Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Eine Webseite, mehrere Domains mit SSL-Zertifikat (TLS?)

Frage Microsoft Windows Server

Mitglied: Leon87

Leon87 (Level 1) - Jetzt verbinden

16.12.2013, aktualisiert 23:55 Uhr, 5012 Aufrufe, 7 Kommentare, 3 Danke

Hallo,
derzeit stehe ich vor einem Problem, dass ich vermutlich nicht ohne Hilfe lösen kann. Darum wäre ich über ein paar Ratschläge oder Lösungsansätzen von erfahrenen Administratoren dankbar.

Wir haben ein Webportal, das über eine URL im Internet erreichbar ist. Auf diese URL (bzw. Subdomain) haben wir ein SSL-Zertifikat ausgestellt. Künftig soll dieselbe Homepage auch über eine andere URL erreichbar sein. (Redirect und Cloaking sind nicht erwünscht). Neue Domain ist bestellt und verweist schon auf die richtige IP. Problem bei der Sache: Das SSL-Zertifikat wird als ungültig zurückgewiesen. Nachvollziehbar. Das muss ja so sein, da das SSL-Zertifikat auch an die erste Domain gebunden ist. Der Versuch ein zweites Zertifikat einzurichten schlug fehl, da das Alte nur ersetzt, aktualisiert oder entfernt werden kann. Nicht gerade das was erreicht werden soll.

SSL würde nur 1 Zertifikat pro IP unterstützen, hab ich bei Recherchen herausgefunden. TLS, als SSL-Weiterentwicklung wurde uns von einem externen Dienstleister empfohlen, da dies IP-unabhängig funktioniert. Viel schlauer bin ich nun dadurch allerdings auch nicht.

Details:
Unser Web-Portal ist bisher unter der Domain produktname.firmenname.tld erreichbar. Das ganze läuft auf einem virtualisierten Windows 2003 Server und Microsoft IIS6. Das Zertifikat ist explizit auf produktnamen.firmenname.tld ausgestellt. Das Portal soll künftig zusätzlich über die Domain produktname-portal.tld verfügbar sein. Der Besucher der über die URL die Webseite ansteuert, soll - auf Wunsch der Geschäftsführung - den Firmennamen nicht zu Gesicht bekommen. (URL ist mein Job, für die Design-Anfrage kümmert sich jemand anderes) Redirect, Cloaking oder Subdomain entfällt somit.
Der Server 2003 / IIS6 würde maximal TLS1.0 unterstützen. Würden wir damit schon glücklich werden und könnten mit mehreren Zertifikaten pro IP arbeiten? TLS1.1 und 1.2 laufen erst unter 2008 R2 und IIS7.5, ich wurde allerdings leider nicht fündig ob TLS1.0 überhaupt schon ausreicht.

Vielen Dank.
Mitglied: Patriot
17.12.2013 um 07:50 Uhr
Guten Morgen,
bin mir zwar gerade nicht sicher, ob ich deine Frage richtig verstanden habe, aber würde dir in deiner Situation ein Wildcard Zertifikat empfehlen:
http://kb.psw.net/questions/12/

Würde dir auch raten, vom Server 2003 wegzugehen und je nach Anforderung der Software auf Server 2008 R2 zu gehen.
Hoffe konnte dir etwas helfen, falls noch Fragen sind einfach melden.
Bitte warten ..
Mitglied: wiesi200
17.12.2013 um 08:06 Uhr
Hallo,

Wildcard Zertifikat ist zwar na dran, aber eigentlich ist's ein Multidomain Zertifikat was du brauchst.

Beim Wildcard Zertifikat geht's um Verschiedene Host's mit einem Domain Namen.

