11
IIS 7 SSL unterschiedliche Zertifikate
Hallo zusammen,
wir haben mehrere Domains www.domain1.de und www.domain2.com.
Dafür gibt es jetzt SSL Zertifikate. Wie bekomme ich diese zugeordnet?
Über die IIS Verwaltung geht das gar nicht, da er hier wegen gleicher IP und gleichen Port 443 das nicht bindet. Über die applicationHost.config ist dies möglich. Allerdings kann ich die importierten SSL Zertifikate nicht zuordnen. Ich kann wohl SSL über IP, Port 443 und Hostheader korrekt binden, nur eben das korrekte Zertifikat nicht zuordnen.
Die Zertifikate funktionieren, allerdings bekomme ich immer nur jeweils eins zum Laufen.
Hat jemand eine Idee?
DANKE
Ciao thomas
wir haben mehrere Domains www.domain1.de und www.domain2.com.
Dafür gibt es jetzt SSL Zertifikate. Wie bekomme ich diese zugeordnet?
Über die IIS Verwaltung geht das gar nicht, da er hier wegen gleicher IP und gleichen Port 443 das nicht bindet. Über die applicationHost.config ist dies möglich. Allerdings kann ich die importierten SSL Zertifikate nicht zuordnen. Ich kann wohl SSL über IP, Port 443 und Hostheader korrekt binden, nur eben das korrekte Zertifikat nicht zuordnen.
Die Zertifikate funktionieren, allerdings bekomme ich immer nur jeweils eins zum Laufen.
Hat jemand eine Idee?
DANKE
Ciao thomas
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 192133
Url: https://administrator.de/contentid/192133
Printed on: April 18, 2024 at 15:04 o'clock
11 Comments
Latest comment
Moin,
grundsätzlich kann IIS nicht mit Server Name Indication umgehen. Aber es versuch folgenden Trick.
Im Notfall hast aber keinen Microsoft Support!
Grüße,
Dani
grundsätzlich kann IIS nicht mit Server Name Indication umgehen. Aber es versuch folgenden Trick.
Im Notfall hast aber keinen Microsoft Support!
Grüße,
Dani
Hi Dani,
danke für den Trick! Das hätte allerdings zur Folge, dass der Browser "meckert" wegen dem "ungültigen" Zertifikat. Und genau das wird der Kunde so nicht akzeptieren. Ist schon schwach, wenn das im IIS7 nicht möglich ist. Der Apache kann das, soweit ich weiß, na ja bringt mir nicht viel.
Ciao thomas
danke für den Trick! Das hätte allerdings zur Folge, dass der Browser "meckert" wegen dem "ungültigen" Zertifikat. Und genau das wird der Kunde so nicht akzeptieren. Ist schon schwach, wenn das im IIS7 nicht möglich ist. Der Apache kann das, soweit ich weiß, na ja bringt mir nicht viel.
Ciao thomas
Moin,
du brauchst dann eben mehrere IP-Adressen.
du brauchst dann eben mehrere IP-Adressen.
Hi Dani,
jep mit unterschiedlichen IPs geht es. Angenommen www.domain3.de und www.domain3.com wollen auch SSL. Kann ich hier die IPs noch einmal verwenden? ... oder braucht es noch einmal neue IPs?
Ciao thomas
jep mit unterschiedlichen IPs geht es. Angenommen www.domain3.de und www.domain3.com wollen auch SSL. Kann ich hier die IPs noch einmal verwenden? ... oder braucht es noch einmal neue IPs?
Ciao thomas
Die Antwort hast du dir selber schon gegeben.
Hallo,
Bei HTTPS wird _erst_ eine SSL-Verbindung (Tunnel) aufgebaut, und _dann_ darüber der Request (der ja durchaus auch vertraulich ist!) übertragen. In diesem Request steht dann auch der Hostheader.
Sprich: Hostheader wird übertragen, _nachdem_ die Verschlüsselung aufgebaut wurde, daher kann auch nicht ein passendes Zertifikat auf Basis des Hostheaders ausgewählt werden.
Eines bessern lasse ich mich gerne belehren.
Gruß
Filipp
Die Zertifikate funktionieren, allerdings bekomme ich immer nur jeweils eins zum Laufen.
Meines Erachtens ist das Behaviour by design, und zwar des Designs von HTTPS und nicht des IIS, und es ist auch ein Gerücht, dass Apache mehr können würde.Bei HTTPS wird _erst_ eine SSL-Verbindung (Tunnel) aufgebaut, und _dann_ darüber der Request (der ja durchaus auch vertraulich ist!) übertragen. In diesem Request steht dann auch der Hostheader.
Sprich: Hostheader wird übertragen, _nachdem_ die Verschlüsselung aufgebaut wurde, daher kann auch nicht ein passendes Zertifikat auf Basis des Hostheaders ausgewählt werden.
Eines bessern lasse ich mich gerne belehren.
Gruß
Filipp
Hi Filipp,
dann möchte ich mal belehren: :P
-> https://de.wikipedia.org/wiki/Server_Name_Indication (Wurde ja oben auch schon angesprochen.)
Genau das kann eben der IIS 7 nicht, der neue IIS 8 solls nun können. Apache und auch Nginx können dies schon seit "Ewigkeiten".
Mittels SNI wird der "server_name", was laut Spezifikation nicht zwingend der Hostheader sein muss, praktisch ist er es aber natürlich doch, bereits beim Verbindungsaufbau mitgesendet. So kann der Server dann eben ein passendes Zertifikat wählen.
Schönen Abend,
Bernd
dann möchte ich mal belehren: :P
-> https://de.wikipedia.org/wiki/Server_Name_Indication (Wurde ja oben auch schon angesprochen.)
Genau das kann eben der IIS 7 nicht, der neue IIS 8 solls nun können. Apache und auch Nginx können dies schon seit "Ewigkeiten".
Mittels SNI wird der "server_name", was laut Spezifikation nicht zwingend der Hostheader sein muss, praktisch ist er es aber natürlich doch, bereits beim Verbindungsaufbau mitgesendet. So kann der Server dann eben ein passendes Zertifikat wählen.
Schönen Abend,
Bernd
Ah, danke, wieder etwas gelernt!
Genau das kann eben der IIS 7 nicht, der neue IIS 8 solls nun können. Apache und auch Nginx können dies schon seit "Ewigkeiten".
Richtig, funktioniert problemlos.
Hallo Zusammen,
IIS7 kommt damit nicht zurecht .... und für jedes Zertifikat eine eigene IP ... das ist im Zeitalter von nur noch wenigen IPs natürlich keine Option.
Schade nur, dass man nicht den IIS7 auf IIS8 updaten kann. Auch hier, der Apache kann das und ist günstiger ...
Ciao thomas
IIS7 kommt damit nicht zurecht .... und für jedes Zertifikat eine eigene IP ... das ist im Zeitalter von nur noch wenigen IPs natürlich keine Option.
Schade nur, dass man nicht den IIS7 auf IIS8 updaten kann. Auch hier, der Apache kann das
und ist günstiger ...Ciao thomas
IIS7 kommt damit nicht zurecht .... und für jedes Zertifikat eine eigene IP ... das ist im Zeitalter von nur noch wenigen IPs natürlich keine Option.
Kostet eben alles Geld inzwischen. Wir hatten Glück wir haben uns vor 1 Jahr 2x /24 als PI-Netz zugelegt. 