Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Eine Webseite, mehrere Domains mit SSL-Zertifikat (TLS?)

Frage Microsoft Windows Server

Mitglied: Leon87

Leon87 (Level 1) - Jetzt verbinden

16.12.2013, aktualisiert 23:55 Uhr, 5105 Aufrufe, 7 Kommentare, 3 Danke

Hallo,
derzeit stehe ich vor einem Problem, dass ich vermutlich nicht ohne Hilfe lösen kann. Darum wäre ich über ein paar Ratschläge oder Lösungsansätzen von erfahrenen Administratoren dankbar.

Wir haben ein Webportal, das über eine URL im Internet erreichbar ist. Auf diese URL (bzw. Subdomain) haben wir ein SSL-Zertifikat ausgestellt. Künftig soll dieselbe Homepage auch über eine andere URL erreichbar sein. (Redirect und Cloaking sind nicht erwünscht). Neue Domain ist bestellt und verweist schon auf die richtige IP. Problem bei der Sache: Das SSL-Zertifikat wird als ungültig zurückgewiesen. Nachvollziehbar. Das muss ja so sein, da das SSL-Zertifikat auch an die erste Domain gebunden ist. Der Versuch ein zweites Zertifikat einzurichten schlug fehl, da das Alte nur ersetzt, aktualisiert oder entfernt werden kann. Nicht gerade das was erreicht werden soll.

SSL würde nur 1 Zertifikat pro IP unterstützen, hab ich bei Recherchen herausgefunden. TLS, als SSL-Weiterentwicklung wurde uns von einem externen Dienstleister empfohlen, da dies IP-unabhängig funktioniert. Viel schlauer bin ich nun dadurch allerdings auch nicht.

Details:
Unser Web-Portal ist bisher unter der Domain produktname.firmenname.tld erreichbar. Das ganze läuft auf einem virtualisierten Windows 2003 Server und Microsoft IIS6. Das Zertifikat ist explizit auf produktnamen.firmenname.tld ausgestellt. Das Portal soll künftig zusätzlich über die Domain produktname-portal.tld verfügbar sein. Der Besucher der über die URL die Webseite ansteuert, soll - auf Wunsch der Geschäftsführung - den Firmennamen nicht zu Gesicht bekommen. (URL ist mein Job, für die Design-Anfrage kümmert sich jemand anderes) Redirect, Cloaking oder Subdomain entfällt somit.
Der Server 2003 / IIS6 würde maximal TLS1.0 unterstützen. Würden wir damit schon glücklich werden und könnten mit mehreren Zertifikaten pro IP arbeiten? TLS1.1 und 1.2 laufen erst unter 2008 R2 und IIS7.5, ich wurde allerdings leider nicht fündig ob TLS1.0 überhaupt schon ausreicht.

Vielen Dank.
Mitglied: Patriot
17.12.2013 um 07:50 Uhr
Guten Morgen,
bin mir zwar gerade nicht sicher, ob ich deine Frage richtig verstanden habe, aber würde dir in deiner Situation ein Wildcard Zertifikat empfehlen:
http://kb.psw.net/questions/12/

Würde dir auch raten, vom Server 2003 wegzugehen und je nach Anforderung der Software auf Server 2008 R2 zu gehen.
Hoffe konnte dir etwas helfen, falls noch Fragen sind einfach melden.
Bitte warten ..
Mitglied: wiesi200
17.12.2013 um 08:06 Uhr
Hallo,

Wildcard Zertifikat ist zwar na dran, aber eigentlich ist's ein Multidomain Zertifikat was du brauchst.

Beim Wildcard Zertifikat geht's um Verschiedene Host's mit einem Domain Namen.

Sprich Zertifikat ist *.Domain.de
und gilt für
mail.domain.de
www.domain.de
usw.
Bitte warten ..
Mitglied: Leon87
17.12.2013 um 10:07 Uhr
Danke schön. Klingt irgendwie logisch, wenn ich das nun so bei Dir lese. ;)
Dann heißt es nun mal recherchieren ob unser IIS6 überhaupt mit einem Multidomain-Zertifikat was anfangen kann.
Schauen wir mal.
Bitte warten ..
Mitglied: AndiEoh
17.12.2013 um 10:12 Uhr
Hallo,

zwei Möglichkeiten:

1.) Ein neues Zertifikat erstellen (lassen) welches alle gewünschten Namen enthält und dieses verwenden

2.) Nur die neueren TLS Varianten mit URL/Zertifikate Abfrage verwenden (SNI http://de.wikipedia.org/wiki/Server_Name_Indication)

1. ist unpraktisch wenn laufend neue Namen dazu kommen, 2. setzt einigermaßen aktuelle Software auf Server *und* Client Seite voraus.

