Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Eine Webseite, mehrere Domains mit SSL-Zertifikat (TLS?)

Frage Microsoft Windows Server

Mitglied: Leon87

Leon87 (Level 1) - Jetzt verbinden

16.12.2013, aktualisiert 23:55 Uhr, 4424 Aufrufe, 7 Kommentare, 3 Danke

Hallo,
derzeit stehe ich vor einem Problem, dass ich vermutlich nicht ohne Hilfe lösen kann. Darum wäre ich über ein paar Ratschläge oder Lösungsansätzen von erfahrenen Administratoren dankbar.

Wir haben ein Webportal, das über eine URL im Internet erreichbar ist. Auf diese URL (bzw. Subdomain) haben wir ein SSL-Zertifikat ausgestellt. Künftig soll dieselbe Homepage auch über eine andere URL erreichbar sein. (Redirect und Cloaking sind nicht erwünscht). Neue Domain ist bestellt und verweist schon auf die richtige IP. Problem bei der Sache: Das SSL-Zertifikat wird als ungültig zurückgewiesen. Nachvollziehbar. Das muss ja so sein, da das SSL-Zertifikat auch an die erste Domain gebunden ist. Der Versuch ein zweites Zertifikat einzurichten schlug fehl, da das Alte nur ersetzt, aktualisiert oder entfernt werden kann. Nicht gerade das was erreicht werden soll.

SSL würde nur 1 Zertifikat pro IP unterstützen, hab ich bei Recherchen herausgefunden. TLS, als SSL-Weiterentwicklung wurde uns von einem externen Dienstleister empfohlen, da dies IP-unabhängig funktioniert. Viel schlauer bin ich nun dadurch allerdings auch nicht.

Details:
Unser Web-Portal ist bisher unter der Domain produktname.firmenname.tld erreichbar. Das ganze läuft auf einem virtualisierten Windows 2003 Server und Microsoft IIS6. Das Zertifikat ist explizit auf produktnamen.firmenname.tld ausgestellt. Das Portal soll künftig zusätzlich über die Domain produktname-portal.tld verfügbar sein. Der Besucher der über die URL die Webseite ansteuert, soll - auf Wunsch der Geschäftsführung - den Firmennamen nicht zu Gesicht bekommen. (URL ist mein Job, für die Design-Anfrage kümmert sich jemand anderes) Redirect, Cloaking oder Subdomain entfällt somit.
Der Server 2003 / IIS6 würde maximal TLS1.0 unterstützen. Würden wir damit schon glücklich werden und könnten mit mehreren Zertifikaten pro IP arbeiten? TLS1.1 und 1.2 laufen erst unter 2008 R2 und IIS7.5, ich wurde allerdings leider nicht fündig ob TLS1.0 überhaupt schon ausreicht.

Vielen Dank.
Mitglied: Patriot
17.12.2013 um 07:50 Uhr
Guten Morgen,
bin mir zwar gerade nicht sicher, ob ich deine Frage richtig verstanden habe, aber würde dir in deiner Situation ein Wildcard Zertifikat empfehlen:
http://kb.psw.net/questions/12/

Würde dir auch raten, vom Server 2003 wegzugehen und je nach Anforderung der Software auf Server 2008 R2 zu gehen.
Hoffe konnte dir etwas helfen, falls noch Fragen sind einfach melden.
Bitte warten ..
Mitglied: wiesi200
17.12.2013 um 08:06 Uhr
Hallo,

Wildcard Zertifikat ist zwar na dran, aber eigentlich ist's ein Multidomain Zertifikat was du brauchst.

Beim Wildcard Zertifikat geht's um Verschiedene Host's mit einem Domain Namen.

Sprich Zertifikat ist *.Domain.de
und gilt für
mail.domain.de
www.domain.de
usw.
Bitte warten ..
Mitglied: Leon87
17.12.2013 um 10:07 Uhr
Danke schön. Klingt irgendwie logisch, wenn ich das nun so bei Dir lese. ;)
Dann heißt es nun mal recherchieren ob unser IIS6 überhaupt mit einem Multidomain-Zertifikat was anfangen kann.
Schauen wir mal.
Bitte warten ..
Mitglied: AndiEoh
17.12.2013 um 10:12 Uhr
Hallo,

zwei Möglichkeiten:

1.) Ein neues Zertifikat erstellen (lassen) welches alle gewünschten Namen enthält und dieses verwenden

2.) Nur die neueren TLS Varianten mit URL/Zertifikate Abfrage verwenden (SNI http://de.wikipedia.org/wiki/Server_Name_Indication)

1. ist unpraktisch wenn laufend neue Namen dazu kommen, 2. setzt einigermaßen aktuelle Software auf Server *und* Client Seite voraus.

Gruß

Andi
Bitte warten ..
Mitglied: Leon87
19.12.2013 um 13:46 Uhr
Vielen Dank.

Möglichkeit 2 wäre dann sicherlich eleganter, allerdings derzeit leider nicht machbar.

Nun hänge ich allerdings bereits wieder an einer vermutlich trivialen Stellen. Das Multidomänenzertifikat soll nun her
und wie auch schon beim einfachen Zertifikat ist dazu eine Zertifizierungsanforderung notwendig.

Der IIS-Zertifikats-Assistent will aber zwingend einen Eintrag in das Feld "Gemeinsamer Name" (Common Name).
Nach meinem Kenntnisstand muss an dieser Stelle bereits der DNS-Name, bzw. die URL eingeben werden.

Kann ich nun gerne machen, allerdings wird die Zertifikatsanfrage dann ja explizit dieser URL zugewiesen. Wie kann ich die andere Domain nun noch mit aufnehmen? :D

Vielleicht liegt auch nur ein Fehlverständnis meinerseits vor. Über noch ein bisschen Hilfestellung wäre ich dankbar.
Bitte warten ..
Mitglied: AndiEoh
19.12.2013 um 14:43 Uhr
Hallo,

bei den CAs die ich kenne spielt der CN für den CSR keine Rolle, da die CA lediglich den öffentlichen Teil deines Schlüsselpaares benötigt und den Rest selbst anfügt. Nimm also den "Hauptnamen" und achten in der Webanwendung des CA Dienstleisters darauf das du alle Namen richtig einträgst.

Gruß

Andi
Bitte warten ..
Mitglied: Leon87
08.01.2014 um 13:16 Uhr
Wollte mich noch mal zu Wort melden. Funktioniert nun alles wie es soll. Besten Dank an mmatze, wiesi200 und AndiEoh für eure Hilfe.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Exchange Server
gelöst Exchange 2010 Activesync Problem bei IOS 10.1.1 und Wildcard SSL Zertifikat (2)

Frage von hasel123 zum Thema Exchange Server ...

Verschlüsselung & Zertifikate
gelöst Wie bekomme ich ein kostenloses SSL Zertifikat? (13)

Frage von Yanmai zum Thema Verschlüsselung & Zertifikate ...

Hosting & Housing
gelöst SSL-Zertifikat: IP statt FQDN (3)

Frage von mrserious73 zum Thema Hosting & Housing ...

E-Mail
Postfix + Dovecot mehrere Domains erhalten keine Mail

Frage von redShanks zum Thema E-Mail ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (19)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...