6
IIS mit Domänenenzertifikat über HTTPS verschlüsseln
Hallo zusammen,
ich möchte unsere internen IIS nur über HTTPS laufen lassen.
Dabei ergeben sich einige Probleme und somit Fragen an die erfahrenen.
Ich habe nun erfahren, dass es die Möglichkeit gibt über ein selbst erstelltes Zertifikat oder Domänenzertifikat zu arbeiten.
Was wären die Vorteile und das bessere für eine Windows interne Umgebung?
Wenn ich die Option Domänenzertifikat auswähle, scheitert es an der Auswahl einer Zertifizierungsstelle. Der Button "Auswahl" ist grau und nicht anklickbar.
Gibt es noch Rollen und Features die zusätzlich benötigt werden? Ich hatte schon die Rolle AD Zertifizierungsstelle auf einem Testserver 12r2 Mitglied der AD
aber kein DC drauf gehabt.
Trotzdem bot sich unter Domänenzertifikat erstellen nichts an.
Wir haben auch Anwendungen laufen, die anscheinend nicht mehr funktionieren, sobald ich testweise nur HTTPS auf dem IIS aktiviere.
Wie kriege ich auch diese Anwendungen trotz SSL zum laufen?
Vielleicht kennt ihr ja gute Tutorials die genau das mit dem Domänenzertifikat erklären.
Was ich mich auch noch frage ist, wozu überhaupt das Zertifikat, wenn am beim daraufschalten der Seite trotzdem diese Warnung des Browser kommt, wo man erst die Ausnahme hinzufügen muss. Dies kommt mit oder auch ohne Zertifikat.
Hoffe auf Antworten
Lg
ich möchte unsere internen IIS nur über HTTPS laufen lassen.
Dabei ergeben sich einige Probleme und somit Fragen an die erfahrenen.
Ich habe nun erfahren, dass es die Möglichkeit gibt über ein selbst erstelltes Zertifikat oder Domänenzertifikat zu arbeiten.
Was wären die Vorteile und das bessere für eine Windows interne Umgebung?
Wenn ich die Option Domänenzertifikat auswähle, scheitert es an der Auswahl einer Zertifizierungsstelle. Der Button "Auswahl" ist grau und nicht anklickbar.
Gibt es noch Rollen und Features die zusätzlich benötigt werden? Ich hatte schon die Rolle AD Zertifizierungsstelle auf einem Testserver 12r2 Mitglied der AD
aber kein DC drauf gehabt.
Trotzdem bot sich unter Domänenzertifikat erstellen nichts an.
Wir haben auch Anwendungen laufen, die anscheinend nicht mehr funktionieren, sobald ich testweise nur HTTPS auf dem IIS aktiviere.
Wie kriege ich auch diese Anwendungen trotz SSL zum laufen?
Vielleicht kennt ihr ja gute Tutorials die genau das mit dem Domänenzertifikat erklären.
Was ich mich auch noch frage ist, wozu überhaupt das Zertifikat, wenn am beim daraufschalten der Seite trotzdem diese Warnung des Browser kommt, wo man erst die Ausnahme hinzufügen muss. Dies kommt mit oder auch ohne Zertifikat.
Hoffe auf Antworten
Lg
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 345850
Url: https://administrator.de/contentid/345850
Printed on: April 23, 2024 at 17:04 o'clock
6 Comments
Latest comment
Hi,
ich weiß zwar nicht, was ein Domänenzertifikat in diesem Sinne sein soll, aber ich gehe mal davon aus, dass damit ein Zertifikat gemeint ist, welches von einer internen Windows Enterprise CA erstellt wurde. Deren Zertifikate (Root- und ggf. Intermediate-CA) werden automatisch via Active Directory und GPO auf alle Member Computer dieses AD verteilt und dort in den Speicher der Vertrauenswürdigen Zertifizierungsstellen importiert. Das hat dann den Vorteil, dass die Member Computer dann automatisch allen Zertifikaten vertrauen, welche von dieser CA ausgestellt wurden und welche noch gültig sind. Wenn Dein IIS (der Computer) dann also von dieser CA ein Zertifikat für SSL erhält und Du damit eine Site via HTTPS veröffentlichst, dann werden die Member Computer beim Zugriff auf diese Site nicht wegen des Zertifikats meckern.
