staybb
Goto Top

Externes Wildcard Zertifikat für internen IIS Webserver nutzen

Hallo zusammen,

ich habe einen internen Windows Server mit IIS10 neu installiert, auf dem später eine Dokumentations Applikation betrieben wird mit integrierten Webserver für die Web-Dokumentationsplattform.

Da natürlich der Zugriff intern wie https erfolgt muss ich im IIS ein SSL Zertifikat hinterlegen.

Nun habe ich bereits ein SSL Wildcard welches ich nutzen kann und dieses wurde von einem externen Zertifikats-Provider ausgestellt.
Das Wildcard Zertifikat wird bspw. auf dem Exchange Server oder der Citrix Umgebung genutzt, wo der Zugriff von Extern auf die Services stattfindet.

Jetzt ist meine Frage, wie kann ich das wildcard Zertifikat für den internen IIS Server benutzen?

Kann ich dies einfach im IIS Manager hinterlegen oder muss ich zuerst noch ein Certificate Request im IIS durchführen um es dann später einzubinden?

Danke und Gruss

Content-ID: 2201661083

Url: https://administrator.de/contentid/2201661083

Printed on: October 4, 2024 at 01:10 o'clock

1915348599
1915348599 Mar 17, 2022 updated at 15:29:29 (UTC)
Goto Top
Jetzt ist meine Frage, wie kann ich das wildcard Zertifikat für den internen IIS Server benutzen?
Ja klar, so lange deine Anfragen intern auch auf die Subdomains des Wildcards auflösen. (Split-DNS).
Beachte das auch nur das erste Level eines Wildcards gilt, ist das Wildcard also auf *.domain.tld ausgestellt gilt dieses nicht mehr für sub2.sub1.domain.tld, sondern nur sub1.domain.tld, subX.domain.tld, usw .
Denke auch daran das du dir per Split-DNS nicht die externen Domains überschreibst falls du die ganze Domain als Zone einrichtest, statt nur der intern für den IIS genutzten.
Kann ich dies einfach im IIS Manager hinterlegen oder muss ich zuerst noch ein Certificate Request im IIS durchführen um es dann später einzubinden?
Importiere das vorhandene P12/PFX File mit PrivateKey in den Windows Certificate Computer-Store und wähle es dann im IIS für die entsprechende Site und Port aus. WICHTIG, es muss ein PFX oder P12 Container mit private Key sein, nicht nur ein *.crt oder *.cer wo nur der Public Key drin ist.
staybb
staybb Mar 17, 2022 at 15:36:44 (UTC)
Goto Top
Zitat von @1915348599:

Jetzt ist meine Frage, wie kann ich das wildcard Zertifikat für den internen IIS Server benutzen?
Ja klar, so lange deine Anfragen intern auch auf die Subdomains des Wildcards auflösen. (Split-DNS)
Kann ich dies einfach im IIS Manager hinterlegen oder muss ich zuerst noch ein Certificate Request im IIS durchführen um es dann später einzubinden?
Importiere das vorhandene P12/PFX File mit PrivateKey in den Windows Certificate Computer-Store und wähle es dann im IIS für die entsprechende Site und Port aus. WICHTIG, es muss ein PFX oder P12 Container mit private Key sein, nicht nur ein *.crt oder *.cer wo nur der Public Key drin ist.

Ok danke, ist es doch so einfach das ich es einfach importieren kann und dann im IIS hinterlegen kann. Ich probiere es mal aus.

In den Systemvoraussetzungen der Software steht das man einen Reverse Proxy (zb. Microsoft IIS) einsetzen soll, für die interne Webapplikation.

