2-Tier PKI - IIS auf https umstellen
Hallo Community,
folgender Sachverhalt beschäftigt mich gerade:
Es wurde uns vor langer Zeit eine 2 stufige PKI eingerichtet. Diese funktioniert auch tadellos.
Nun wollen wir aus Sicherheitsgründen den Webaufruf vom IIS-Webserver von http auf https umstellen.
Bei der Bindung muss ich für https ein Zertifikat angeben. Hier erhalte ich aber nur die Auswahl des SUB-CA-Zertifikates, was nicht für den Webaufruf korrekt wäre.
Das lokale Server-Zertifikat für die SUB-CA existiert bereits kann aber nicht eingebunden werden.
Gibts da einen Trick wie ich das Zertifikat als Auswahl integriert bekomme?
VG Wigald
folgender Sachverhalt beschäftigt mich gerade:
Es wurde uns vor langer Zeit eine 2 stufige PKI eingerichtet. Diese funktioniert auch tadellos.
Nun wollen wir aus Sicherheitsgründen den Webaufruf vom IIS-Webserver von http auf https umstellen.
Bei der Bindung muss ich für https ein Zertifikat angeben. Hier erhalte ich aber nur die Auswahl des SUB-CA-Zertifikates, was nicht für den Webaufruf korrekt wäre.
Das lokale Server-Zertifikat für die SUB-CA existiert bereits kann aber nicht eingebunden werden.
Gibts da einen Trick wie ich das Zertifikat als Auswahl integriert bekomme?
VG Wigald
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 84135745958
Url: https://administrator.de/forum/2-tier-pki-iis-auf-https-umstellen-84135745958.html
Ausgedruckt am: 24.12.2024 um 12:12 Uhr
8 Kommentare
Neuester Kommentar
Hallo,
aus dem Umstand, dass das Sub-CA-Zertifikat auswählbar ist, schließe ich, dass es sich um einen auf der Sub-CA-Maschine installierten IIS handelt (unter Sicherheits- und Verfügbarkeitsgesichtspunkten wenig sinnvoll).
Dann dient er als AIA/CDP-Endpunkt, die gerade auf HTTP laufen sollen, nicht auf HTTPS (prinzipiell möglich, aber wenn du nun ein Webserver-Zertifikat mit deiner Sub-CA ausstellen würdest, würde sich die Katze schon in den Schwanz beißen; erfordert also ein etwas tieferes Verständnis).
Grüße
Richard
aus dem Umstand, dass das Sub-CA-Zertifikat auswählbar ist, schließe ich, dass es sich um einen auf der Sub-CA-Maschine installierten IIS handelt (unter Sicherheits- und Verfügbarkeitsgesichtspunkten wenig sinnvoll).
Dann dient er als AIA/CDP-Endpunkt, die gerade auf HTTP laufen sollen, nicht auf HTTPS (prinzipiell möglich, aber wenn du nun ein Webserver-Zertifikat mit deiner Sub-CA ausstellen würdest, würde sich die Katze schon in den Schwanz beißen; erfordert also ein etwas tieferes Verständnis).
Grüße
Richard
Zum Thema IIS auf einer CA sag ich jetzt mal nichts, das hat mein Vorredner ja auch schon angemerkt .
Gruß sid
Gibts da einen Trick wie ich das Zertifikat als Auswahl integriert bekomme?
Das Zertifikat an der richtigen Stelle ablegen und zwar in den Computer-Certificate Store und nicht im Personal Store des Users. Des weiteren muss das Zertifikat auch einen private Key aufweisen und die entsprechende OID für Serverauthentifizierung im Feld KeyUsage/EKU des Zertifikats enthalten. Sind diese Vorraussetzungen erfüllt lässt sich das Zertifikat auch im IIS auswählen.Gruß sid
Moin,
Gruß,
Dani
Gibt es noch andere Abhängigkeiten der PKI mit dem IIS außer Sperrlistenveröffentlichung und Zertifikatsanforderung per Web?
da gibt es noch einige Möglichkeiten. Ob das bei euch so ist, lässt sich mit der Info und aus der Ferne nicht sagen.Ja das Zertifikat liegt bereits im richtigen Store. Somit kann ich es mir nicht erklären warum es nicht auswählbar ist.
Das ist ja nur eine Grundbedingung. Was ist mit dem den restlichen Merkmalen die genannt wurden? In der Regel kann das Zertifikat der Sub CA nicht zu gleich für Server Authentifizierung genutzt werden.Gibts da einen Trick wie ich das Zertifikat als Auswahl integriert bekomme?
Ja, in die Thematik einlesen und einarbeiten. Warum meint heute jeder ein Forum ersetzt Schulung und Weiterbildungen? Mal abgesehen von dem fehlenden Wissen, wie was wo (nicht) funktioniert.Gruß,
Dani
Wenn man es noch nicht mal schafft alle Dinge zu beantworten die man einem oben vorgegeben hat und sich nur die raussucht die einem genehm sind, tja was soll.man da deiner Meinung nach mit so jemandem machen ...?!
In die Wüste schicken zum Wasser holen ist da meist die beste Methode.
In die Wüste schicken zum Wasser holen ist da meist die beste Methode.
Kluge Ratschläge wie, mach eine Schulung helfen auf die Schnelle nicht weiter.
Fehlende Antworten und Informationen genau so wenig.
Lies dir meinen ersten Post nochmal genau durch, zu dem hast du nur zum ersten Teil Stellung bezogen, die anderen Teile wurden ignoriert, obwohl sie ebenso wichtig dafür sind das ein Zertifikat im IIS auswählbar ist.