2
SSL-Zertifikate für mehrere Host Header in selber IIS-Website
Ich bin zwar seit Jahren Entwickler von Webanwendungen, aber erst jetzt geht es mal
um ein Projekt mit SSL. Eine schöne Herausforderung
Bevor ich meinem Kunden etwas unmögliches vorschlage, wollte ich kurz nach der
generellen Machbarkeit fragen.
Der Webserver ist ein Windows Server 2008 mit IIS und genau einer IP.
Für das Gesamtprojekt gibt es 2 Second-Level-Domains (domain.de und domain.com)
anhand derer die Sprachversion der aufgerufenen Seite ermittelt wird.
Jedes Einzelprojekt bekommt jeweils eine Subdomain, z.B. projektA.domain.de und
projektA.domain.com und wird als eine Website mit beiden Host Headern im IIS angelegt.
Ist es möglich 2 Wildcardzertifikate (*.domain.de und *.domain.com) im IIS für die
Projektwebseiten einzurichten?
Nochmal etwas anschaulicher
Ungefähr so sollte es im IIS aussehen:
Website Projekt A
- Host Header projektA.domain.de
- Host Header projektA.domain.com
- SSL-Zertifikat *.domain.de
- SSL-Zertifikat *.domain.com
Website Projekt B
- Host Header projektB.domain.de
- Host Header projektB.domain.com
- SSL-Zertifikat *.domain.de
- SSL-Zertifikat *.domain.com
Geht das?
Mir ist das Henne und Ei Problem von SSL und Host Headern bekannt. Ich weiß auch, dass
dies zumindest für ein Wildcardzertifikat lösbar ist.
Aber wie sieht es wie in diesem Fall mit 2 Wildcardzertifikaten aus?
Viele Grüße
Dirk
um ein Projekt mit SSL. Eine schöne Herausforderung
Bevor ich meinem Kunden etwas unmögliches vorschlage, wollte ich kurz nach der
generellen Machbarkeit fragen.
Der Webserver ist ein Windows Server 2008 mit IIS und genau einer IP.
Für das Gesamtprojekt gibt es 2 Second-Level-Domains (domain.de und domain.com)
anhand derer die Sprachversion der aufgerufenen Seite ermittelt wird.
Jedes Einzelprojekt bekommt jeweils eine Subdomain, z.B. projektA.domain.de und
projektA.domain.com und wird als eine Website mit beiden Host Headern im IIS angelegt.
Ist es möglich 2 Wildcardzertifikate (*.domain.de und *.domain.com) im IIS für die
Projektwebseiten einzurichten?
Nochmal etwas anschaulicher
Ungefähr so sollte es im IIS aussehen:
Website Projekt A
- Host Header projektA.domain.de
- Host Header projektA.domain.com
- SSL-Zertifikat *.domain.de
- SSL-Zertifikat *.domain.com
Website Projekt B
- Host Header projektB.domain.de
- Host Header projektB.domain.com
- SSL-Zertifikat *.domain.de
- SSL-Zertifikat *.domain.com
Geht das?
Mir ist das Henne und Ei Problem von SSL und Host Headern bekannt. Ich weiß auch, dass
dies zumindest für ein Wildcardzertifikat lösbar ist.
Aber wie sieht es wie in diesem Fall mit 2 Wildcardzertifikaten aus?
Viele Grüße
Dirk
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 126419
Url: https://administrator.de/contentid/126419
Printed on: April 23, 2024 at 08:04 o'clock
2 Comments
Latest comment
Hallo,
der Einsatz eines Reverse-Proxys ist generell nicht unempfehlenswert. Und ISA kann abhängig vom Hostheader verschiedene Zertifikate vorweisen.
Wenn das mit einem Zertifikat gehen soll musst du die Domains im Subject Alternate Name des Zertifikats angeben. Ein Wildcard-Zertifikat wird's wohl kaum tun, die beiden URLs unterscheiden sich ja schon bei der TLD (das Zertifikat müsste also auf * lauten - okay, gibt es auch siehe http://www.heise.de/newsticker/meldung/Trickzertifikat-fuer-SSL-veroeff ... praktischer Einsatz aber nicht empfehlenswert).
Gruß
Filipp
der Einsatz eines Reverse-Proxys ist generell nicht unempfehlenswert. Und ISA kann abhängig vom Hostheader verschiedene Zertifikate vorweisen.
Wenn das mit einem Zertifikat gehen soll musst du die Domains im Subject Alternate Name des Zertifikats angeben. Ein Wildcard-Zertifikat wird's wohl kaum tun, die beiden URLs unterscheiden sich ja schon bei der TLD (das Zertifikat müsste also auf * lauten - okay, gibt es auch siehe http://www.heise.de/newsticker/meldung/Trickzertifikat-fuer-SSL-veroeff ... praktischer Einsatz aber nicht empfehlenswert).
Gruß
Filipp
Hi Filipp,
danke für die Anregungen.
Zum Glück ist das Thema erstmal vom Tisch. Es bleibt bei einem Zertifikat und für die Sprachunterscheidung mach ich irgendwas auf Ordnerebene.
Aber die Frage bleibt, ob es so wie von mir geschildert auch direkt gehen würde
Von Reverse-Proxy hab ich schonmal gehört und werds mir für ähnliche Fälle mal anschauen.
Einen ISA werd ich mir mal testweise installieren, wenn ich das MAPS[1] hier hab.
Obwohl diese beiden Varianten für diesen Kunden wahrscheinlich sowieso zuviel gewesen wären.
Bye
Dirk
[1] Microsoft Action Pack Subscription
danke für die Anregungen.
Zum Glück ist das Thema erstmal vom Tisch. Es bleibt bei einem Zertifikat und für die Sprachunterscheidung mach ich irgendwas auf Ordnerebene.
Aber die Frage bleibt, ob es so wie von mir geschildert auch direkt gehen würde
Von Reverse-Proxy hab ich schonmal gehört und werds mir für ähnliche Fälle mal anschauen.
Einen ISA werd ich mir mal testweise installieren, wenn ich das MAPS[1] hier hab.
Obwohl diese beiden Varianten für diesen Kunden wahrscheinlich sowieso zuviel gewesen wären.
Bye
Dirk
[1] Microsoft Action Pack Subscription
