MBCDN

webserver.inf

[Version]
Signature="$Windows NT$"

[NewRequest]
Subject = "CN=www.domain.com"  ; Ändere auf deinen echten FQDN
KeySpec = 1
KeyLength = 2048
Exportable = TRUE
MachineKeySet = TRUE
SMIME = FALSE
PrivateKeyArchive = FALSE
UserProtected = FALSE
UseExistingKeySet = FALSE
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
ProviderType = 12
RequestType = PKCS10
KeyUsage = 0xa0

[Extensions]
2.5.29.17 = "{text}"
_continue_ = "dns=www.domain.com&"   ; SAN-Eintrag
_continue_ = "dns=domain.com"

[RequestAttributes]
CertificateTemplate = WebServer  

Einen CSR erzeugen.

certreq -new webserver.inf webserver.req

Die req Datei auf die CA kopieren und das Zertifikat erzeugen.

certreq -submit webserver.req webserver.cer

Zertifikat wieder auf den Webserver kopieren und bestätigen.

certreq -accept webserver.cer

Export als PFX (inkl private key)

# Öffne PowerShell als Administrator
$cert = Get-ChildItem -Path Cert:\LocalMachine\My | Where-Object { $_.Subject -like "*www.meinserver.de*" }
$pwd = ConvertTo-SecureString -String "MeinSicheresPasswort123" -Force -AsPlainText
Export-PfxCertificate -Cert $cert -FilePath "C:\webserver.pfx" -Password $pwd

PFX installieren

Import-PfxCertificate -FilePath "C:\webserver.pfx" -CertStoreLocation Cert:\LocalMachine\My