Sprich Zertifikat ist *.Domain.de
und gilt für
mail.domain.de
www.domain.de
usw.
Bitte warten ..
Mitglied: Leon87
17.12.2013 um 10:07 Uhr
Danke schön. Klingt irgendwie logisch, wenn ich das nun so bei Dir lese. ;)
Dann heißt es nun mal recherchieren ob unser IIS6 überhaupt mit einem Multidomain-Zertifikat was anfangen kann.
Schauen wir mal.
Bitte warten ..
Mitglied: AndiEoh
17.12.2013 um 10:12 Uhr
Hallo,

zwei Möglichkeiten:

1.) Ein neues Zertifikat erstellen (lassen) welches alle gewünschten Namen enthält und dieses verwenden

2.) Nur die neueren TLS Varianten mit URL/Zertifikate Abfrage verwenden (SNI http://de.wikipedia.org/wiki/Server_Name_Indication)

1. ist unpraktisch wenn laufend neue Namen dazu kommen, 2. setzt einigermaßen aktuelle Software auf Server *und* Client Seite voraus.

Gruß

Andi
Bitte warten ..
Mitglied: Leon87
19.12.2013 um 13:46 Uhr
Vielen Dank.

Möglichkeit 2 wäre dann sicherlich eleganter, allerdings derzeit leider nicht machbar.

Nun hänge ich allerdings bereits wieder an einer vermutlich trivialen Stellen. Das Multidomänenzertifikat soll nun her
und wie auch schon beim einfachen Zertifikat ist dazu eine Zertifizierungsanforderung notwendig.

Der IIS-Zertifikats-Assistent will aber zwingend einen Eintrag in das Feld "Gemeinsamer Name" (Common Name).
Nach meinem Kenntnisstand muss an dieser Stelle bereits der DNS-Name, bzw. die URL eingeben werden.

Kann ich nun gerne machen, allerdings wird die Zertifikatsanfrage dann ja explizit dieser URL zugewiesen. Wie kann ich die andere Domain nun noch mit aufnehmen? :D

Vielleicht liegt auch nur ein Fehlverständnis meinerseits vor. Über noch ein bisschen Hilfestellung wäre ich dankbar.
Bitte warten ..
Mitglied: AndiEoh
19.12.2013 um 14:43 Uhr
Hallo,

bei den CAs die ich kenne spielt der CN für den CSR keine Rolle, da die CA lediglich den öffentlichen Teil deines Schlüsselpaares benötigt und den Rest selbst anfügt. Nimm also den "Hauptnamen" und achten in der Webanwendung des CA Dienstleisters darauf das du alle Namen richtig einträgst.

Gruß

Andi
Bitte warten ..
Mitglied: Leon87
08.01.2014 um 13:16 Uhr
Wollte mich noch mal zu Wort melden. Funktioniert nun alles wie es soll. Besten Dank an mmatze, wiesi200 und AndiEoh für eure Hilfe.
Bitte warten ..
Ähnliche Inhalte
Hosting & Housing
Plesk Domains, 1 IP, unterschiedliche SSL Zertifikate (10)

Frage von conym18 zum Thema Hosting & Housing ...

Verschlüsselung & Zertifikate
gelöst Welches SSL-Zertifikat? (4)

Frage von Leo-le zum Thema Verschlüsselung & Zertifikate ...

Vmware
SSL TLS Fehler Veeam VMware (3)

Information von netscrat zum Thema Vmware ...

Windows Server
Aktivierung TLS - GPO - Webseite greift nicht auf TLS zurück (1)

Frage von Martin89 zum Thema Windows Server ...

Neue Wissensbeiträge
Datenschutz

Autofahrer-Pranger - Bewertungsportal illegal

(8)

Information von BassFishFox zum Thema Datenschutz ...

Windows 10

Neues Win10 Funktionsupdate verbuggt RemoteApp

(2)

Information von thomasreischer zum Thema Windows 10 ...

Microsoft

Die neuen RSAT-Tools für Win10 1709 sind da

(2)

Information von DerWoWusste zum Thema Microsoft ...

Heiß diskutierte Inhalte
Router & Routing
Allnet - VDSL2 Modem - SFP (mini-GBIC) (20)

Frage von Dobby zum Thema Router & Routing ...

Voice over IP
DeutschlandLAN IP Voice Data M Premium, Erfahrung mit Faxgeräte? (17)

Frage von liquidbase zum Thema Voice over IP ...

TK-Netze & Geräte
TK-Anlage VoIP - DECT Erweiterung (16)

Frage von Lynkon zum Thema TK-Netze & Geräte ...