Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Eine Webseite, mehrere Domains mit SSL-Zertifikat (TLS?)

Mitglied: Leon87

Leon87 (Level 1) - Jetzt verbinden

16.12.2013, aktualisiert 23:55 Uhr, 5708 Aufrufe, 7 Kommentare, 3 Danke

Hallo,
derzeit stehe ich vor einem Problem, dass ich vermutlich nicht ohne Hilfe lösen kann. Darum wäre ich über ein paar Ratschläge oder Lösungsansätzen von erfahrenen Administratoren dankbar.

Wir haben ein Webportal, das über eine URL im Internet erreichbar ist. Auf diese URL (bzw. Subdomain) haben wir ein SSL-Zertifikat ausgestellt. Künftig soll dieselbe Homepage auch über eine andere URL erreichbar sein. (Redirect und Cloaking sind nicht erwünscht). Neue Domain ist bestellt und verweist schon auf die richtige IP. Problem bei der Sache: Das SSL-Zertifikat wird als ungültig zurückgewiesen. Nachvollziehbar. Das muss ja so sein, da das SSL-Zertifikat auch an die erste Domain gebunden ist. Der Versuch ein zweites Zertifikat einzurichten schlug fehl, da das Alte nur ersetzt, aktualisiert oder entfernt werden kann. Nicht gerade das was erreicht werden soll.

SSL würde nur 1 Zertifikat pro IP unterstützen, hab ich bei Recherchen herausgefunden. TLS, als SSL-Weiterentwicklung wurde uns von einem externen Dienstleister empfohlen, da dies IP-unabhängig funktioniert. Viel schlauer bin ich nun dadurch allerdings auch nicht.

Details:
Unser Web-Portal ist bisher unter der Domain produktname.firmenname.tld erreichbar. Das ganze läuft auf einem virtualisierten Windows 2003 Server und Microsoft IIS6. Das Zertifikat ist explizit auf produktnamen.firmenname.tld ausgestellt. Das Portal soll künftig zusätzlich über die Domain produktname-portal.tld verfügbar sein. Der Besucher der über die URL die Webseite ansteuert, soll - auf Wunsch der Geschäftsführung - den Firmennamen nicht zu Gesicht bekommen. (URL ist mein Job, für die Design-Anfrage kümmert sich jemand anderes) Redirect, Cloaking oder Subdomain entfällt somit.
Der Server 2003 / IIS6 würde maximal TLS1.0 unterstützen. Würden wir damit schon glücklich werden und könnten mit mehreren Zertifikaten pro IP arbeiten? TLS1.1 und 1.2 laufen erst unter 2008 R2 und IIS7.5, ich wurde allerdings leider nicht fündig ob TLS1.0 überhaupt schon ausreicht.

Vielen Dank.
Mitglied: Patriot
17.12.2013 um 07:50 Uhr
Guten Morgen,
bin mir zwar gerade nicht sicher, ob ich deine Frage richtig verstanden habe, aber würde dir in deiner Situation ein Wildcard Zertifikat empfehlen:
http://kb.psw.net/questions/12/

Würde dir auch raten, vom Server 2003 wegzugehen und je nach Anforderung der Software auf Server 2008 R2 zu gehen.
Hoffe konnte dir etwas helfen, falls noch Fragen sind einfach melden.
Bitte warten ..
Mitglied: wiesi200
17.12.2013 um 08:06 Uhr
Hallo,

Wildcard Zertifikat ist zwar na dran, aber eigentlich ist's ein Multidomain Zertifikat was du brauchst.

Beim Wildcard Zertifikat geht's um Verschiedene Host's mit einem Domain Namen.

Sprich Zertifikat ist *.Domain.de
und gilt für
mail.domain.de
www.domain.de
usw.
Bitte warten ..
Mitglied: Leon87
17.12.2013 um 10:07 Uhr
Danke schön. Klingt irgendwie logisch, wenn ich das nun so bei Dir lese. ;)
Dann heißt es nun mal recherchieren ob unser IIS6 überhaupt mit einem Multidomain-Zertifikat was anfangen kann.
Schauen wir mal.
Bitte warten ..
Mitglied: AndiEoh
17.12.2013 um 10:12 Uhr
Hallo,

zwei Möglichkeiten:

1.) Ein neues Zertifikat erstellen (lassen) welches alle gewünschten Namen enthält und dieses verwenden

2.) Nur die neueren TLS Varianten mit URL/Zertifikate Abfrage verwenden (SNI http://de.wikipedia.org/wiki/Server_Name_Indication)

1. ist unpraktisch wenn laufend neue Namen dazu kommen, 2. setzt einigermaßen aktuelle Software auf Server *und* Client Seite voraus.

Gruß

Andi
Bitte warten ..
Mitglied: Leon87
19.12.2013 um 13:46 Uhr
Vielen Dank.

Möglichkeit 2 wäre dann sicherlich eleganter, allerdings derzeit leider nicht machbar.

Nun hänge ich allerdings bereits wieder an einer vermutlich trivialen Stellen. Das Multidomänenzertifikat soll nun her
und wie auch schon beim einfachen Zertifikat ist dazu eine Zertifizierungsanforderung notwendig.

