4
Zertifikats Problem
Hallo,
wir haben bei einem Kunden eine etwa spezielle Regelung was den Zugriff auf Maschinen für Wartungszwecke angeht.
Der Kunden gibt vor, das wir vor dem Zugriff durch einen IPSec VPN Tunnel, diesen durch ein Login auf einer Webseite quasi "freigeben" müssen, also ein Login mit Username/passwort.
Der Kunde hat diese Webseite als Subdomain unterhalb seiner Firmen Domäme angelegt.
durch unsere VPN Struktur und interne Sicherheitsstruktur ist es vorgegeben das wir nur über VPN auf Kunden Equipment zu greifen.
Um das zu realisieren können wir die Login Webseite jetzt über eine per NAT erreichbare private IP durch den Tunnel erreichen.
Wir bekommen aber einen Zertifikatsfehler da das Zertifikat der Webseite nur auf den DNS Namen ausgestellt ist, und unser CSO sagt hier ganz klar wenn ein vor einem Zertifikat gewarnt wird darf das nicht einfach abgenickt werden.
(Unsere Spezialisten für den Maschinen Support sind halt keine IT-ler die das evtl beurteilen könnten..)
Ist es möglich einem solchen Zertifikat zusätzlich eine Private IP Adressen hinzuzufügen, also nicht nur den DNS Namen sondern eben auch eine RFC 1918 IP Adresse?
brammer
wir haben bei einem Kunden eine etwa spezielle Regelung was den Zugriff auf Maschinen für Wartungszwecke angeht.
Der Kunden gibt vor, das wir vor dem Zugriff durch einen IPSec VPN Tunnel, diesen durch ein Login auf einer Webseite quasi "freigeben" müssen, also ein Login mit Username/passwort.
Der Kunde hat diese Webseite als Subdomain unterhalb seiner Firmen Domäme angelegt.
durch unsere VPN Struktur und interne Sicherheitsstruktur ist es vorgegeben das wir nur über VPN auf Kunden Equipment zu greifen.
Um das zu realisieren können wir die Login Webseite jetzt über eine per NAT erreichbare private IP durch den Tunnel erreichen.
Wir bekommen aber einen Zertifikatsfehler da das Zertifikat der Webseite nur auf den DNS Namen ausgestellt ist, und unser CSO sagt hier ganz klar wenn ein vor einem Zertifikat gewarnt wird darf das nicht einfach abgenickt werden.
(Unsere Spezialisten für den Maschinen Support sind halt keine IT-ler die das evtl beurteilen könnten..)
Ist es möglich einem solchen Zertifikat zusätzlich eine Private IP Adressen hinzuzufügen, also nicht nur den DNS Namen sondern eben auch eine RFC 1918 IP Adresse?
brammer
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 327948
Url: https://administrator.de/contentid/327948
Printed on: April 19, 2024 at 22:04 o'clock
4 Comments
Latest comment
Moin,
warum hinterlegt ihr in eurem DNS-Server nicht einfach den passenden Domain-Namen zur IP-Adresse die ihr nutzt?
Gruß Krämer
warum hinterlegt ihr in eurem DNS-Server nicht einfach den passenden Domain-Namen zur IP-Adresse die ihr nutzt?
Gruß Krämer
Hallo,
@Kraemer
weil wir dazu nur über IP Arbeiten ...
Außerdem würde das hinzufügen zum DNS dazu führen das der Webseite Name dann nur noch durch den VPN erreichbar wäre, das ghet aber nicht weil unser Vertrieb die Seite auch für andere Anwendungen (Schulung Warenwirtschaft und ähnliches) benötigt...
Das ist ja mein Dilemma.
brammer
@Kraemer
weil wir dazu nur über IP Arbeiten ...
Außerdem würde das hinzufügen zum DNS dazu führen das der Webseite Name dann nur noch durch den VPN erreichbar wäre, das ghet aber nicht weil unser Vertrieb die Seite auch für andere Anwendungen (Schulung Warenwirtschaft und ähnliches) benötigt...
Das ist ja mein Dilemma.
brammer
Eine Art Split-DNS ist aber die einzige Möglichkeit, das in den Griff zu bekommen. IP-Adressen werden nicht mehr in offiziellen Zertifikaten hinterlegt!
Das "Problem" mit der Webseite lässt sich auf die selbe Art lösen - muss dann halt manuell gepflegt werden.
Krämer
Das "Problem" mit der Webseite lässt sich auf die selbe Art lösen - muss dann halt manuell gepflegt werden.
Krämer
@brammer --> Die sollen einfach den Standard nehmen wie alle anderen! Dann gibts auch keinen Stress! ;)
