colinardo
Goto Top

Internet Information Server (IIS 7.5) verwendet altes Zertifikat trotz korrekter Einbindung eines neuen Zertifikates

Hallo Kollegen,
ich hatte eben ein Problem auf einem Windows Server 2008 R2, dass ein neu eingebundenes Zertifikat im IIS im internen Netzwerk nicht vom IIS ausgeliefert, sondern weiterhin das alte verwendet wurde. Es wurde korrekt in den Bindungen der Website hinterlegt, jedoch wurde nur im internen LAN bzw. lokal auf dem Server immer noch das alte Zertifikat im Browser ausgeliefert.

Da hier im internen LAN auch IPv6 verwendet wurde kam mir nun die Idee das hier eventuell noch eine Bindung auf der IPv6 Adresse bestehen könnte die nicht im IIS-Interface sichtbar ist. Und tatsächlich bestand noch eine solche unsichtbare Bindung auf der IPv6 Loopback-Adresse. Da Windows IPv6 bevorzugt vor IPv4 behandelt kam es zu diesem Phänomen.

Die SSL-Bindungen kann man sich mit folgendem netsh Befehl in einer Konsole anzeigen lassen:
netsh http show sslcert
Dort konnte ich dann das alte Zertifikat das auf die IPv6 Loopback-Adresse gebunden war löschen:
netsh http delete sslcert ipport=[::]:443
Also, wenn ihr diesbezüglich mal Probleme haben solltet, schaut einfach mal manuell mit netsh in die Bindungen.

Das Zertifikat könnt ihr anhand des Hashes identifizieren. Hilfreich ist hier der Befehl:
certutil -store MY
der die Zertifikate mit Ihren Details sowie den Hashes auflistet.

Eventuell hilft das dem ein oder anderen der vor dem selben Problem steht.

Grüße @colinardo

Content-ID: 240748

Url: https://administrator.de/contentid/240748

Ausgedruckt am: 14.11.2024 um 09:11 Uhr