Der IIS-Zertifikats-Assistent will aber zwingend einen Eintrag in das Feld "Gemeinsamer Name" (Common Name).
Nach meinem Kenntnisstand muss an dieser Stelle bereits der DNS-Name, bzw. die URL eingeben werden.

Kann ich nun gerne machen, allerdings wird die Zertifikatsanfrage dann ja explizit dieser URL zugewiesen. Wie kann ich die andere Domain nun noch mit aufnehmen? :D

Vielleicht liegt auch nur ein Fehlverständnis meinerseits vor. Über noch ein bisschen Hilfestellung wäre ich dankbar.
Bitte warten ..
Mitglied: AndiEoh
19.12.2013 um 14:43 Uhr
Hallo,

bei den CAs die ich kenne spielt der CN für den CSR keine Rolle, da die CA lediglich den öffentlichen Teil deines Schlüsselpaares benötigt und den Rest selbst anfügt. Nimm also den "Hauptnamen" und achten in der Webanwendung des CA Dienstleisters darauf das du alle Namen richtig einträgst.

Gruß

Andi
Bitte warten ..
Mitglied: Leon87
08.01.2014 um 13:16 Uhr
Wollte mich noch mal zu Wort melden. Funktioniert nun alles wie es soll. Besten Dank an mmatze, wiesi200 und AndiEoh für eure Hilfe.
Bitte warten ..
Ähnliche Inhalte
Verschlüsselung & Zertifikate
SSL-TLS-Zertifikate erwerben
gelöst Frage von ITHG13Verschlüsselung & Zertifikate4 Kommentare

Hallo Leute, ich mache mir zur Zeit Gedanken über den Erwerb von SSL/TLS-Zertifikaten bei z.B. GeoTrust. Speziell geht es ...

Vmware
SSL TLS Fehler Veeam VMware
Information von netscratVmware3 Kommentare

Dank dem Patchday kann es im Vcenter Betrieb zu SSL/TLS Fehlern während der Sicherung kommen. Schuld ist ein Windows ...

Verschlüsselung & Zertifikate
Welches SSL-Zertifikat?
gelöst Frage von Leo-leVerschlüsselung & Zertifikate4 Kommentare

Servus Zusammen, wir möchten unsere domains mit Zertifikaten ausstatten. Nun Frage ich mich, welches dafür am besten wäre. Am ...

Apache Server
Austausch SSL-Zertifikat
gelöst Frage von petereApache Server2 Kommentare

Hallo, ich möchte auf einem Windows 2012 R2 einen installierten Apache-Webserver per SSL absichern. Unter C:\xampp\apache\conf existieren drei Ordner: ...

Neue Wissensbeiträge
Sicherheits-Tools
Putty hat heftige Bugs korrigiert!
Information von Lochkartenstanzer vor 16 StundenSicherheits-Tools5 Kommentare

Moin, Wie man aus herauslesen kann, sind in den Versionen vor 0.71 gravierende Bugs, die es angeraten erscheinen lassen, ...

Off Topic
Sachen die die Welt nicht braucht - Platz 1
Tipp von brammer vor 3 TagenOff Topic14 Kommentare

Hallo, ich habs als Tipp angelegt als Erfahrungsbericht nein Danke brammer

Humor (lol)
Spirit of Health-Kongress in Berlin
Information von AnkhMorpork vor 3 TagenHumor (lol)5 Kommentare

tgif! Beim dritten Spirit of Health-Kongress trafen sich am Wochenende Alternativmediziner und Naturheilkundler im Maritim Hotel Berlin, um sich ...

Windows 7

Updates zum Nachrüsten des SHA-2-Support für Windows 7 SP1, Windows Server 2008 (R2) und WSUS 3.0 SP2 sind da

Information von kgborn vor 5 TagenWindows 7

Wie bereits früher angekündigt (Windows 7 u. Server 2008 (R2) SHA-2-Update kommt am 12. März 2019) hat Microsoft die ...

Heiß diskutierte Inhalte
Cloud-Dienste
Remotedesktopverbindungen beeinflussen sich gegenseitig
gelöst Frage von Samy89Cloud-Dienste15 Kommentare

Moin, ich habe mehrere RDPs gleichzeitig laufen, auf denen jeweils ein Script via Powershell läuft. In diesem Prozess benutzt ...

Netzwerkgrundlagen
Reicht 10GBit Uplink Port für Stacking für ein 10GBit Switch?
gelöst Frage von walnickNetzwerkgrundlagen12 Kommentare

Hallo, Ich habe eine frage. Ich überlege gerade 2 neue Switche von CiscoSG350XG-24F  zu kaufen und die als Core ...

LAN, WAN, Wireless
Switch als Verbindung von 2 Netzwerken
gelöst Frage von Lutz-ReLAN, WAN, Wireless12 Kommentare

Guten Tag Ich hab folgendes Problem 2 Rechner und 2 IP Kameras sind ohne dhcp in einen IP4 Netzwerk ...

DNS
Größere DNS Probleme nach zweitem DC. Eigentlich sollte es auch dadurch besser werden
Frage von TeWutzDNS12 Kommentare

Hallo zusammen, nachdem ich letzte Woche erfolgreich einen zweiten DC ) an den Start gebracht habe melden sich weiterhin ...