1
Wildcard Zertifikat Inhouse nutzen ohne Domänenname
Hallo zusammen,
Ich verwende ein gültiges Wildcard Zertifikat *.firmenname.xy der Firma GeoTrust. Wildcard aus dem Grund, weil wir es auf unterschiedlichsten Servern verwenden (Mail, SVN, WIKI,...)
Das Zertifikat funktioniert auch einwandfrei für meinen Intranet Server auf Basis MS Sharepoint 2010 (mit IIS 7.5): https://intranet.firmenname.xy
Wenn nun jedoch die Kollegen im Browser nur https://intranet eingeben, also ohne FQDN, wird eine Zertifikatsfehlermeldung angezeigt, weil ja die Domäne hinten fehlt.
Im Sharepoint Server selbst wurde ein "Alternate Access Mapping" (AAM) eingerichtet von https://intranet auf https://intranet.firmenname.xy, jedoch greift das erst nachdem der Zertifikatsfehler genehmigt wurde.
Meine Frage: Kann ich durch DNS Einträge, URL-Rewriting am IIS, Browsereinstellungen, GPO's oder sonstige Konfiguration hier diese Zertifikatsmeldung vermeiden?
Wie handhabt ihr das in eurer Firma oder hilft hier nur ein separates Zertifikat (mit SAN), dass auf den Hostnamen und fully qualified Hostnamen ausgestellt wurde?
Danke
Ich verwende ein gültiges Wildcard Zertifikat *.firmenname.xy der Firma GeoTrust. Wildcard aus dem Grund, weil wir es auf unterschiedlichsten Servern verwenden (Mail, SVN, WIKI,...)
Das Zertifikat funktioniert auch einwandfrei für meinen Intranet Server auf Basis MS Sharepoint 2010 (mit IIS 7.5): https://intranet.firmenname.xy
Wenn nun jedoch die Kollegen im Browser nur https://intranet eingeben, also ohne FQDN, wird eine Zertifikatsfehlermeldung angezeigt, weil ja die Domäne hinten fehlt.
Im Sharepoint Server selbst wurde ein "Alternate Access Mapping" (AAM) eingerichtet von https://intranet auf https://intranet.firmenname.xy, jedoch greift das erst nachdem der Zertifikatsfehler genehmigt wurde.
Meine Frage: Kann ich durch DNS Einträge, URL-Rewriting am IIS, Browsereinstellungen, GPO's oder sonstige Konfiguration hier diese Zertifikatsmeldung vermeiden?
Wie handhabt ihr das in eurer Firma oder hilft hier nur ein separates Zertifikat (mit SAN), dass auf den Hostnamen und fully qualified Hostnamen ausgestellt wurde?
Danke
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 280225
Url: https://administrator.de/contentid/280225
Ausgedruckt am: 21.11.2024 um 22:11 Uhr
1 Kommentar
Hallo,
also das Konzept mit Zertifikaten (PKI x509) beruht darauf das überprüft werden kann ob das Ziel (Hostname) auch der ist den man haben wollte. Wenn nun egal was man eintippt akzeptiert werden soll sollte man keine Zertifikate verwenden. Du kannst dir selbst ein Zertifikat stricken welches einfach auf "intranet" lautet, aber da sich sowas in keinster Weise verifizieren lässt wird das (hoffentlich) auch von keiner CA signiert werden.
Verwende einfach intern eine Sub-Domain eurer offiziellen Domain und die Sache ist erledigt. Zweite Möglichkeit wäre eine eigene CA die den Clients untergeschoben wird, damit kannst du dann jeden Schwachsinn zertifizieren.
Gruß
Andi
also das Konzept mit Zertifikaten (PKI x509) beruht darauf das überprüft werden kann ob das Ziel (Hostname) auch der ist den man haben wollte. Wenn nun egal was man eintippt akzeptiert werden soll sollte man keine Zertifikate verwenden. Du kannst dir selbst ein Zertifikat stricken welches einfach auf "intranet" lautet, aber da sich sowas in keinster Weise verifizieren lässt wird das (hoffentlich) auch von keiner CA signiert werden.
Verwende einfach intern eine Sub-Domain eurer offiziellen Domain und die Sache ist erledigt. Zweite Möglichkeit wäre eine eigene CA die den Clients untergeschoben wird, damit kannst du dann jeden Schwachsinn zertifizieren.
Gruß
Andi
