1
(IIS 7.5) Zertifikatsbinding mit wechselnden Domains
Unsere Anwendung ist mit einer Rumpf-URL zu konfigurieren, die, mit Pfaden, Dateinamen und Parametern ergänzt, zur Laufzeit zur Webservice-URL wird. https / SSL ist dabei zwingend.
Aktuell haben wir die schöne Situation, dass wir intern in einer anderen Domäne schaffen als per VPN von extern. Also ändert sich der Domänenteil der URL. Während man im Browser Sicherheitsfragen abnicken und vorankommen kann, steigt unsere Anwendung bei einem Zertifikatsfehler einfach aus. Wir entwickeln und testen die Anwendung, kein Kunde hat vergleichbare Probleme, deshalb ist Umprogrammieren keine Option.
Es gibt doch die Möglichkeit, mehrere Zertifikate zu hinterlegen, und der IIS zieht das passende Zertifikat anhand der vorweg übermittelten URL? (Wie heißt dieses feature doch noch?) Der IIS 7.5 unterstützt das auch, oder? Wie richte ich das ein? Ein detailliertes Howto braucht es nicht, Stichworte für die Richtung und / oder eine URL reichen schon.
Edit: Das Verfahren, das ich meine, heißt SNI / Server Name Indication: https://de.wikipedia.org/wiki/Server_Name_Indication Ich bin mir nicht sicher, ob es für meinen Zweck passt. Der IIS unterstützt es erst ab Version 8.
Wildcards funktionieren nicht, weil es der Domainteil ist, der mit * zu ersetzen wäre.
Aktuell haben wir die schöne Situation, dass wir intern in einer anderen Domäne schaffen als per VPN von extern. Also ändert sich der Domänenteil der URL. Während man im Browser Sicherheitsfragen abnicken und vorankommen kann, steigt unsere Anwendung bei einem Zertifikatsfehler einfach aus. Wir entwickeln und testen die Anwendung, kein Kunde hat vergleichbare Probleme, deshalb ist Umprogrammieren keine Option.
Es gibt doch die Möglichkeit, mehrere Zertifikate zu hinterlegen, und der IIS zieht das passende Zertifikat anhand der vorweg übermittelten URL? (Wie heißt dieses feature doch noch?) Der IIS 7.5 unterstützt das auch, oder? Wie richte ich das ein? Ein detailliertes Howto braucht es nicht, Stichworte für die Richtung und / oder eine URL reichen schon.
Edit: Das Verfahren, das ich meine, heißt SNI / Server Name Indication: https://de.wikipedia.org/wiki/Server_Name_Indication Ich bin mir nicht sicher, ob es für meinen Zweck passt. Der IIS unterstützt es erst ab Version 8.
Wildcards funktionieren nicht, weil es der Domainteil ist, der mit * zu ersetzen wäre.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 197087
Url: https://administrator.de/contentid/197087
Printed on: April 25, 2024 at 16:04 o'clock
1 Comment
Hallo,
wenn die Anwendung halbwegs gut ist, sollte sie auch mit SAN-Zertifikaten klarkommen. Auf diesen stehen neben dem CN (dem Hostnamen) 1-n weitere Subject Alternate Names (weitere Hostnamen, für die das Zertifikat gültig ist).
Diese Zertifikat kann auch IIS 7.5 problemlos verwenden (es sind "ganz normale"). Wenn man sie bei einer CA kauft kosten sie ein paar Cent mehr als single-name.
Gruß
Filipp
wenn die Anwendung halbwegs gut ist, sollte sie auch mit SAN-Zertifikaten klarkommen. Auf diesen stehen neben dem CN (dem Hostnamen) 1-n weitere Subject Alternate Names (weitere Hostnamen, für die das Zertifikat gültig ist).
Diese Zertifikat kann auch IIS 7.5 problemlos verwenden (es sind "ganz normale"). Wenn man sie bei einer CA kauft kosten sie ein paar Cent mehr als single-name.
Gruß
Filipp
