theunreal
Goto Top

SSL Zertifikat für ALIAS statt FQDN?

Hallo zusammen,

ich habe mich in den letzten Tagen in das Thema SSL-Zertifikate eingelesen und einen linkedIN-Kurs gekauft.
Soweit vermute ich auch, das Thema verstanden zu haben, aber eine gewisse Restunsicherheit bleibt.
Ich möchte nun Zertifikate für diverse interne Webdienste ausstellen. Ich habe eine AD mit RootCA und kann mir für SRV-WEB.foo.bar ein Zertifikat erstellen, dass mein Browser als sicher betrachtet. Soweit, so gut. Nun möchte aber gerne nur den Service über SRV-WEB erreichen - und da fängt meine 2. Phase der Unwissenheit an face-sad.

Wie kann ich am CA ein Zertifikat anfordern, dass auch den Hostname als sicher betrachtet?

Gruß Sascha

Content-ID: 3423662397

Url: https://administrator.de/forum/ssl-zertifikat-fuer-alias-statt-fqdn-3423662397.html

Ausgedruckt am: 22.12.2024 um 16:12 Uhr

13034433319
Lösung 13034433319 16.05.2024 aktualisiert um 10:47:05 Uhr
Goto Top
Pack den Namen als Subject Alternative Name (SAN) zusätzlich in das Zertifikat.
Kannst dir ein Zertfikats-Template bauen welches das Hinzufügen von eigenen Informationen im Request zulässt, dann über die MMC das Zertifikat anfordern und den Namen im Dialog als SAN hinzufügen .

screenshot

screenshot

Gruß hempel
Vision2015
Vision2015 16.05.2024 um 10:34:45 Uhr
Goto Top
Moin....

Wie kann ich am CA ein Zertifikat anfordern, dass auch den Hostname als sicher betrachtet?
dann erstelle doch ein Wildcard-Zertifikat mit deiner CA!

Wildcard-Zertifikate von einer AD-Zertifizierungsstelle anfordern

Frank
TheUnreal
TheUnreal 16.05.2024 um 10:42:37 Uhr
Goto Top
Vielen Dank !

Ich lese grad SAN-Zertifikate ausstellen an AD-CA

Dann schaue ich mir auch deinen Beitrag nochmal an.
ThePinky777
ThePinky777 16.05.2024 um 11:14:03 Uhr
Goto Top
Zitat von @Vision2015:

Moin....

Wie kann ich am CA ein Zertifikat anfordern, dass auch den Hostname als sicher betrachtet?
dann erstelle doch ein Wildcard-Zertifikat mit deiner CA!

Wildcard-Zertifikate von einer AD-Zertifizierungsstelle anfordern

Frank

In dem fall wenn er nur nen Hostnamen will geht das nicht.

bedeutet wildcard zertifikat *.domain.local
damit kannste zwar alle server aufsetzen die du willst in deiner domain.
aber wenn du die URL aufrust muss du zwinged den FQDN verwenden also z.B.
https://server1.domain.local

die frage war aber wie muss er das Zertifikat generieren das das geht und aber auch
https://server1

Oben die Antwort von hempel ist die Lösung.
Vision2015
Vision2015 16.05.2024 um 11:21:54 Uhr
Goto Top
Moin...
Zitat von @ThePinky777:

Zitat von @Vision2015:

Moin....

Wie kann ich am CA ein Zertifikat anfordern, dass auch den Hostname als sicher betrachtet?
dann erstelle doch ein Wildcard-Zertifikat mit deiner CA!

Wildcard-Zertifikate von einer AD-Zertifizierungsstelle anfordern

Frank

In dem fall wenn er nur nen Hostnamen will geht das nicht.
wiso nicht?
gut, bei einem host braucht es nur ein SAN....

bedeutet wildcard zertifikat *.domain.local
ja... wo ist das Problem? also jeder hostname vor .domain.local das * als Alias!
damit kannste zwar alle server aufsetzen die du willst in deiner domain.
das geht aucvh ohne Zertifikat face-smile
aber wenn du die URL aufrust muss du zwinged den FQDN verwenden also z.B.
https://server1.domain.local
ja klar... verstehe nicht warum das nicht gehen soll!

die frage war aber wie muss er das Zertifikat generieren das das geht und aber auch
https://server1

Oben die Antwort von hempel ist die Lösung.
oder aber eben ein Wildcard-Zertifikat!
Frank
TheUnreal
TheUnreal 16.05.2024 um 11:39:04 Uhr
Goto Top
Bitte keinen Streit wegen sowas face-smile Es wird schon beides funktionieren - hempels Lösung gefällt mir aber etwas besser.
Vielen herzlichen Dank an alle beteiligten !
ThePinky777
ThePinky777 17.05.2024 aktualisiert um 17:23:18 Uhr
Goto Top
Zitat von @Vision2015:

Oben die Antwort von hempel ist die Lösung.
oder aber eben ein Wildcard-Zertifikat!
Frank

was für ein wildcard zertifikat willst du den nehmen
*
?

nochmal wenn du als Wildcard *.abc.local erstellst
oder *.local von mir aus
dann klappt es trotzdem nicht wenn du auf die webseite per
https://hostname
zugreifen willst, weil hostname ungleich hostname.abc.local oder hostname.local
dann bekommst du trotzdem die fehlermeldung das das zertifikat nicht passt.

probier es doch bei deinem server mit wildcard aus ohne den FQDN drauf zuzugreifen.

Ich seh das nicht als Streit, sondern als Klärung face-smile

und da es kein WIldcard Zertifikat gibt das nur * ist (Stück der Domain muss hinten ja dran sein), gehts halt nicht.