16173
Sep 11, 2008, updated at Sep 12, 2008 (UTC)
8669
8
0
Eigenes SSL Zertifikat unter IIS6 ist nich ansprechbar
kleines Problem ganz groß
Hallo zusammen,
ich komme hier nicht weiter und brauche dringend Unterstützung.
Situation: Ein Tool soll per https (Port 443) Dateien auf einen Webserver schaufeln. Der Webserver soll aber per http aber weiterhin erreichbar sein, das ganze ist ein Win2003 Server.
Was ich getan habe:
Um Kosten zu sparen habe ich ein eigenes SSL Zertifikat auf Umwegen erstellt. Filezilla bietet die Möglichkeit ein eigenes SSL Zertifikat zu erstellen. So weit so gut, nach Angabe aller Daten bekam ich eine .crt Datei, in der zuerst der privateKey und anschließend das Zertifikat aufgeführt ist.
Da Über den IIS kein Import einer crt Datei möglich ist, habe ich über die Management Konsole die Zertifikate manuell installiert (den certificate-Teil in eine Textdatei kopiert und auf .crt umbenannt, der private Key habe ich dann gesondert in einer .key Datei gespeichert). In der Management Konsole unter "Trusted Root Certification" die crt Datei importiert und dasselbe nochmal unter "Personal Certificates" gemacht. Meine erstellte Datei xyz.key mit dem PrivateKey habe ich noch nirgends angegeben (nichts gefunden, wo man die importieren könnte).
Im nächsten Schritt habe ich im IIS für Default Website das hinzugefügte Zertifikat ausgewählt (Status gültig). Da der Webserver über http erreichbar sein soll, erzwinge ich das SSL auch nicht. Also Server neugestartet mit dem Ergebnis, dass im Browser bei Verwendung von https://... immer die Meldung "Datenverbindung unterbrochen Die Verbindung zu xyz.de wurde unterbrochen, während die Seite geladen wurde." Über http läuft alles weiterhin ohne Probleme.
Ich bin total ratlos!
Ich hatte bisher nur mit käuflich erworbenen Zertifikaten zu tun, bei denen das Serverseitige Request an das Trustcenter geht und man eine Datei bekommt, die direkt über den IIS importiert werden kann, da gab es prinzipiell keine Probleme.
Ich vermute, dass der Fehler bei dem PrivateKey liegt, weil ich den nirgends angeben konnte.
Grüße
supportler
ich komme hier nicht weiter und brauche dringend Unterstützung.
Situation: Ein Tool soll per https (Port 443) Dateien auf einen Webserver schaufeln. Der Webserver soll aber per http aber weiterhin erreichbar sein, das ganze ist ein Win2003 Server.
Was ich getan habe:
Um Kosten zu sparen habe ich ein eigenes SSL Zertifikat auf Umwegen erstellt. Filezilla bietet die Möglichkeit ein eigenes SSL Zertifikat zu erstellen. So weit so gut, nach Angabe aller Daten bekam ich eine .crt Datei, in der zuerst der privateKey und anschließend das Zertifikat aufgeführt ist.
Da Über den IIS kein Import einer crt Datei möglich ist, habe ich über die Management Konsole die Zertifikate manuell installiert (den certificate-Teil in eine Textdatei kopiert und auf .crt umbenannt, der private Key habe ich dann gesondert in einer .key Datei gespeichert). In der Management Konsole unter "Trusted Root Certification" die crt Datei importiert und dasselbe nochmal unter "Personal Certificates" gemacht. Meine erstellte Datei xyz.key mit dem PrivateKey habe ich noch nirgends angegeben (nichts gefunden, wo man die importieren könnte).
Im nächsten Schritt habe ich im IIS für Default Website das hinzugefügte Zertifikat ausgewählt (Status gültig). Da der Webserver über http erreichbar sein soll, erzwinge ich das SSL auch nicht. Also Server neugestartet mit dem Ergebnis, dass im Browser bei Verwendung von https://... immer die Meldung "Datenverbindung unterbrochen Die Verbindung zu xyz.de wurde unterbrochen, während die Seite geladen wurde." Über http läuft alles weiterhin ohne Probleme.
Ich bin total ratlos!
Ich hatte bisher nur mit käuflich erworbenen Zertifikaten zu tun, bei denen das Serverseitige Request an das Trustcenter geht und man eine Datei bekommt, die direkt über den IIS importiert werden kann, da gab es prinzipiell keine Probleme.
Ich vermute, dass der Fehler bei dem PrivateKey liegt, weil ich den nirgends angeben konnte.
