starmanager
Goto Top

SSL Zertifikat zusaetzlich bei Lets Encrypt

Guten Morgen Zusammen,

ich habe eine Frage zu SSL Zertifikaten.

Wir haben ein Wildcard Zertifikat " *.firmenname.de" bei einem der bekannten Zertifikatfirmen im Einsatz. Damit sichern wir die offizielle Homepage und ein paar Apache Server die vom Internet her erreichbar sind ab.

Nun moechte ich einen IIS10 Server in der DMZ absichern. Leider kann der mit dem bestehenden Zertikatbuendel nichts anfangen.

Nun meine Frage. Kann ich bei Lets Encrypt fuer den gleichen Domain Name firmenname.de dort zusaetzlich ein Zertifikakt erstellen oder bringt mir das die bestehenden Zertifikate in Gefahr? Der neue Domain Name waere dann "zx.firmenname.de"

Vielen Dank an all die Spezialisten

Sonnige Gruesse aus dem Schwarzwald.

Content-Key: 63656697627

Url: https://administrator.de/contentid/63656697627

Printed on: July 24, 2024 at 20:07 o'clock

Member: StefanKittel
StefanKittel Jun 18, 2024 updated at 09:29:56 (UTC)
Goto Top
Moin,

ja, kannst Du.
Es gibt da keinen Ausschluss wenn man mehrere Zertifikate und Anbieter verwendet.

Du kannst aber auch ein CERT/PEM Zertifikat in ein PFX umwandeln wenn Du es eh hast.
openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt

Stefan

PS: Absichern ist das falsche Wort. Ihr verschlüsselt den Transfer zwischen Endgerät und Server.
Member: SlainteMhath
SlainteMhath Jun 18, 2024 at 08:42:05 (UTC)
Goto Top
Moin,

nein, das ist kein Problem.

lg,
Slainte
Member: ThePinky777
ThePinky777 Jun 18, 2024 at 08:46:00 (UTC)
Goto Top
wenn du ein bestehendes Zertifikat hast mit dem openssl Befehl kannst du es in alle möglichen bestehenden formate umwandeln. openssl kann man auch für Windows runterladen und in Windows verwenden, oder eben unter Linux.

Für IIS brauchste vermutlich .pfx pkcs12 format zertifikat zum importieren in den IIS.
Member: MirkoKR
MirkoKR Jun 18, 2024 updated at 09:22:33 (UTC)
Goto Top
Moin

Zitat von @Starmanager:

Wir haben ein Wildcard Zertifikat " *.firmenname.de" bei einem der bekannten Zertifikatfirmen im Einsatz. Damit sichern wir die offizielle Homepage und ein paar Apache Server die vom Internet her erreichbar sind ab.


Abgesichert hast du mit den Zertifikaten gar nichts !!

Lediglich gibst du dem Nutzer eine gewisse Garantie, das die Verbindung "echt und sicher verschlüsselt" sein sollte. ...

Das sichert bei Man in The Middle Attacken oder Sicherheitslücken auf euren Servern aber nichts !

Den gleichen "Schutz" erreichst du auch mit einem Self-Signed-Zertifikat, außer, das dieses in der Regel nicht bei öffentlichen Zertifikatsstellen hinterlegt ist ...
Member: Starmanager
Starmanager Jun 18, 2024 at 10:08:26 (UTC)
Goto Top
@MirkoKR Vielen Dank. Ich habe schon beim schreiben des Wortes gewusst, dass Einwaende kommen. Wir wollen damit nur verhindern dass die Browser die Leute die darauf zugreifen nicht gegaengelt werden.

@StefanKittel Ich habe 4 Dateien

AAACertificateServices.crt
SectigoRSADomainValidationSecureServerCA.crt
STAR_Firmenname.de.crt
UserTrustRSAAAACA.crt

Welche kann ich denn fuer den IIS hernehmen und umwandeln?

Vielen Dank und schone Gruesse
Member: kadde71
kadde71 Jun 18, 2024 at 10:15:23 (UTC)
Goto Top
Moin,
falls Dir die cmd Line nicht zusagt. Kannst Du auch den Keystore Explorer probieren. Da kannst Du Deine Zertifikate importieren, auch mal schauen, wozu die gut sind, und in ein beliebiges Format exportieren.
https://keystore-explorer.org/features.html
Member: StefanKittel
StefanKittel Jun 18, 2024 at 12:32:59 (UTC)
Goto Top
Zitat von @Starmanager:
Das ist Dein Zertifikat.
STAR_Firmenname.de.crt

Aber wo ist Dein privater Schlüssel? Meist "STAR_Firmenname.de.key".

Ich habe hier ein Setigo-Wildcard-Zertifikat und folgende Dateien die ich nutze.
STAR_firma_com.crt -> Zertifikat
My_CA_Bundle.ca-bundle -> CA Bundel

Diese habe ich selber erstellt um überhaupt ein Zertifikat zu bekommen
firma_com.csr -> Anfrage (kann weg)
firma_com.key - Der private Schlüssel

Diese Key-Datei braucht man auch unter Linux. Ohne die geht gar nix.

Stefan
Member: Starmanager
Solution Starmanager Jun 19, 2024 at 08:00:16 (UTC)
Goto Top
Vielen Dank fuer euere Vorschlaege und Hilfestellungen. Ich habe nun mit einem Tool ein Lets Encrypt Zertikat installiert. Certify Certificate Manager nennt er sich. Nach dem die Firewall richtig angepasst war hat es auf Anhieb geklappt.