8
2-Tier PKI - IIS auf https umstellen
Hallo Community,
folgender Sachverhalt beschäftigt mich gerade:
Es wurde uns vor langer Zeit eine 2 stufige PKI eingerichtet. Diese funktioniert auch tadellos.
Nun wollen wir aus Sicherheitsgründen den Webaufruf vom IIS-Webserver von http auf https umstellen.
Bei der Bindung muss ich für https ein Zertifikat angeben. Hier erhalte ich aber nur die Auswahl des SUB-CA-Zertifikates, was nicht für den Webaufruf korrekt wäre.
Das lokale Server-Zertifikat für die SUB-CA existiert bereits kann aber nicht eingebunden werden.
Gibts da einen Trick wie ich das Zertifikat als Auswahl integriert bekomme?
VG Wigald
folgender Sachverhalt beschäftigt mich gerade:
Es wurde uns vor langer Zeit eine 2 stufige PKI eingerichtet. Diese funktioniert auch tadellos.
Nun wollen wir aus Sicherheitsgründen den Webaufruf vom IIS-Webserver von http auf https umstellen.
Bei der Bindung muss ich für https ein Zertifikat angeben. Hier erhalte ich aber nur die Auswahl des SUB-CA-Zertifikates, was nicht für den Webaufruf korrekt wäre.
Das lokale Server-Zertifikat für die SUB-CA existiert bereits kann aber nicht eingebunden werden.
Gibts da einen Trick wie ich das Zertifikat als Auswahl integriert bekomme?
VG Wigald
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 84135745958
Url: https://administrator.de/contentid/84135745958
Printed on: May 6, 2024 at 13:05 o'clock
8 Comments
Latest comment
Hallo,
aus dem Umstand, dass das Sub-CA-Zertifikat auswählbar ist, schließe ich, dass es sich um einen auf der Sub-CA-Maschine installierten IIS handelt (unter Sicherheits- und Verfügbarkeitsgesichtspunkten wenig sinnvoll).
Dann dient er als AIA/CDP-Endpunkt, die gerade auf HTTP laufen sollen, nicht auf HTTPS (prinzipiell möglich, aber wenn du nun ein Webserver-Zertifikat mit deiner Sub-CA ausstellen würdest, würde sich die Katze schon in den Schwanz beißen; erfordert also ein etwas tieferes Verständnis).
Grüße
Richard
aus dem Umstand, dass das Sub-CA-Zertifikat auswählbar ist, schließe ich, dass es sich um einen auf der Sub-CA-Maschine installierten IIS handelt (unter Sicherheits- und Verfügbarkeitsgesichtspunkten wenig sinnvoll).
Dann dient er als AIA/CDP-Endpunkt, die gerade auf HTTP laufen sollen, nicht auf HTTPS (prinzipiell möglich, aber wenn du nun ein Webserver-Zertifikat mit deiner Sub-CA ausstellen würdest, würde sich die Katze schon in den Schwanz beißen; erfordert also ein etwas tieferes Verständnis).
Grüße
Richard
Zum Thema IIS auf einer CA sag ich jetzt mal nichts, das hat mein Vorredner ja auch schon angemerkt .
Gruß sid
Gibts da einen Trick wie ich das Zertifikat als Auswahl integriert bekomme?
Das Zertifikat an der richtigen Stelle ablegen und zwar in den Computer-Certificate Store und nicht im Personal Store des Users. Des weiteren muss das Zertifikat auch einen private Key aufweisen und die entsprechende OID für Serverauthentifizierung im Feld KeyUsage/EKU des Zertifikats enthalten. Sind diese Vorraussetzungen erfüllt lässt sich das Zertifikat auch im IIS auswählen.Gruß sid
1
Hallo,
danke für die Antworten.
Ja das Zertifikat liegt bereits im richtigen Store. Somit kann ich es mir nicht erklären warum es nicht auswählbar ist.
