7
Eine Webseite, mehrere Domains mit SSL-Zertifikat (TLS?)
Hallo,
derzeit stehe ich vor einem Problem, dass ich vermutlich nicht ohne Hilfe lösen kann. Darum wäre ich über ein paar Ratschläge oder Lösungsansätzen von erfahrenen Administratoren dankbar.
Wir haben ein Webportal, das über eine URL im Internet erreichbar ist. Auf diese URL (bzw. Subdomain) haben wir ein SSL-Zertifikat ausgestellt. Künftig soll dieselbe Homepage auch über eine andere URL erreichbar sein. (Redirect und Cloaking sind nicht erwünscht). Neue Domain ist bestellt und verweist schon auf die richtige IP. Problem bei der Sache: Das SSL-Zertifikat wird als ungültig zurückgewiesen. Nachvollziehbar. Das muss ja so sein, da das SSL-Zertifikat auch an die erste Domain gebunden ist. Der Versuch ein zweites Zertifikat einzurichten schlug fehl, da das Alte nur ersetzt, aktualisiert oder entfernt werden kann. Nicht gerade das was erreicht werden soll.
SSL würde nur 1 Zertifikat pro IP unterstützen, hab ich bei Recherchen herausgefunden. TLS, als SSL-Weiterentwicklung wurde uns von einem externen Dienstleister empfohlen, da dies IP-unabhängig funktioniert. Viel schlauer bin ich nun dadurch allerdings auch nicht.
Details:
Unser Web-Portal ist bisher unter der Domain produktname.firmenname.tld erreichbar. Das ganze läuft auf einem virtualisierten Windows 2003 Server und Microsoft IIS6. Das Zertifikat ist explizit auf produktnamen.firmenname.tld ausgestellt. Das Portal soll künftig zusätzlich über die Domain produktname-portal.tld verfügbar sein. Der Besucher der über die URL die Webseite ansteuert, soll - auf Wunsch der Geschäftsführung - den Firmennamen nicht zu Gesicht bekommen. (URL ist mein Job, für die Design-Anfrage kümmert sich jemand anderes) Redirect, Cloaking oder Subdomain entfällt somit.
Der Server 2003 / IIS6 würde maximal TLS1.0 unterstützen. Würden wir damit schon glücklich werden und könnten mit mehreren Zertifikaten pro IP arbeiten? TLS1.1 und 1.2 laufen erst unter 2008 R2 und IIS7.5, ich wurde allerdings leider nicht fündig ob TLS1.0 überhaupt schon ausreicht.
Vielen Dank.
derzeit stehe ich vor einem Problem, dass ich vermutlich nicht ohne Hilfe lösen kann. Darum wäre ich über ein paar Ratschläge oder Lösungsansätzen von erfahrenen Administratoren dankbar.
Wir haben ein Webportal, das über eine URL im Internet erreichbar ist. Auf diese URL (bzw. Subdomain) haben wir ein SSL-Zertifikat ausgestellt. Künftig soll dieselbe Homepage auch über eine andere URL erreichbar sein. (Redirect und Cloaking sind nicht erwünscht). Neue Domain ist bestellt und verweist schon auf die richtige IP. Problem bei der Sache: Das SSL-Zertifikat wird als ungültig zurückgewiesen. Nachvollziehbar. Das muss ja so sein, da das SSL-Zertifikat auch an die erste Domain gebunden ist. Der Versuch ein zweites Zertifikat einzurichten schlug fehl, da das Alte nur ersetzt, aktualisiert oder entfernt werden kann. Nicht gerade das was erreicht werden soll.
SSL würde nur 1 Zertifikat pro IP unterstützen, hab ich bei Recherchen herausgefunden. TLS, als SSL-Weiterentwicklung wurde uns von einem externen Dienstleister empfohlen, da dies IP-unabhängig funktioniert. Viel schlauer bin ich nun dadurch allerdings auch nicht.
Details:
Unser Web-Portal ist bisher unter der Domain produktname.firmenname.tld erreichbar. Das ganze läuft auf einem virtualisierten Windows 2003 Server und Microsoft IIS6. Das Zertifikat ist explizit auf produktnamen.firmenname.tld ausgestellt. Das Portal soll künftig zusätzlich über die Domain produktname-portal.tld verfügbar sein. Der Besucher der über die URL die Webseite ansteuert, soll - auf Wunsch der Geschäftsführung - den Firmennamen nicht zu Gesicht bekommen. (URL ist mein Job, für die Design-Anfrage kümmert sich jemand anderes) Redirect, Cloaking oder Subdomain entfällt somit.
Der Server 2003 / IIS6 würde maximal TLS1.0 unterstützen. Würden wir damit schon glücklich werden und könnten mit mehreren Zertifikaten pro IP arbeiten? TLS1.1 und 1.2 laufen erst unter 2008 R2 und IIS7.5, ich wurde allerdings leider nicht fündig ob TLS1.0 überhaupt schon ausreicht.
Vielen Dank.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 224659
Url: https://administrator.de/contentid/224659
Printed on: April 25, 2024 at 15:04 o'clock
7 Comments
Latest comment
Guten Morgen,
bin mir zwar gerade nicht sicher, ob ich deine Frage richtig verstanden habe, aber würde dir in deiner Situation ein Wildcard Zertifikat empfehlen:
http://kb.psw.net/questions/12/
Würde dir auch raten, vom Server 2003 wegzugehen und je nach Anforderung der Software auf Server 2008 R2 zu gehen.
