theunreal
16.05.2024, aktualisiert am 17.05.2024
view1184
view7
0
Goto Top

SSL Zertifikat für ALIAS statt FQDN?

gelöstFrageWindows Server
Hallo zusammen,

ich habe mich in den letzten Tagen in das Thema SSL-Zertifikate eingelesen und einen linkedIN-Kurs gekauft.
Soweit vermute ich auch, das Thema verstanden zu haben, aber eine gewisse Restunsicherheit bleibt.
Ich möchte nun Zertifikate für diverse interne Webdienste ausstellen. Ich habe eine AD mit RootCA und kann mir für SRV-WEB.foo.bar ein Zertifikat erstellen, dass mein Browser als sicher betrachtet. Soweit, so gut. Nun möchte aber gerne nur den Service über SRV-WEB erreichen - und da fängt meine 2. Phase der Unwissenheit an face-sad.

Wie kann ich am CA ein Zertifikat anfordern, dass auch den Hostname als sicher betrachtet?

Gruß Sascha
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 3423662397

Url: https://administrator.de/contentid/3423662397

Ausgedruckt am: 22.11.2024 um 01:11 Uhr

7 Kommentare
Neuester Kommentar
Goto Top
13034433319
Lösung 13034433319 16.05.2024 aktualisiert um 10:47:05 Uhr
Goto Top
Pack den Namen als Subject Alternative Name (SAN) zusätzlich in das Zertifikat.
Kannst dir ein Zertfikats-Template bauen welches das Hinzufügen von eigenen Informationen im Request zulässt, dann über die MMC das Zertifikat anfordern und den Namen im Dialog als SAN hinzufügen .

screenshot

screenshot

Gruß hempel
heart1
Vision2015
Vision2015 16.05.2024 um 10:34:45 Uhr
Goto Top
Moin....

Wie kann ich am CA ein Zertifikat anfordern, dass auch den Hostname als sicher betrachtet?
dann erstelle doch ein Wildcard-Zertifikat mit deiner CA!

Wildcard-Zertifikate von einer AD-Zertifizierungsstelle anfordern

Frank
heart1
TheUnreal
TheUnreal 16.05.2024 um 10:42:37 Uhr
Goto Top
Vielen Dank !

Ich lese grad SAN-Zertifikate ausstellen an AD-CA

Dann schaue ich mir auch deinen Beitrag nochmal an.
ThePinky777
ThePinky777 16.05.2024 um 11:14:03 Uhr
Goto Top
Zitat von @Vision2015:

Moin....

Wie kann ich am CA ein Zertifikat anfordern, dass auch den Hostname als sicher betrachtet?
dann erstelle doch ein Wildcard-Zertifikat mit deiner CA!

Wildcard-Zertifikate von einer AD-Zertifizierungsstelle anfordern

Frank

In dem fall wenn er nur nen Hostnamen will geht das nicht.

bedeutet wildcard zertifikat *.domain.local
damit kannste zwar alle server aufsetzen die du willst in deiner domain.
aber wenn du die URL aufrust muss du zwinged den FQDN verwenden also z.B.
https://server1.domain.local

die frage war aber wie muss er das Zertifikat generieren das das geht und aber auch
https://server1

Oben die Antwort von hempel ist die Lösung.
heart1
Vision2015
Vision2015 16.05.2024 um 11:21:54 Uhr
Goto Top
Moin...
Zitat von @ThePinky777:

Zitat von @Vision2015:

Moin....

Wie kann ich am CA ein Zertifikat anfordern, dass auch den Hostname als sicher betrachtet?
dann erstelle doch ein Wildcard-Zertifikat mit deiner CA!

Wildcard-Zertifikate von einer AD-Zertifizierungsstelle anfordern

Frank

In dem fall wenn er nur nen Hostnamen will geht das nicht.
wiso nicht?
gut, bei einem host braucht es nur ein SAN....

bedeutet wildcard zertifikat *.domain.local
ja... wo ist das Problem? also jeder hostname vor .domain.local das * als Alias!
damit kannste zwar alle server aufsetzen die du willst in deiner domain.
das geht aucvh ohne Zertifikat face-smile
aber wenn du die URL aufrust muss du zwinged den FQDN verwenden also z.B.
https://server1.domain.local
ja klar... verstehe nicht warum das nicht gehen soll!

die frage war aber wie muss er das Zertifikat generieren das das geht und aber auch
https://server1

Oben die Antwort von hempel ist die Lösung.
oder aber eben ein Wildcard-Zertifikat!
Frank
heart1
TheUnreal
TheUnreal 16.05.2024 um 11:39:04 Uhr
Goto Top
Bitte keinen Streit wegen sowas face-smile Es wird schon beides funktionieren - hempels Lösung gefällt mir aber etwas besser.
Vielen herzlichen Dank an alle beteiligten !
ThePinky777
ThePinky777 17.05.2024 aktualisiert um 17:23:18 Uhr
Goto Top
Zitat von @Vision2015:

Oben die Antwort von hempel ist die Lösung.
oder aber eben ein Wildcard-Zertifikat!
Frank

was für ein wildcard zertifikat willst du den nehmen
*
?

nochmal wenn du als Wildcard *.abc.local erstellst
oder *.local von mir aus
dann klappt es trotzdem nicht wenn du auf die webseite per
https://hostname
zugreifen willst, weil hostname ungleich hostname.abc.local oder hostname.local
dann bekommst du trotzdem die fehlermeldung das das zertifikat nicht passt.

probier es doch bei deinem server mit wildcard aus ohne den FQDN drauf zuzugreifen.

Ich seh das nicht als Streit, sondern als Klärung face-smile

und da es kein WIldcard Zertifikat gibt das nur * ist (Stück der Domain muss hinten ja dran sein), gehts halt nicht.
gelöstFrageWindows Server
Mehr von TheUnrealTheUnrealOAB synchronisiert keine ÄnderungenTheUnreal - 8 KommentareTheUnrealOutlook 2019 verschieben in Posteingang keine BerechtigungTheUnreal - 15 KommentareTheUnrealEmail Sandboxing - best practices?TheUnreal - 11 KommentareTheUnrealLabeldrucker ignoriert LabelformatTheUnreal - 2 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 23 KommentarecseLaufwege erfassen in großer Hallecse - 20 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareaufdemmarsHP Z620 USB hat kein Strom beim Startenaufdemmars - 17 KommentareYan2021Nachricht an mehrere PCs im Netzwerk sendenYan2021 - 17 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 14 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareadmtechEntwicklertagebuch: Release 6.4 - Filteradmtech - 13 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 12 Kommentare