Grüße
supportler
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 96707
Url: https://administrator.de/contentid/96707
Printed on: April 25, 2024 at 21:04 o'clock
8 Comments
Latest comment
warum erstellst du kein Zertifikat über die interne Zertifikaststelle
Zuerst wusste ich nicht, dass es die gibt, und außerdem ist der Zertifizierungsdienst nicht installiert. Eine Nachinstallation ist mir leider nicht möglich, da der Server 500km entfernt steht
Gruß
Hallo,
ein eigenes Zertifikat für den IIS kann man kann einfach mit dem Tools SelfSSL aus dem IIS-ResourceKit erstellen:
http://support.microsoft.com/kb/840671
Syntax z.B.:
Gruß,
Schorsch
ein eigenes Zertifikat für den IIS kann man kann einfach mit dem Tools SelfSSL aus dem IIS-ResourceKit erstellen:
http://support.microsoft.com/kb/840671
Syntax z.B.:
selfssl.exe /N:CN=www.domain.de /K:1024 /V:365 /S:1 /P:443
würde ein Zertifikat für den Name www.domain.de mit der Länge 1024 und der Gültigkeit von 365 Tagen auf der Seite mit der ID 1 (Default Webseite) und Port 443 installieren.Gruß,
Schorsch
Zitat von @DerSchorsch:
Hallo,
ein eigenes Zertifikat für den IIS kann man kann einfach mit dem
Tools SelfSSL aus dem IIS-ResourceKit erstellen:
http://support.microsoft.com/kb/840671
Syntax z.B.:
> selfssl.exe /N:CN=www.domain.de /K:1024 /V:365 /S:1 /P:443
würde ein Zertifikat für den Name www.domain.de mit der
Länge 1024 und der Gültigkeit von 365 Tagen auf der Seite
mit der ID 1 (Default Webseite) und Port 443 installieren.
Gruß,
Schorsch
Hallo,
ein eigenes Zertifikat für den IIS kann man kann einfach mit dem
Tools SelfSSL aus dem IIS-ResourceKit erstellen:
http://support.microsoft.com/kb/840671
Syntax z.B.:
> selfssl.exe /N:CN=www.domain.de /K:1024 /V:365 /S:1 /P:443
würde ein Zertifikat für den Name www.domain.de mit der
Länge 1024 und der Gültigkeit von 365 Tagen auf der Seite
mit der ID 1 (Default Webseite) und Port 443 installieren.
Gruß,
Schorsch
Danke für den TIP wusste ich auch noch nicht
Hallo Schorsch,
selfssl habe ich inzwischen auch probiert, bin allerdings bei der Erstellung gescheitert, nach der abfrage ob die Einstellungen für seite 1 ersetzt werden sollen, kam der fehler: Failed to generate the cryptographic key: 0x80090009
Grüße
Sascha
selfssl habe ich inzwischen auch probiert, bin allerdings bei der Erstellung gescheitert, nach der abfrage ob die Einstellungen für seite 1 ersetzt werden sollen, kam der fehler: Failed to generate the cryptographic key: 0x80090009
Grüße
Sascha
@schorsch
Bist du sicher dass der Befehl ohne Zerti-Stelle auf einem Server im ADS läuft?! Ich kenne das eben au der M$-Schulung mit vorheriger Konfiguation der Zerti-Stelle. ?!?!?!
Grüsse.
Dani
Bist du sicher dass der Befehl ohne Zerti-Stelle auf einem Server im ADS läuft?! Ich kenne das eben au der M$-Schulung mit vorheriger Konfiguation der Zerti-Stelle. ?!?!?!
Grüsse.
Dani
Ich kriege das blanke Kotzen...
Mein nächster Ansatz war jetzt doch irgendwie über die interne Zertifizierungsstelle zu gehen, aber ich habe jetzt Hinweise drauf erhalten das die nicht von Windows Server 2003 WebEdition unterstützt wird (kann gar nicht nachinstalliert werden).
Jetzt wollte ich Trick 17 anwenden und den Request von der WebEdition auf einen lokalen Server bei mir (Standard Edition) zu verarbeiten, um dann das ausgestellte Zertifikat inkl. RootZertifikat auf der Web Edition einzubinden.
Funktioniert nicht.... zumindest bekomme ich die Zertifikate nun nicht so exportiert, dass ich sie auf dem anderen Server importieren kann.
Kann das vielleicht sein, dass ich mich auf dem Holzweg befinde?
Grüße
Sascha
Mein nächster Ansatz war jetzt doch irgendwie über die interne Zertifizierungsstelle zu gehen, aber ich habe jetzt Hinweise drauf erhalten das die nicht von Windows Server 2003 WebEdition unterstützt wird (kann gar nicht nachinstalliert werden).
Jetzt wollte ich Trick 17 anwenden und den Request von der WebEdition auf einen lokalen Server bei mir (Standard Edition) zu verarbeiten, um dann das ausgestellte Zertifikat inkl. RootZertifikat auf der Web Edition einzubinden.
Funktioniert nicht.... zumindest bekomme ich die Zertifikate nun nicht so exportiert, dass ich sie auf dem anderen Server importieren kann.
Kann das vielleicht sein, dass ich mich auf dem Holzweg befinde?
Grüße
Sascha
@Dani,
Das ist ja der Sinn vom SelfSSL, ohne CA ein Webzertifikat zu erstellen. Du meinst vermutlich Certutil.
Gruß,
Schorsch
Bist du sicher dass der Befehl ohne Zerti-Stelle auf einem Server im ADS läuft?! Ich kenne das eben au der M$-Schulung mit vorheriger Konfiguation der Zerti-Stelle. ?!?!?!
Das ist ja der Sinn vom SelfSSL, ohne CA ein Webzertifikat zu erstellen. Du meinst vermutlich Certutil.
Gruß,
Schorsch
