wigald010
Goto Top

2-Tier PKI - IIS auf https umstellen

Hallo Community,

folgender Sachverhalt beschäftigt mich gerade:

Es wurde uns vor langer Zeit eine 2 stufige PKI eingerichtet. Diese funktioniert auch tadellos.
Nun wollen wir aus Sicherheitsgründen den Webaufruf vom IIS-Webserver von http auf https umstellen.
Bei der Bindung muss ich für https ein Zertifikat angeben. Hier erhalte ich aber nur die Auswahl des SUB-CA-Zertifikates, was nicht für den Webaufruf korrekt wäre.
Das lokale Server-Zertifikat für die SUB-CA existiert bereits kann aber nicht eingebunden werden.

Gibts da einen Trick wie ich das Zertifikat als Auswahl integriert bekomme?

VG Wigald

Content-Key: 84135745958

Url: https://administrator.de/contentid/84135745958

Printed on: February 23, 2024 at 08:02 o'clock

Member: C.R.S.
C.R.S. Aug 29, 2023 at 15:33:37 (UTC)
Goto Top
Hallo,

aus dem Umstand, dass das Sub-CA-Zertifikat auswählbar ist, schließe ich, dass es sich um einen auf der Sub-CA-Maschine installierten IIS handelt (unter Sicherheits- und Verfügbarkeitsgesichtspunkten wenig sinnvoll).

Dann dient er als AIA/CDP-Endpunkt, die gerade auf HTTP laufen sollen, nicht auf HTTPS (prinzipiell möglich, aber wenn du nun ein Webserver-Zertifikat mit deiner Sub-CA ausstellen würdest, würde sich die Katze schon in den Schwanz beißen; erfordert also ein etwas tieferes Verständnis).

Grüße
Richard
Mitglied: 7907292512
7907292512 Aug 30, 2023 updated at 04:27:17 (UTC)
Goto Top
Zum Thema IIS auf einer CA sag ich jetzt mal nichts, das hat mein Vorredner ja auch schon angemerkt .
Gibts da einen Trick wie ich das Zertifikat als Auswahl integriert bekomme?
Das Zertifikat an der richtigen Stelle ablegen und zwar in den Computer-Certificate Store und nicht im Personal Store des Users. Des weiteren muss das Zertifikat auch einen private Key aufweisen und die entsprechende OID für Serverauthentifizierung im Feld KeyUsage/EKU des Zertifikats enthalten. Sind diese Vorraussetzungen erfüllt lässt sich das Zertifikat auch im IIS auswählen.

Gruß sid
Member: Wigald010
Wigald010 Aug 30, 2023 at 07:18:12 (UTC)
Goto Top
Hallo,

danke für die Antworten.

Das Zertifikat an der richtigen Stelle ablegen

Ja das Zertifikat liegt bereits im richtigen Store. Somit kann ich es mir nicht erklären warum es nicht auswählbar ist.

unter Sicherheits- und Verfügbarkeitsgesichtspunkten wenig sinnvoll

Wenn es nach mir ginge würde ich den IIS ausschalten da ich die Schnittstelle noch nie genutzt habe.
Zertifikate und Vorlagen können auch über die Konsolen konfiguriert werden.

Gibt es noch andere Abhängigkeiten der PKI mit dem IIS außer Sperrlistenveröffentlichung und Zertifikatsanforderung per Web?

Grüße
Member: Dani
Dani Aug 31, 2023 at 17:21:35 (UTC)
Goto Top
Moin,
Gibt es noch andere Abhängigkeiten der PKI mit dem IIS außer Sperrlistenveröffentlichung und Zertifikatsanforderung per Web?
da gibt es noch einige Möglichkeiten. Ob das bei euch so ist, lässt sich mit der Info und aus der Ferne nicht sagen.

Ja das Zertifikat liegt bereits im richtigen Store. Somit kann ich es mir nicht erklären warum es nicht auswählbar ist.
Das ist ja nur eine Grundbedingung. Was ist mit dem den restlichen Merkmalen die genannt wurden? In der Regel kann das Zertifikat der Sub CA nicht zu gleich für Server Authentifizierung genutzt werden.

Gibts da einen Trick wie ich das Zertifikat als Auswahl integriert bekomme?
Ja, in die Thematik einlesen und einarbeiten. Warum meint heute jeder ein Forum ersetzt Schulung und Weiterbildungen? Mal abgesehen von dem fehlenden Wissen, wie was wo (nicht) funktioniert.


Gruß,
Dani
Member: Wigald010
Wigald010 Sep 04, 2023 at 05:30:03 (UTC)
Goto Top
Hm, was soll ich sagen... ich wollte lediglich ein paar Antworten und keine Belehrung.

Antworten wie

Ja, in die Thematik einlesen und einarbeiten. Warum meint heute jeder ein Forum ersetzt Schulung und Weiterbildungen? Mal abgesehen von dem fehlenden Wissen, wie was wo (nicht) funktioniert.

helfen auf die schnelle nicht weiter.

Das Forum hier ist da um Fragen zu stellen und ggf. auch eine brauchbare Antwort zu erhalten.

Kluge Ratschläge wie, mach eine Schulung helfen auf die Schnelle nicht weiter.

Vielen Dank für den Senf.
Mitglied: 7907292512
7907292512 Sep 04, 2023 updated at 05:41:46 (UTC)
Goto Top
Wenn man es noch nicht mal schafft alle Dinge zu beantworten die man einem oben vorgegeben hat und sich nur die raussucht die einem genehm sind, tja was soll.man da deiner Meinung nach mit so jemandem machen ...?!
In die Wüste schicken zum Wasser holen ist da meist die beste Methode.
Kluge Ratschläge wie, mach eine Schulung helfen auf die Schnelle nicht weiter.
Fehlende Antworten und Informationen genau so wenig.
Member: Wigald010
Wigald010 Sep 04, 2023 at 05:45:43 (UTC)
Goto Top
Welche Fragen?
Mitglied: 7907292512
7907292512 Sep 04, 2023 updated at 06:49:43 (UTC)
Goto Top
Lies dir meinen ersten Post nochmal genau durch, zu dem hast du nur zum ersten Teil Stellung bezogen, die anderen Teile wurden ignoriert, obwohl sie ebenso wichtig dafür sind das ein Zertifikat im IIS auswählbar ist.