Hoffe konnte dir etwas helfen, falls noch Fragen sind einfach melden.
bin mir zwar gerade nicht sicher, ob ich deine Frage richtig verstanden habe, aber würde dir in deiner Situation ein Wildcard Zertifikat empfehlen:
http://kb.psw.net/questions/12/
Würde dir auch raten, vom Server 2003 wegzugehen und je nach Anforderung der Software auf Server 2008 R2 zu gehen.
Hoffe konnte dir etwas helfen, falls noch Fragen sind einfach melden.
Hallo,
Wildcard Zertifikat ist zwar na dran, aber eigentlich ist's ein Multidomain Zertifikat was du brauchst.
Beim Wildcard Zertifikat geht's um Verschiedene Host's mit einem Domain Namen.
Sprich Zertifikat ist *.Domain.de
und gilt für
mail.domain.de
www.domain.de
usw.
Wildcard Zertifikat ist zwar na dran, aber eigentlich ist's ein Multidomain Zertifikat was du brauchst.
Beim Wildcard Zertifikat geht's um Verschiedene Host's mit einem Domain Namen.
Sprich Zertifikat ist *.Domain.de
und gilt für
mail.domain.de
www.domain.de
usw.
1
Danke schön. Klingt irgendwie logisch, wenn ich das nun so bei Dir lese. ;)
Dann heißt es nun mal recherchieren ob unser IIS6 überhaupt mit einem Multidomain-Zertifikat was anfangen kann.
Schauen wir mal.
Dann heißt es nun mal recherchieren ob unser IIS6 überhaupt mit einem Multidomain-Zertifikat was anfangen kann.
Schauen wir mal.
Hallo,
zwei Möglichkeiten:
1.) Ein neues Zertifikat erstellen (lassen) welches alle gewünschten Namen enthält und dieses verwenden
2.) Nur die neueren TLS Varianten mit URL/Zertifikate Abfrage verwenden (SNI http://de.wikipedia.org/wiki/Server_Name_Indication)
1. ist unpraktisch wenn laufend neue Namen dazu kommen, 2. setzt einigermaßen aktuelle Software auf Server *und* Client Seite voraus.
Gruß
Andi
zwei Möglichkeiten:
1.) Ein neues Zertifikat erstellen (lassen) welches alle gewünschten Namen enthält und dieses verwenden
2.) Nur die neueren TLS Varianten mit URL/Zertifikate Abfrage verwenden (SNI http://de.wikipedia.org/wiki/Server_Name_Indication)
1. ist unpraktisch wenn laufend neue Namen dazu kommen, 2. setzt einigermaßen aktuelle Software auf Server *und* Client Seite voraus.
Gruß
Andi
1
Vielen Dank.
Möglichkeit 2 wäre dann sicherlich eleganter, allerdings derzeit leider nicht machbar.
Nun hänge ich allerdings bereits wieder an einer vermutlich trivialen Stellen. Das Multidomänenzertifikat soll nun her
und wie auch schon beim einfachen Zertifikat ist dazu eine Zertifizierungsanforderung notwendig.
Der IIS-Zertifikats-Assistent will aber zwingend einen Eintrag in das Feld "Gemeinsamer Name" (Common Name).
Nach meinem Kenntnisstand muss an dieser Stelle bereits der DNS-Name, bzw. die URL eingeben werden.
Kann ich nun gerne machen, allerdings wird die Zertifikatsanfrage dann ja explizit dieser URL zugewiesen. Wie kann ich die andere Domain nun noch mit aufnehmen? :D
Vielleicht liegt auch nur ein Fehlverständnis meinerseits vor. Über noch ein bisschen Hilfestellung wäre ich dankbar.
Möglichkeit 2 wäre dann sicherlich eleganter, allerdings derzeit leider nicht machbar.
Nun hänge ich allerdings bereits wieder an einer vermutlich trivialen Stellen. Das Multidomänenzertifikat soll nun her
und wie auch schon beim einfachen Zertifikat ist dazu eine Zertifizierungsanforderung notwendig.
Der IIS-Zertifikats-Assistent will aber zwingend einen Eintrag in das Feld "Gemeinsamer Name" (Common Name).
Nach meinem Kenntnisstand muss an dieser Stelle bereits der DNS-Name, bzw. die URL eingeben werden.
Kann ich nun gerne machen, allerdings wird die Zertifikatsanfrage dann ja explizit dieser URL zugewiesen. Wie kann ich die andere Domain nun noch mit aufnehmen? :D
Vielleicht liegt auch nur ein Fehlverständnis meinerseits vor. Über noch ein bisschen Hilfestellung wäre ich dankbar.
Hallo,
bei den CAs die ich kenne spielt der CN für den CSR keine Rolle, da die CA lediglich den öffentlichen Teil deines Schlüsselpaares benötigt und den Rest selbst anfügt. Nimm also den "Hauptnamen" und achten in der Webanwendung des CA Dienstleisters darauf das du alle Namen richtig einträgst.
Gruß
Andi
bei den CAs die ich kenne spielt der CN für den CSR keine Rolle, da die CA lediglich den öffentlichen Teil deines Schlüsselpaares benötigt und den Rest selbst anfügt. Nimm also den "Hauptnamen" und achten in der Webanwendung des CA Dienstleisters darauf das du alle Namen richtig einträgst.
Gruß
Andi
1
Wollte mich noch mal zu Wort melden. Funktioniert nun alles wie es soll. Besten Dank an mmatze, wiesi200 und AndiEoh für eure Hilfe.
