3
SSL -Zertifikate für interne Webdienste
Hallo,
in unserem Netzwerk gibt es mehrere Webdienste, die auf Steuergeräten laufen.
Für die Absichrung des Logins und weiteren Datenübermittlungen möchten wir https verwenden.
Aktuell läuft das ganze mit einem selfsigned Zertifikat des Herstellers und gibt die üblichen Warn-/Fehlermeldungen im Browser.
Wir würden gerne ein richtiges Zerifikat eines CA verwenden.
Nun zur eigentlichen Frage:
Kann ein SSL-Zerifikat auch für eine interne IP-Adresse ausgestellt werden?
Wir haben leider keine Möglichkeit die Webdienste über einen FQDN zu erreichen.
Eine Weiterleitung über DNS ist leider auch keine Option.
Danke schonmal für die Anworten.
in unserem Netzwerk gibt es mehrere Webdienste, die auf Steuergeräten laufen.
Für die Absichrung des Logins und weiteren Datenübermittlungen möchten wir https verwenden.
Aktuell läuft das ganze mit einem selfsigned Zertifikat des Herstellers und gibt die üblichen Warn-/Fehlermeldungen im Browser.
Wir würden gerne ein richtiges Zerifikat eines CA verwenden.
Nun zur eigentlichen Frage:
Kann ein SSL-Zerifikat auch für eine interne IP-Adresse ausgestellt werden?
Wir haben leider keine Möglichkeit die Webdienste über einen FQDN zu erreichen.
Eine Weiterleitung über DNS ist leider auch keine Option.
Danke schonmal für die Anworten.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 325939
Url: https://administrator.de/contentid/325939
Printed on: April 28, 2024 at 11:04 o'clock
3 Comments
Latest comment
Wir würden gerne ein richtiges Zerifikat eines CA verwenden.
Eigene CA aufsetzen (OpenSSL/WindowsCA) oder Tools wie XCA verwenden, und das CA Zertifikat auf die Clients in den Trusted Root Certificate Store pushen.Kann ein SSL-Zerifikat auch für eine interne IP-Adresse ausgestellt werden?
Seit einiger Zeit machen das die CAs nicht mehr.Gruß mik
Hi
kommt drauf an was du damit meinst.
Wenn das Zertifikat als "Namen" die IP haben soll, dann nein.
Aber du kannst das Zertifikat auf eine FQDN ausstellen und dann diese in deinem Internen DNS mit der internen IP überschreiben. Bisschen dreckig, geht aber prinzipiell.
Wenn das Zertifikat aber eh nur intern eingesetzt wird, bietet sich ein selfsigned Zertifikat an.
Am besten eine CA aufsetzen, deren Rootzertifikat auf die Clients per GPO pushen und dann dem Webserver ein eigenes, internes Zertifikat geben.
Oder schlicht ein Zertifikat erstellen und nur dieses per GPO pushen. Müsstest du dann aber für jedes Zertifikat machen und immer dran denken das rechtzeitig alles zu erneuern etc. Das kannst du dir mit einer CA sparen
kommt drauf an was du damit meinst.
Wenn das Zertifikat als "Namen" die IP haben soll, dann nein.
Aber du kannst das Zertifikat auf eine FQDN ausstellen und dann diese in deinem Internen DNS mit der internen IP überschreiben. Bisschen dreckig, geht aber prinzipiell.
Wenn das Zertifikat aber eh nur intern eingesetzt wird, bietet sich ein selfsigned Zertifikat an.
Am besten eine CA aufsetzen, deren Rootzertifikat auf die Clients per GPO pushen und dann dem Webserver ein eigenes, internes Zertifikat geben.
Oder schlicht ein Zertifikat erstellen und nur dieses per GPO pushen. Müsstest du dann aber für jedes Zertifikat machen und immer dran denken das rechtzeitig alles zu erneuern etc. Das kannst du dir mit einer CA sparen
Danke für deine Antwort.
Die Idee mit dem DNS hatte ich auch schon und das würde auch funktionieren.
Leider ist es aber in unserem Fall so das es PC's gibt an die wir leider nicht ran kommen und diese auch nicht unseren DNS verwenden.
Bleibt uns wohl nicht anderes übrig als mit der Warnung im Browser zu leben, aber es gibt schlimmeres;)
Die Idee mit dem DNS hatte ich auch schon und das würde auch funktionieren.
Leider ist es aber in unserem Fall so das es PC's gibt an die wir leider nicht ran kommen und diese auch nicht unseren DNS verwenden.
Bleibt uns wohl nicht anderes übrig als mit der Warnung im Browser zu leben, aber es gibt schlimmeres;)
