7
SSL Zertifikat für ALIAS statt FQDN?
Hallo zusammen,
ich habe mich in den letzten Tagen in das Thema SSL-Zertifikate eingelesen und einen linkedIN-Kurs gekauft.
Soweit vermute ich auch, das Thema verstanden zu haben, aber eine gewisse Restunsicherheit bleibt.
Ich möchte nun Zertifikate für diverse interne Webdienste ausstellen. Ich habe eine AD mit RootCA und kann mir für SRV-WEB.foo.bar ein Zertifikat erstellen, dass mein Browser als sicher betrachtet. Soweit, so gut. Nun möchte aber gerne nur den Service über SRV-WEB erreichen - und da fängt meine 2. Phase der Unwissenheit an
.
Wie kann ich am CA ein Zertifikat anfordern, dass auch den Hostname als sicher betrachtet?
Gruß Sascha
ich habe mich in den letzten Tagen in das Thema SSL-Zertifikate eingelesen und einen linkedIN-Kurs gekauft.
Soweit vermute ich auch, das Thema verstanden zu haben, aber eine gewisse Restunsicherheit bleibt.
Ich möchte nun Zertifikate für diverse interne Webdienste ausstellen. Ich habe eine AD mit RootCA und kann mir für SRV-WEB.foo.bar ein Zertifikat erstellen, dass mein Browser als sicher betrachtet. Soweit, so gut. Nun möchte aber gerne nur den Service über SRV-WEB erreichen - und da fängt meine 2. Phase der Unwissenheit an
.Wie kann ich am CA ein Zertifikat anfordern, dass auch den Hostname als sicher betrachtet?
Gruß Sascha
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 3423662397
Url: https://administrator.de/contentid/3423662397
Printed on: June 1, 2024 at 22:06 o'clock
7 Comments
Latest comment
Pack den Namen als Subject Alternative Name (SAN) zusätzlich in das Zertifikat.
Kannst dir ein Zertfikats-Template bauen welches das Hinzufügen von eigenen Informationen im Request zulässt, dann über die MMC das Zertifikat anfordern und den Namen im Dialog als SAN hinzufügen .
Gruß hempel
Kannst dir ein Zertfikats-Template bauen welches das Hinzufügen von eigenen Informationen im Request zulässt, dann über die MMC das Zertifikat anfordern und den Namen im Dialog als SAN hinzufügen .
Gruß hempel
1
Moin....
Wildcard-Zertifikate von einer AD-Zertifizierungsstelle anfordern
Frank
Wie kann ich am CA ein Zertifikat anfordern, dass auch den Hostname als sicher betrachtet?
dann erstelle doch ein Wildcard-Zertifikat mit deiner CA!Wildcard-Zertifikate von einer AD-Zertifizierungsstelle anfordern
Frank
1
Vielen Dank !
Ich lese grad SAN-Zertifikate ausstellen an AD-CA
Dann schaue ich mir auch deinen Beitrag nochmal an.
Ich lese grad SAN-Zertifikate ausstellen an AD-CA
Dann schaue ich mir auch deinen Beitrag nochmal an.
Zitat von @Vision2015:
Moin....
Wildcard-Zertifikate von einer AD-Zertifizierungsstelle anfordern
Frank
Moin....
Wie kann ich am CA ein Zertifikat anfordern, dass auch den Hostname als sicher betrachtet?
dann erstelle doch ein Wildcard-Zertifikat mit deiner CA!Wildcard-Zertifikate von einer AD-Zertifizierungsstelle anfordern
Frank
In dem fall wenn er nur nen Hostnamen will geht das nicht.
bedeutet wildcard zertifikat *.domain.local
damit kannste zwar alle server aufsetzen die du willst in deiner domain.
aber wenn du die URL aufrust muss du zwinged den FQDN verwenden also z.B.
https://server1.domain.local
die frage war aber wie muss er das Zertifikat generieren das das geht und aber auch
https://server1
Oben die Antwort von hempel ist die Lösung.
1
Moin...
gut, bei einem host braucht es nur ein SAN....
bedeutet wildcard zertifikat *.domain.local
ja... wo ist das Problem? also jeder hostname vor .domain.local das * als Alias!
die frage war aber wie muss er das Zertifikat generieren das das geht und aber auch
https://server1
Oben die Antwort von hempel ist die Lösung.
oder aber eben ein Wildcard-Zertifikat!
Frank
Zitat von @ThePinky777:
In dem fall wenn er nur nen Hostnamen will geht das nicht.
wiso nicht?Zitat von @Vision2015:
Moin....
Wildcard-Zertifikate von einer AD-Zertifizierungsstelle anfordern
Frank
Moin....
Wie kann ich am CA ein Zertifikat anfordern, dass auch den Hostname als sicher betrachtet?
dann erstelle doch ein Wildcard-Zertifikat mit deiner CA!Wildcard-Zertifikate von einer AD-Zertifizierungsstelle anfordern
Frank
In dem fall wenn er nur nen Hostnamen will geht das nicht.
gut, bei einem host braucht es nur ein SAN....
bedeutet wildcard zertifikat *.domain.local
damit kannste zwar alle server aufsetzen die du willst in deiner domain.
das geht aucvh ohne Zertifikat aber wenn du die URL aufrust muss du zwinged den FQDN verwenden also z.B.
https://server1.domain.local
ja klar... verstehe nicht warum das nicht gehen soll!https://server1.domain.local
die frage war aber wie muss er das Zertifikat generieren das das geht und aber auch
https://server1
Oben die Antwort von hempel ist die Lösung.
Frank
1
Bitte keinen Streit wegen sowas Es wird schon beides funktionieren - hempels Lösung gefällt mir aber etwas besser.
Vielen herzlichen Dank an alle beteiligten !
Es wird schon beides funktionieren - hempels Lösung gefällt mir aber etwas besser.Vielen herzlichen Dank an alle beteiligten !
Zitat von @Vision2015:
Oben die Antwort von hempel ist die Lösung.
oder aber eben ein Wildcard-Zertifikat!Frank
was für ein wildcard zertifikat willst du den nehmen
*
?
nochmal wenn du als Wildcard *.abc.local erstellst
oder *.local von mir aus
dann klappt es trotzdem nicht wenn du auf die webseite per
https://hostname
zugreifen willst, weil hostname ungleich hostname.abc.local oder hostname.local
dann bekommst du trotzdem die fehlermeldung das das zertifikat nicht passt.
probier es doch bei deinem server mit wildcard aus ohne den FQDN drauf zuzugreifen.
Ich seh das nicht als Streit, sondern als Klärung
und da es kein WIldcard Zertifikat gibt das nur * ist (Stück der Domain muss hinten ja dran sein), gehts halt nicht.