wigald010
Goto Top

2-Tier PKI - IIS auf https umstellen

Hallo Community,

folgender Sachverhalt beschäftigt mich gerade:

Es wurde uns vor langer Zeit eine 2 stufige PKI eingerichtet. Diese funktioniert auch tadellos.
Nun wollen wir aus Sicherheitsgründen den Webaufruf vom IIS-Webserver von http auf https umstellen.
Bei der Bindung muss ich für https ein Zertifikat angeben. Hier erhalte ich aber nur die Auswahl des SUB-CA-Zertifikates, was nicht für den Webaufruf korrekt wäre.
Das lokale Server-Zertifikat für die SUB-CA existiert bereits kann aber nicht eingebunden werden.

Gibts da einen Trick wie ich das Zertifikat als Auswahl integriert bekomme?

VG Wigald

Content-ID: 84135745958

Url: https://administrator.de/forum/2-tier-pki-iis-auf-https-umstellen-84135745958.html

Ausgedruckt am: 24.12.2024 um 12:12 Uhr

C.R.S.
C.R.S. 29.08.2023 um 17:33:37 Uhr
Goto Top
Hallo,

aus dem Umstand, dass das Sub-CA-Zertifikat auswählbar ist, schließe ich, dass es sich um einen auf der Sub-CA-Maschine installierten IIS handelt (unter Sicherheits- und Verfügbarkeitsgesichtspunkten wenig sinnvoll).

Dann dient er als AIA/CDP-Endpunkt, die gerade auf HTTP laufen sollen, nicht auf HTTPS (prinzipiell möglich, aber wenn du nun ein Webserver-Zertifikat mit deiner Sub-CA ausstellen würdest, würde sich die Katze schon in den Schwanz beißen; erfordert also ein etwas tieferes Verständnis).

Grüße
Richard
7907292512
7907292512 30.08.2023 aktualisiert um 06:27:17 Uhr
Goto Top
Zum Thema IIS auf einer CA sag ich jetzt mal nichts, das hat mein Vorredner ja auch schon angemerkt .
Gibts da einen Trick wie ich das Zertifikat als Auswahl integriert bekomme?
Das Zertifikat an der richtigen Stelle ablegen und zwar in den Computer-Certificate Store und nicht im Personal Store des Users. Des weiteren muss das Zertifikat auch einen private Key aufweisen und die entsprechende OID für Serverauthentifizierung im Feld KeyUsage/EKU des Zertifikats enthalten. Sind diese Vorraussetzungen erfüllt lässt sich das Zertifikat auch im IIS auswählen.

Gruß sid
Wigald010
Wigald010 30.08.2023 um 09:18:12 Uhr
Goto Top
Hallo,

danke für die Antworten.

Das Zertifikat an der richtigen Stelle ablegen

Ja das Zertifikat liegt bereits im richtigen Store. Somit kann ich es mir nicht erklären warum es nicht auswählbar ist.

unter Sicherheits- und Verfügbarkeitsgesichtspunkten wenig sinnvoll

Wenn es nach mir ginge würde ich den IIS ausschalten da ich die Schnittstelle noch nie genutzt habe.
Zertifikate und Vorlagen können auch über die Konsolen konfiguriert werden.

Gibt es noch andere Abhängigkeiten der PKI mit dem IIS außer Sperrlistenveröffentlichung und Zertifikatsanforderung per Web?

Grüße
Dani
Dani 31.08.2023 um 19:21:35 Uhr
Goto Top
Moin,
Gibt es noch andere Abhängigkeiten der PKI mit dem IIS außer Sperrlistenveröffentlichung und Zertifikatsanforderung per Web?
da gibt es noch einige Möglichkeiten. Ob das bei euch so ist, lässt sich mit der Info und aus der Ferne nicht sagen.

Ja das Zertifikat liegt bereits im richtigen Store. Somit kann ich es mir nicht erklären warum es nicht auswählbar ist.
Das ist ja nur eine Grundbedingung. Was ist mit dem den restlichen Merkmalen die genannt wurden? In der Regel kann das Zertifikat der Sub CA nicht zu gleich für Server Authentifizierung genutzt werden.

Gibts da einen Trick wie ich das Zertifikat als Auswahl integriert bekomme?
Ja, in die Thematik einlesen und einarbeiten. Warum meint heute jeder ein Forum ersetzt Schulung und Weiterbildungen? Mal abgesehen von dem fehlenden Wissen, wie was wo (nicht) funktioniert.


Gruß,
Dani
Wigald010
Wigald010 04.09.2023 um 07:30:03 Uhr
Goto Top
Hm, was soll ich sagen... ich wollte lediglich ein paar Antworten und keine Belehrung.

Antworten wie

Ja, in die Thematik einlesen und einarbeiten. Warum meint heute jeder ein Forum ersetzt Schulung und Weiterbildungen? Mal abgesehen von dem fehlenden Wissen, wie was wo (nicht) funktioniert.

helfen auf die schnelle nicht weiter.

Das Forum hier ist da um Fragen zu stellen und ggf. auch eine brauchbare Antwort zu erhalten.

Kluge Ratschläge wie, mach eine Schulung helfen auf die Schnelle nicht weiter.

Vielen Dank für den Senf.
7907292512
7907292512 04.09.2023 aktualisiert um 07:41:46 Uhr
Goto Top
Wenn man es noch nicht mal schafft alle Dinge zu beantworten die man einem oben vorgegeben hat und sich nur die raussucht die einem genehm sind, tja was soll.man da deiner Meinung nach mit so jemandem machen ...?!
In die Wüste schicken zum Wasser holen ist da meist die beste Methode.
Kluge Ratschläge wie, mach eine Schulung helfen auf die Schnelle nicht weiter.
Fehlende Antworten und Informationen genau so wenig.
Wigald010
Wigald010 04.09.2023 um 07:45:43 Uhr
Goto Top
Welche Fragen?
7907292512
7907292512 04.09.2023 aktualisiert um 08:49:43 Uhr
Goto Top
Lies dir meinen ersten Post nochmal genau durch, zu dem hast du nur zum ersten Teil Stellung bezogen, die anderen Teile wurden ignoriert, obwohl sie ebenso wichtig dafür sind das ein Zertifikat im IIS auswählbar ist.