Wenn es nach mir ginge würde ich den IIS ausschalten da ich die Schnittstelle noch nie genutzt habe.
Zertifikate und Vorlagen können auch über die Konsolen konfiguriert werden.
Gibt es noch andere Abhängigkeiten der PKI mit dem IIS außer Sperrlistenveröffentlichung und Zertifikatsanforderung per Web?
Grüße
danke für die Antworten.
Das Zertifikat an der richtigen Stelle ablegen
Ja das Zertifikat liegt bereits im richtigen Store. Somit kann ich es mir nicht erklären warum es nicht auswählbar ist.
unter Sicherheits- und Verfügbarkeitsgesichtspunkten wenig sinnvoll
Wenn es nach mir ginge würde ich den IIS ausschalten da ich die Schnittstelle noch nie genutzt habe.
Zertifikate und Vorlagen können auch über die Konsolen konfiguriert werden.
Gibt es noch andere Abhängigkeiten der PKI mit dem IIS außer Sperrlistenveröffentlichung und Zertifikatsanforderung per Web?
Grüße
Moin,
Gruß,
Dani
Gibt es noch andere Abhängigkeiten der PKI mit dem IIS außer Sperrlistenveröffentlichung und Zertifikatsanforderung per Web?
da gibt es noch einige Möglichkeiten. Ob das bei euch so ist, lässt sich mit der Info und aus der Ferne nicht sagen.Ja das Zertifikat liegt bereits im richtigen Store. Somit kann ich es mir nicht erklären warum es nicht auswählbar ist.
Das ist ja nur eine Grundbedingung. Was ist mit dem den restlichen Merkmalen die genannt wurden? In der Regel kann das Zertifikat der Sub CA nicht zu gleich für Server Authentifizierung genutzt werden.Gibts da einen Trick wie ich das Zertifikat als Auswahl integriert bekomme?
Ja, in die Thematik einlesen und einarbeiten. Warum meint heute jeder ein Forum ersetzt Schulung und Weiterbildungen? Mal abgesehen von dem fehlenden Wissen, wie was wo (nicht) funktioniert.Gruß,
Dani
2
Hm, was soll ich sagen... ich wollte lediglich ein paar Antworten und keine Belehrung.
Antworten wie
helfen auf die schnelle nicht weiter.
Das Forum hier ist da um Fragen zu stellen und ggf. auch eine brauchbare Antwort zu erhalten.
Kluge Ratschläge wie, mach eine Schulung helfen auf die Schnelle nicht weiter.
Vielen Dank für den Senf.
Antworten wie
Ja, in die Thematik einlesen und einarbeiten. Warum meint heute jeder ein Forum ersetzt Schulung und Weiterbildungen? Mal abgesehen von dem fehlenden Wissen, wie was wo (nicht) funktioniert.
helfen auf die schnelle nicht weiter.
Das Forum hier ist da um Fragen zu stellen und ggf. auch eine brauchbare Antwort zu erhalten.
Kluge Ratschläge wie, mach eine Schulung helfen auf die Schnelle nicht weiter.
Vielen Dank für den Senf.
1
Wenn man es noch nicht mal schafft alle Dinge zu beantworten die man einem oben vorgegeben hat und sich nur die raussucht die einem genehm sind, tja was soll.man da deiner Meinung nach mit so jemandem machen ...?!
In die Wüste schicken zum Wasser holen ist da meist die beste Methode.
In die Wüste schicken zum Wasser holen ist da meist die beste Methode.
Kluge Ratschläge wie, mach eine Schulung helfen auf die Schnelle nicht weiter.
Fehlende Antworten und Informationen genau so wenig.1
Welche Fragen?
1
Lies dir meinen ersten Post nochmal genau durch, zu dem hast du nur zum ersten Teil Stellung bezogen, die anderen Teile wurden ignoriert, obwohl sie ebenso wichtig dafür sind das ein Zertifikat im IIS auswählbar ist.
