8
SSL Zertifikat zusaetzlich bei Lets Encrypt
Guten Morgen Zusammen,
ich habe eine Frage zu SSL Zertifikaten.
Wir haben ein Wildcard Zertifikat " *.firmenname.de" bei einem der bekannten Zertifikatfirmen im Einsatz. Damit sichern wir die offizielle Homepage und ein paar Apache Server die vom Internet her erreichbar sind ab.
Nun moechte ich einen IIS10 Server in der DMZ absichern. Leider kann der mit dem bestehenden Zertikatbuendel nichts anfangen.
Nun meine Frage. Kann ich bei Lets Encrypt fuer den gleichen Domain Name firmenname.de dort zusaetzlich ein Zertifikakt erstellen oder bringt mir das die bestehenden Zertifikate in Gefahr? Der neue Domain Name waere dann "zx.firmenname.de"
Vielen Dank an all die Spezialisten
Sonnige Gruesse aus dem Schwarzwald.
ich habe eine Frage zu SSL Zertifikaten.
Wir haben ein Wildcard Zertifikat " *.firmenname.de" bei einem der bekannten Zertifikatfirmen im Einsatz. Damit sichern wir die offizielle Homepage und ein paar Apache Server die vom Internet her erreichbar sind ab.
Nun moechte ich einen IIS10 Server in der DMZ absichern. Leider kann der mit dem bestehenden Zertikatbuendel nichts anfangen.
Nun meine Frage. Kann ich bei Lets Encrypt fuer den gleichen Domain Name firmenname.de dort zusaetzlich ein Zertifikakt erstellen oder bringt mir das die bestehenden Zertifikate in Gefahr? Der neue Domain Name waere dann "zx.firmenname.de"
Vielen Dank an all die Spezialisten
Sonnige Gruesse aus dem Schwarzwald.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 63656697627
Url: https://administrator.de/contentid/63656697627
Ausgedruckt am: 03.12.2024 um 17:12 Uhr
8 Kommentare
Neuester Kommentar
Moin,
ja, kannst Du.
Es gibt da keinen Ausschluss wenn man mehrere Zertifikate und Anbieter verwendet.
Du kannst aber auch ein CERT/PEM Zertifikat in ein PFX umwandeln wenn Du es eh hast.
Stefan
PS: Absichern ist das falsche Wort. Ihr verschlüsselt den Transfer zwischen Endgerät und Server.
ja, kannst Du.
Es gibt da keinen Ausschluss wenn man mehrere Zertifikate und Anbieter verwendet.
Du kannst aber auch ein CERT/PEM Zertifikat in ein PFX umwandeln wenn Du es eh hast.
openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crtStefan
PS: Absichern ist das falsche Wort. Ihr verschlüsselt den Transfer zwischen Endgerät und Server.
Moin,
nein, das ist kein Problem.
lg,
Slainte
nein, das ist kein Problem.
lg,
Slainte
wenn du ein bestehendes Zertifikat hast mit dem openssl Befehl kannst du es in alle möglichen bestehenden formate umwandeln. openssl kann man auch für Windows runterladen und in Windows verwenden, oder eben unter Linux.
Für IIS brauchste vermutlich .pfx pkcs12 format zertifikat zum importieren in den IIS.
Für IIS brauchste vermutlich .pfx pkcs12 format zertifikat zum importieren in den IIS.
Moin
Abgesichert hast du mit den Zertifikaten gar nichts !!
Lediglich gibst du dem Nutzer eine gewisse Garantie, das die Verbindung "echt und sicher verschlüsselt" sein sollte. ...
Das sichert bei Man in The Middle Attacken oder Sicherheitslücken auf euren Servern aber nichts !
Den gleichen "Schutz" erreichst du auch mit einem Self-Signed-Zertifikat, außer, das dieses in der Regel nicht bei öffentlichen Zertifikatsstellen hinterlegt ist ...
Zitat von @Starmanager:
Wir haben ein Wildcard Zertifikat " *.firmenname.de" bei einem der bekannten Zertifikatfirmen im Einsatz. Damit sichern wir die offizielle Homepage und ein paar Apache Server die vom Internet her erreichbar sind ab.
Wir haben ein Wildcard Zertifikat " *.firmenname.de" bei einem der bekannten Zertifikatfirmen im Einsatz. Damit sichern wir die offizielle Homepage und ein paar Apache Server die vom Internet her erreichbar sind ab.
Abgesichert hast du mit den Zertifikaten gar nichts !!
Lediglich gibst du dem Nutzer eine gewisse Garantie, das die Verbindung "echt und sicher verschlüsselt" sein sollte. ...
Das sichert bei Man in The Middle Attacken oder Sicherheitslücken auf euren Servern aber nichts !
Den gleichen "Schutz" erreichst du auch mit einem Self-Signed-Zertifikat, außer, das dieses in der Regel nicht bei öffentlichen Zertifikatsstellen hinterlegt ist ...
@MirkoKR Vielen Dank. Ich habe schon beim schreiben des Wortes gewusst, dass Einwaende kommen. Wir wollen damit nur verhindern dass die Browser die Leute die darauf zugreifen nicht gegaengelt werden.
@StefanKittel Ich habe 4 Dateien
AAACertificateServices.crt
SectigoRSADomainValidationSecureServerCA.crt
STAR_Firmenname.de.crt
UserTrustRSAAAACA.crt
Welche kann ich denn fuer den IIS hernehmen und umwandeln?
Vielen Dank und schone Gruesse
@StefanKittel Ich habe 4 Dateien
AAACertificateServices.crt
SectigoRSADomainValidationSecureServerCA.crt
STAR_Firmenname.de.crt
UserTrustRSAAAACA.crt
Welche kann ich denn fuer den IIS hernehmen und umwandeln?
Vielen Dank und schone Gruesse
Moin,
falls Dir die cmd Line nicht zusagt. Kannst Du auch den Keystore Explorer probieren. Da kannst Du Deine Zertifikate importieren, auch mal schauen, wozu die gut sind, und in ein beliebiges Format exportieren.
https://keystore-explorer.org/features.html
falls Dir die cmd Line nicht zusagt. Kannst Du auch den Keystore Explorer probieren. Da kannst Du Deine Zertifikate importieren, auch mal schauen, wozu die gut sind, und in ein beliebiges Format exportieren.
https://keystore-explorer.org/features.html
Zitat von @Starmanager:
Das ist Dein Zertifikat.STAR_Firmenname.de.crt
Aber wo ist Dein privater Schlüssel? Meist "STAR_Firmenname.de.key".
Ich habe hier ein Setigo-Wildcard-Zertifikat und folgende Dateien die ich nutze.
STAR_firma_com.crt -> Zertifikat
My_CA_Bundle.ca-bundle -> CA Bundel
Diese habe ich selber erstellt um überhaupt ein Zertifikat zu bekommen
firma_com.csr -> Anfrage (kann weg)
firma_com.key - Der private Schlüssel
Diese Key-Datei braucht man auch unter Linux. Ohne die geht gar nix.
Stefan
Vielen Dank fuer euere Vorschlaege und Hilfestellungen. Ich habe nun mit einem Tool ein Lets Encrypt Zertikat installiert. Certify Certificate Manager nennt er sich. Nach dem die Firewall richtig angepasst war hat es auf Anhieb geklappt.
