Business Financials (SBF) Server.
(Commfides tar ikke ansvar for feil som måtte oppstå på bakgrunn av denne artikkelen)

For å rekonfigurere Microsoft Exchange Server til å bruke et Fully Qualified Domain Name:

1. Start Exchange Management Shell.
2. For å endre Autodiscover URL, skriv inn følgende kommando og tast Enter:

Set-ClientAccessServer -Identity Ditt_Servernavn -AutodiscoverServiceInternalUri https://mail.dittdomene.no/autodiscover/autodiscover.xml

3. For å endre InternalUrl attributtten for EWS, skriv inn følgende kommando og tast Enter:

Set-WebServicesVirtualDirectory -Identity "Ditt_Servernavn\EWS (Default Web Site)" -InternalUrl https://mail.dittdomene.no/ews/exchange.asmx

4. For å endre InternalUrl attributtten for Web-based Offline Address Book distribution, skriv inn følgende commando og tast Enter:

Set-OABVirtualDirectory -Identity "Ditt_Servernavn\oab (Default Web Site)" -InternalUrl https://mail.dittdomene.no/oab

5. Hvis du benytter Unified Message service i Exchange Server 2007: For å endre InternalUrl attributten for UM Web service, skriv inn følgende commando og tast Enter:

Set-UMVirtualDirectory -Identity “Ditt_Servernavn\unifiedmessaging (Default Web Site)” -InternalUrl https://mail.dittdomene.no/unifiedmessaging/service.asmx

6. For å oppfriske Application Pools, åpne IIS Manager.
7. Utvid local computer, og deretter utvid Application Pools.
8. Høyreklikk på MSExchangeAutodiscoverAppPool, og deretter klikk Recycle.

• WHOIS for norske domener er Norid og for andre domener whois.net (skriv kun domenet ved sjekk)
• Organisasjonsdatabasen for norske organisasjoner er Brønnøysundregistrene (klipp ut "Organization Number" fra Norid-oppføringen og lim inn i "Organisasjonsnummer" i søkefeltet)

EKSEMPEL: Informasjonssjekk for domenet stat.no (om sertifikatet f.eks skal utstedes til www.stat.no, mail.stat.no eller post.stat.no)

• Dette er korrekt - det er helt likt.
• Ingen av feltene leser forskjell på små og store bokstaver.

• Dette er feil - disse feltene skal være identisk med den Fysiske besøksadressen i Brønnøysundregisteret

• Dette er korrekt - det er helt likt.

• Norid-oppføringen må oppdateres slik at den gjenspeiler Brønnøysundregisterets Forretningsadresse:

• Postal Code og Postal Area skal være knyttet til det første Post Address feltet, ikke til postboksadressen.
• Postboksadressen, det andre Post Address feltet, er valgfritt. Dersom du velger å ta med dette feltet, skal hele adressen med postnummer og sted være på samme linje.
• Mange registrarer sier at det ikke er mulig å legge til et ekstra Post Address felt, men det er det. Et eksempel er Norid-oppføringen for ldo.no

• Det er din registrar som kan utføre endringer på WHOIS/ Norid.
• For å finne hvilken registrar for et domene (f.eks stat.no) klikker du på "Registrar Handle...........: REG161-NORID" og deretter "Organization Handle........: SF60O-NORID" på siden du kommer inn på.
• Du vil da få opp følgende informasjon om Registrar for domenet stat.no:

Hva innebærer det når jeg har både sikkert og usikkert (blandet) innhold?

Sikkert og usikkert innhold – eller blandet innhold – betyr at websiden prøver å vise elementer ved hjelp av både sikre (HTTPS/SSL) og usikre (HTTP) webservertilkoblinger. Dette skjer ofte på Internett-butikker eller finanswebområder som viser bilder, bannere eller skript fra en server som ikke er sikret.

Faren ved å vise blandet innhold er at en usikker webside eller et usikkert skript kan klare å skaffe seg tilgang til det sikre innholdet.

Hvordan fjerner jeg sikkerhetsadvarselet?

Problemet er altså at du har bilder, javascript, flash, css eller lignende som er linket inn i HTML-koden direkte med en HTTP-url.

Hvis du bruker Firefox, så skal du kunne finne dette dersom du høyreklikker et eller annet sted på siden (untatt bilder) og trykker på "Vis informasjon om siden". Under "media"-tabben har du en liste over alle elementene på siden. Da er det bare å bla seg nedover til du finner hvilken/hvilke element(er) som ikke har en https-url.

Når du har funnet de usikre elementene, må du oppdatere HTML-koden slik at elementet linker til https i stedet for http. Et eksempel er å oppdatere codebase for flash til https, altså: codebase="https://download.macromedia.com/pub/shockwave/cabs/flash.....

Utfasing Av interne domenenavn og IP-Adresser

Utstedere av SSL er i ferd med å fase ut bruk av interne domenenavn som .local, Intranett-navn og IP-adresser. Dette gjelder både common name (CN) og Subject Alternative Name (SAN). Dette er en bransjeomfattende avgjørelse og ikke spesifikk for Commfides.

Fra og med 1. nov 2014 aksepterer vi ikke lenger nye bestillinger eller fornyelser for SSL-sertifikater som inneholder ovenfor nevnte felter med gyldighet lengre enn 1. november 2015. I tillegg støttes ikke SSL-sertifikater som for offentlige IP-adresser eller IPv6-adresser.

Et intranettsertifikat til et privat nettverk, slik som server1, e-post eller server2.local, som offentlige DNS servere ikke kan gjøre oppslag mot. En IP-adresse er en tallbasert nettadresse som f.eks 123.45.67.890, og som benyttes til å kommunisere med en server eller tjeneste på nett.

Bakgrunnen til endringer.

For å skape et tryggere internett og øke integriteten til SSL valgte Certificate Authorities Browser Forum å oppdater sine veiledninger for implementering av SSL. Resultatet av dette er at sertifiseringsautoriteter (CA) fra og med 1. oktober 2016 må trekke tilbake SSL-sertifikater som bruker intranettnavn eller IP-adresser.

Bakgrunnen til dette er at interne servernavn ikke er unike, er de sårbare for ManInTheMiddleAttacks (MITM) -angrep. I et MITM-angrep benytter en angriperen en tjeneste som tiltrekker seg brukere og deretter benytter et sertifikat med samme interne navn på tjenesten som originalen for deretter å åpne meldingen før den sendes videre. Siden interne navn ikke er unike, finnes det risiko for at sertifikatutstedere utsteder samme navn til flere motparter da de ikke kan kontrollere det interne navnet.

Les CA-browser forum sin veiledning her.

Hva må jeg gjøre?

Alle sertifikater som er utstedt kan benyttes til de løper ut eller til senest 1. oktober 2016. Fra 1 nov. 2014 har vi sluttet å utstede nye eller fornye sertifikater som inneholder navn som beskrevet.

Fra nå av anbefaler vi at eksisterende og nye løsninger etableres med et Fullt kvalifisert domenenavn (FQDN), slik som www.dittdomene.no

Klikk her for hjelp med Rekonfigurering av Microsoft Exchange til å benytte FQDN