seriousee
Goto Top

Wildcard Zertifikat Inhouse nutzen ohne Domänenname

Hallo zusammen,

Ich verwende ein gültiges Wildcard Zertifikat *.firmenname.xy der Firma GeoTrust. Wildcard aus dem Grund, weil wir es auf unterschiedlichsten Servern verwenden (Mail, SVN, WIKI,...)
Das Zertifikat funktioniert auch einwandfrei für meinen Intranet Server auf Basis MS Sharepoint 2010 (mit IIS 7.5): https://intranet.firmenname.xy
Wenn nun jedoch die Kollegen im Browser nur https://intranet eingeben, also ohne FQDN, wird eine Zertifikatsfehlermeldung angezeigt, weil ja die Domäne hinten fehlt.
Im Sharepoint Server selbst wurde ein "Alternate Access Mapping" (AAM) eingerichtet von https://intranet auf https://intranet.firmenname.xy, jedoch greift das erst nachdem der Zertifikatsfehler genehmigt wurde.

Meine Frage: Kann ich durch DNS Einträge, URL-Rewriting am IIS, Browsereinstellungen, GPO's oder sonstige Konfiguration hier diese Zertifikatsmeldung vermeiden?
Wie handhabt ihr das in eurer Firma oder hilft hier nur ein separates Zertifikat (mit SAN), dass auf den Hostnamen und fully qualified Hostnamen ausgestellt wurde?

Danke

Content-ID: 280225

Url: https://administrator.de/forum/wildcard-zertifikat-inhouse-nutzen-ohne-domaenenname-280225.html

Ausgedruckt am: 22.12.2024 um 19:12 Uhr

AndiEoh
Lösung AndiEoh 14.08.2015, aktualisiert am 17.08.2015 um 08:07:05 Uhr
Goto Top
Hallo,

also das Konzept mit Zertifikaten (PKI x509) beruht darauf das überprüft werden kann ob das Ziel (Hostname) auch der ist den man haben wollte. Wenn nun egal was man eintippt akzeptiert werden soll sollte man keine Zertifikate verwenden. Du kannst dir selbst ein Zertifikat stricken welches einfach auf "intranet" lautet, aber da sich sowas in keinster Weise verifizieren lässt wird das (hoffentlich) auch von keiner CA signiert werden.
Verwende einfach intern eine Sub-Domain eurer offiziellen Domain und die Sache ist erledigt. Zweite Möglichkeit wäre eine eigene CA die den Clients untergeschoben wird, damit kannst du dann jeden Schwachsinn zertifizieren.

Gruß

Andi