Ein selbstsigniertes Zertifikat kann man aber auch via GPO auf alle Member Computer verteilen, damit diese dem vertrauen. Das muss man aber alles manuell einrichten.
E.
ich weiß zwar nicht, was ein Domänenzertifikat in diesem Sinne sein soll, aber ich gehe mal davon aus, dass damit ein Zertifikat gemeint ist, welches von einer internen Windows Enterprise CA erstellt wurde. Deren Zertifikate (Root- und ggf. Intermediate-CA) werden automatisch via Active Directory und GPO auf alle Member Computer dieses AD verteilt und dort in den Speicher der Vertrauenswürdigen Zertifizierungsstellen importiert. Das hat dann den Vorteil, dass die Member Computer dann automatisch allen Zertifikaten vertrauen, welche von dieser CA ausgestellt wurden und welche noch gültig sind. Wenn Dein IIS (der Computer) dann also von dieser CA ein Zertifikat für SSL erhält und Du damit eine Site via HTTPS veröffentlichst, dann werden die Member Computer beim Zugriff auf diese Site nicht wegen des Zertifikats meckern.
Ein selbstsigniertes Zertifikat kann man aber auch via GPO auf alle Member Computer verteilen, damit diese dem vertrauen. Das muss man aber alles manuell einrichten.
E.
Hallo,
im Endeffekt hängt alles eben mit der Warnung zusammen.
SelfSign: du muss dich um jedes einzelne Zertifikat kümmern damit es Vertrauenswürdig ist. In Zusammenhang mit dem IE oder Edge geht das per GPO.
Domain Zertifikat: Du musst dich einmal darum kümmern das die Zertifizierungsstelle vertrauenswürdig ist. Geht im zusammenhang mit IE oder Edge per GPO. Danach sind alle Zertifikate auch "Vertrauenswürdig". Zudem kann man diese auch sehr gut für ein paar andere Stellen verwenden.
Oder du nimmst ein offizielles Zertifikat. Lets Encrypt und du hast bei keinem Browser Probleme. Musst aber eine "offizelle" Domain verwenden.
im Endeffekt hängt alles eben mit der Warnung zusammen.
SelfSign: du muss dich um jedes einzelne Zertifikat kümmern damit es Vertrauenswürdig ist. In Zusammenhang mit dem IE oder Edge geht das per GPO.
Domain Zertifikat: Du musst dich einmal darum kümmern das die Zertifizierungsstelle vertrauenswürdig ist. Geht im zusammenhang mit IE oder Edge per GPO. Danach sind alle Zertifikate auch "Vertrauenswürdig". Zudem kann man diese auch sehr gut für ein paar andere Stellen verwenden.
Oder du nimmst ein offizielles Zertifikat. Lets Encrypt und du hast bei keinem Browser Probleme. Musst aber eine "offizelle" Domain verwenden.
Viele User benutzen Chrome und FF.
Damit würde die Verteilung des Cert. per GPO nichts bringen oder?
Damit würde die Verteilung des Cert. per GPO nichts bringen oder?
Die haben ihren eigenen Zertifikatsstore. Mag sein das es irgendwie geht. Aber auf jedenfalls getrennt zu den GPO's von Microsoft
Gibt es auch eine Lösung für die Web-Applikationen die auf den IIS zugreifen? Wie kriege ich die unter dem Mantel des TLS.
Die Applikation benötigt zuerst ein Login auf HTTP also Klartext. Dies will ich unbedingt ändern.
Die Applikation benötigt zuerst ein Login auf HTTP also Klartext. Dies will ich unbedingt ändern.
kannst du di App auf "app.externalurl.de" oder ähnlich umstellen? Muss aber nicht unbedingt von extern erreichbar sein.
Dann sich mal nach "acmesharp". Das müsste dir helfen können.
Dann sich mal nach "acmesharp". Das müsste dir helfen können.
