ollipws
Goto Top

SSL-Webserver-Wildcard-Zertifikate

Moin,

wer kann mir SSL-Webserver-Wildcard-Zertifikate bisschen erklären?
wir haben eine Domain draußen bei einem Dienstleister registiert. mustermax.org

Jetzt haben wir dahinter diverse Web FTP und SQL Server laufen.
Diese möchten wir mit einem Wildcard Zertifikat absichern.

Wir haben diverse subdomains angelegt und richtung unserer Server weiter geleitet. sub1.mustermax.org sub2.mustermax.org usw.
Die Server heißen aber anders sc01 sc02 usw. Außerdem sind diese in einer Domain die aber anders heißt.

Jetzt habe ich aber Probleme dieses Zertifikat was auf *.mustermax.org ausgestellt ist einzubauen.

Habe ich da was falsch gemacht, oder was muss ich berücksichtigen?
Wäre über euere Hilfe sehr dankbar.

Sind übrigens Win2012 Server

LG

Content-ID: 340817

Url: https://administrator.de/contentid/340817

Ausgedruckt am: 05.11.2024 um 20:11 Uhr

emeriks
emeriks 16.06.2017 um 13:15:42 Uhr
Goto Top
Hi,
Wildcard-Zertifikate gelten nicht für Namen in Subdomains.

*.mustermax.org
--> www.mustermax.org --> OK
--> ftp.mustermax.org --> OK
--> www2.mustermax.org --> OK

--> www.sub1.mustermax.org --> Nicht OK
--> sub1.mustermax.org --> OK

E.
OlliPWS
OlliPWS 16.06.2017 um 13:34:21 Uhr
Goto Top
Das heißt?

wir wollen eine externe Domain mit Sub Domainen einbinden
sub01.mustermax.org zu der internen sub01.intern.local Weiterleitung erfolgt über IP
sub02.mustermax.org zu der internen sub02.intern.local Weiterleitung erfolgt über IP

Keine Ahnung ob das so geht oder was wir da machen müssen.
133417
133417 16.06.2017 aktualisiert um 13:42:56 Uhr
Goto Top
sub01.mustermax.org zu der internen sub01.intern.local Weiterleitung erfolgt über IP
Reverse Proxy?
Dann einfach Zertifikat auf den Reverse-Proxy packen, intern ist das Zertifikat dann egal, der Reverse-Proxy liefert die interne Seite mit dem externen Zertifikat aus, also alles kein Problem. Intern kann das Zertifikat der Gegenstelle auch selbst signiert sein, so lange der Reverse Proxy dem vertraut.

Gruß
emeriks
emeriks 16.06.2017 um 13:47:13 Uhr
Goto Top
Was Ihr da wie umleitet, ist eigentlich egal. Intressant ist nur, wie der Client darauf zugreift. Der Client ist es, der das Zertifikat nicht akzeptieren wird, wenn der Hostname nicht passt.

Wenn Du also einen Host www.sub01.intern.local hast auf welchen über sub01.mustermax.org zugegriffen wird, dann wird das Zertifikat wohl funktionieren.
117471
117471 19.06.2017 um 09:37:35 Uhr
Goto Top
Hallo,

Außerdem sind diese in einer Domain die aber anders heißt.

Domain oder Domäne? face-smile

Momentan verstehe ich das Problem nicht. Der Server liefert den Schlüssel, der zur öffentlichen Domain passt.

Der Client vergleicht den Schlüssel mit der Adresse, die *er* sieht. Das ist ebenfalls die öffentliche Domain.

Klassisches Beispiel: Mein E-Mail-Server heißt sbs2011.xyz.local - das Zertifikat, dass er über den IIS für 's OWA ausliefert, heißt autodiscover.meineexternedomain.tld und beinhaltet auch zusätzlich noch remote.meineexternedomain.tld

Eigentlich müsste "alles in Butter sein".

Und auch, wenn ein reverser Proxy sicherlich nicht stört - notwendig ist er nur dann, wenn zwei unterschiedliche Subdomains IP-basiert auf *einen* Server geleitet werden und Du das dort wieder namensbasiert auseinandertüddeln möchtest.

Gruß,
Jörg