Ich frage mich warum ein Reverse Proxy noch eingerichtet werden soll oder benötigt wird - für den internen Zugriff sollte doch ein standard iis webserver ausreichen oder ?
1915348599
1915348599 Mar 17, 2022 updated at 15:52:46 (UTC)
Goto Top
Zitat von @staybb:
Ok danke, ist es doch so einfach das ich es einfach importieren kann und dann im IIS hinterlegen kann. Ich probiere es mal aus.
Jepp, warum auch nicht? Da ist ehrlich gesagt nichts besonderes dran, so lange du im Besitz des private Key bist kannst du das drauf knallen und nutzen wo du willst ...
In den Systemvoraussetzungen der Software steht das man einen Reverse Proxy (zb. Microsoft IIS) einsetzen soll, für die interne Webapplikation.
Ich frage mich warum ein Reverse Proxy noch eingerichtet werden soll oder benötigt wird - für den internen Zugriff sollte doch ein standard iis webserver ausreichen oder ?
Um welche Applikation handelt es sich denn konkret? Vermutlich für den Zugriff von außen um die "unsicheren" Teile der Applikation zusätzlich vor Zugriff zu schützen, oder für's Load-Balancing, whatever, ... da kann es viele Gründe für geben...
staybb
staybb Mar 18, 2022 at 09:25:22 (UTC)
Goto Top
Zitat von @1915348599:

Zitat von @staybb:
Ok danke, ist es doch so einfach das ich es einfach importieren kann und dann im IIS hinterlegen kann. Ich probiere es mal aus.
Jepp, warum auch nicht? Da ist ehrlich gesagt nichts besonderes dran, so lange du im Besitz des private Key bist kannst du das drauf knallen und nutzen wo du willst ...

Danke ich habe es soeben im IIS importiert und in den Bindings mit https 443 hinterlegt. Das hat alles funktioniert.
Wenn ich den lokalen Webserver aufrufe via https://localhost wird mir das Wildcard Zertifikat angezeigt, allerdings bringt der Browser noch die Meldung das es eine unsichere Seite ist obwohl das Zertifikat von einer öffentlichen Zertifizierungsstelle herausgegeben wurde.

In den Systemvoraussetzungen der Software steht das man einen Reverse Proxy (zb. Microsoft IIS) einsetzen soll, für die interne Webapplikation.
Ich frage mich warum ein Reverse Proxy noch eingerichtet werden soll oder benötigt wird - für den internen Zugriff sollte doch ein standard iis webserver ausreichen oder ?
Um welche Applikation handelt es sich denn konkret? Vermutlich für den Zugriff von außen um die "unsicheren" Teile der Applikation zusätzlich vor Zugriff zu schützen, oder für's Load-Balancing, whatever, ... da kann es viele Gründe für geben...

Es handelt sich um eine Dokumentationsplattform Software wie Confluence. Für mich kam auch der erste Gedanke in Sinn das es vermutlich für den Zugriff von extern eingerichtet werden sollte, aber das ist eh nicht der fall und wird nur intern erlaubt.
Ob es einen anderen Grund hat werde ich dann bei der Installation erfahren oder ggf. dann noch im iis anpassen müssen, falls sie wirklich einen reverse proxy für die Applikation benötigen
1915348599
1915348599 Mar 18, 2022 updated at 09:34:00 (UTC)
Goto Top
Zitat von @staybb:
Danke ich habe es soeben im IIS importiert und in den Bindings mit https 443 hinterlegt. Das hat alles funktioniert.
Wenn ich den lokalen Webserver aufrufe via https://localhost wird mir das Wildcard Zertifikat angezeigt, allerdings bringt der Browser noch die Meldung das es eine unsichere Seite ist obwohl das Zertifikat von einer öffentlichen Zertifizierungsstelle herausgegeben wurde.
Und das wundert dich??? Echt jetzt?? localhost steht nunmal nicht im Zertifikat als Common Name oder SAN!!
Der Browser sendet den Namen den du in der Adresszeile verwendest und wertet dann den im Zertifikat hinterlegten Common-Name, bzw. die SAN Einträge aus prüft dann noch ob die austellende CA vertrauenswürdig ist und entscheidet dann ob es gültig für den Host ist oder nicht.
Ich glaube du solltest dich mal dringend mit Grundlagen zu Zertifikaten beschäftigen face-wink.

Willst du also intern das Zertifikat sinnvoll nutzen musst du wie gesagt Split-DNS auf deinem verwendeten DNS-Server einsetzen, damit der extern verwendete Domain-Name intern auf die interne IP des IIS aufgelöst wird!