Gruß

Andi
Bitte warten ..
Mitglied: Leon87
19.12.2013 um 13:46 Uhr
Vielen Dank.

Möglichkeit 2 wäre dann sicherlich eleganter, allerdings derzeit leider nicht machbar.

Nun hänge ich allerdings bereits wieder an einer vermutlich trivialen Stellen. Das Multidomänenzertifikat soll nun her
und wie auch schon beim einfachen Zertifikat ist dazu eine Zertifizierungsanforderung notwendig.

Der IIS-Zertifikats-Assistent will aber zwingend einen Eintrag in das Feld "Gemeinsamer Name" (Common Name).
Nach meinem Kenntnisstand muss an dieser Stelle bereits der DNS-Name, bzw. die URL eingeben werden.

Kann ich nun gerne machen, allerdings wird die Zertifikatsanfrage dann ja explizit dieser URL zugewiesen. Wie kann ich die andere Domain nun noch mit aufnehmen? :D

Vielleicht liegt auch nur ein Fehlverständnis meinerseits vor. Über noch ein bisschen Hilfestellung wäre ich dankbar.
Bitte warten ..
Mitglied: AndiEoh
19.12.2013 um 14:43 Uhr
Hallo,

bei den CAs die ich kenne spielt der CN für den CSR keine Rolle, da die CA lediglich den öffentlichen Teil deines Schlüsselpaares benötigt und den Rest selbst anfügt. Nimm also den "Hauptnamen" und achten in der Webanwendung des CA Dienstleisters darauf das du alle Namen richtig einträgst.

Gruß

Andi
Bitte warten ..
Mitglied: Leon87
08.01.2014 um 13:16 Uhr
Wollte mich noch mal zu Wort melden. Funktioniert nun alles wie es soll. Besten Dank an mmatze, wiesi200 und AndiEoh für eure Hilfe.
Bitte warten ..
Ähnliche Inhalte
Verschlüsselung & Zertifikate
SSL-TLS-Zertifikate erwerben
gelöst Frage von ITHG13Verschlüsselung & Zertifikate4 Kommentare

Hallo Leute, ich mache mir zur Zeit Gedanken über den Erwerb von SSL/TLS-Zertifikaten bei z.B. GeoTrust. Speziell geht es ...

Exchange Server
Mehrere akzeptierte Domains, mehrere Zertifikate?
Frage von wescraven07Exchange Server3 Kommentare

Moin Leude, mal eine Frage zu den Exchangezertifikaten. Ich habe 3 Maildomains, die über den Exchange abgefragt werden. Muss ...

Verschlüsselung & Zertifikate
Welches SSL-Zertifikat?
gelöst Frage von Leo-leVerschlüsselung & Zertifikate4 Kommentare

Servus Zusammen, wir möchten unsere domains mit Zertifikaten ausstatten. Nun Frage ich mich, welches dafür am besten wäre. Am ...

Webbrowser
SSL auch ohne Zertifikat
gelöst Frage von pitamericaWebbrowser9 Kommentare

Hallo zusammen, seit Januar gibt es ja vermehrt die Browserwarnung bei Webseiten, die kein eigenes oder korrektes Zertifikat kann ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 23 MinutenWindows 10

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 2 StundenSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 16 StundenInternet2 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 19 StundenDSL, VDSL1 Kommentar

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
Netzwerkmanagement
Mehrere Netzwerkadapter in einem PC zu einem Switch zusammenfügen
Frage von prodriveNetzwerkmanagement21 Kommentare

Hallo zusammen Vorweg, ich konnte schon einige IT-Probleme mit Hilfe dieses Forums lösen. Wirklich klasse hier! Doch für das ...

Hardware
Links klick bei Maus funktioniert nicht
gelöst Frage von Pablu23Hardware16 Kommentare

Hallo erstmal. Ich habe ein Problem mit meiner relativ alten maus jedoch denke ich nicht das es an der ...

Windows Server
Anmeldung direkt am DC nicht möglich
Frage von ThomasGrWindows Server16 Kommentare

Hallo, ich habe bei unserem Server 2016 Standard ein Problem. Keine Ahnung wie das auf einmal passiert ist. Ich ...

TK-Netze & Geräte
VPN-fähige IP-Telefone
Frage von the-buccaneerTK-Netze & Geräte14 Kommentare

Hi! Weiss noch jemand ein VPN-fähiges IP-Telefon mit dem man z.B. einen Heimarbeitsplatz gesichert anbinden könnte? Habe nur einen ...