0
Internet Information Server (IIS 7.5) verwendet altes Zertifikat trotz korrekter Einbindung eines neuen Zertifikates
Hallo Kollegen,
ich hatte eben ein Problem auf einem Windows Server 2008 R2, dass ein neu eingebundenes Zertifikat im IIS im internen Netzwerk nicht vom IIS ausgeliefert, sondern weiterhin das alte verwendet wurde. Es wurde korrekt in den Bindungen der Website hinterlegt, jedoch wurde nur im internen LAN bzw. lokal auf dem Server immer noch das alte Zertifikat im Browser ausgeliefert.
Da hier im internen LAN auch IPv6 verwendet wurde kam mir nun die Idee das hier eventuell noch eine Bindung auf der IPv6 Adresse bestehen könnte die nicht im IIS-Interface sichtbar ist. Und tatsächlich bestand noch eine solche unsichtbare Bindung auf der IPv6 Loopback-Adresse. Da Windows IPv6 bevorzugt vor IPv4 behandelt kam es zu diesem Phänomen.
Die SSL-Bindungen kann man sich mit folgendem netsh Befehl in einer Konsole anzeigen lassen:
Dort konnte ich dann das alte Zertifikat das auf die IPv6 Loopback-Adresse gebunden war löschen:
Also, wenn ihr diesbezüglich mal Probleme haben solltet, schaut einfach mal manuell mit netsh in die Bindungen.
Das Zertifikat könnt ihr anhand des Hashes identifizieren. Hilfreich ist hier der Befehl:
der die Zertifikate mit Ihren Details sowie den Hashes auflistet.
Eventuell hilft das dem ein oder anderen der vor dem selben Problem steht.
Grüße @colinardo
ich hatte eben ein Problem auf einem Windows Server 2008 R2, dass ein neu eingebundenes Zertifikat im IIS im internen Netzwerk nicht vom IIS ausgeliefert, sondern weiterhin das alte verwendet wurde. Es wurde korrekt in den Bindungen der Website hinterlegt, jedoch wurde nur im internen LAN bzw. lokal auf dem Server immer noch das alte Zertifikat im Browser ausgeliefert.
Da hier im internen LAN auch IPv6 verwendet wurde kam mir nun die Idee das hier eventuell noch eine Bindung auf der IPv6 Adresse bestehen könnte die nicht im IIS-Interface sichtbar ist. Und tatsächlich bestand noch eine solche unsichtbare Bindung auf der IPv6 Loopback-Adresse. Da Windows IPv6 bevorzugt vor IPv4 behandelt kam es zu diesem Phänomen.
Die SSL-Bindungen kann man sich mit folgendem netsh Befehl in einer Konsole anzeigen lassen:
netsh http show sslcert
netsh http delete sslcert ipport=[::]:443
Das Zertifikat könnt ihr anhand des Hashes identifizieren. Hilfreich ist hier der Befehl:
certutil -store MY
Eventuell hilft das dem ein oder anderen der vor dem selben Problem steht.
Grüße @colinardo
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 240748
Url: https://administrator.de/contentid/240748
Printed on: April 20, 2024 at 02:04 o'clock
