Selbstsigniertes Zertifikat für den IIS
Verfasst: 14. Okt 2012, 19:44
Auch wenn man beim WHS ein Zertifikat für die *.homerserver.com Adresse automatisch bekommt und das sogar von den meisten Browsern als vertrauenswürdig eingestuft wird, so hat die *.homeserver.com Adresse für mich den Nachteil, dass die *.homeserver.com Adresse nur dann erreichbar ist, wenn der WHS nach der nächtlichen Zuweisung einer neuen IP-Adresse auch mal an war und dann seine Adresse auch aktualisieren konnte - das passt nicht ganz zu meinem eher abendlichen Nutzungsverhalten und dass ich den WHS trotzdem immer von unterwegs erreichen können möchte. Also bevorzuge ich DynDNS (NoIP u.a. gehen natürlich auch), da aktualisiert der Router die Adresse ohne Zutun des WHS. Ein dazu passendes Zertifikat kann man z.B. von http://www.startssl.com/ bekommen, aber nur wenn unter der DynDNS-Domain ein Mailserver läuft, und das ist nicht jedermans Sache. Man kann sich aber auch ein Zertifikat selbst ausstellen, z.B. mit OpenSSL, das habe ich selbst auch schon mal gemacht (viewtopic.php?f=11&t=7373&p=53123#p53123.
Aber geht es nicht auch einfacher? Ja, es geht einfacher! Danke an Christian d'Heureuse für seine Anleitung auf http://www.inventec.ch/chdh/notes/14.htm. Ein Tool um sich selbst Zertifikate auszustellen ist in den .Net Tools und im Window SDK 7 enthalten. Ich hab die Version von http://www.microsoft.com/en-us/download ... px?id=3138 verwendet, die Dokumentation findet sich unter http://msdn.microsoft.com/en-us/library ... s.90).aspx. Man kann das auf dem WHS oder auf einem Client machen, wenn man es auf einem Client macht muss man das Zertifikat dann mit dem MMC Snap-In Zertifikate auf den WHS befördern.
Damit das Zertifikat an der richtigen Stelle abgelegt wird, muss man die CMD Shell als Administrator starten: Die Anweisung zum Erzeugen des Zertifikats sieht dann etwa so aus:Auf dem WHS ausgeführt ist das Zertifikat gleich an der richtigen Stelle um mit dem IIS-Manager für eine oder mehrere Websites ausgewählt zu werden..
Will man nicht dauernd eine Warnung beim Zugriffen auf die Websites haben, dann exportiert man sich das Zertifikat mit der MMC ohne den privaten Schlüssel in eine Datei die man auf den Clients als Trusted Root CA importiert...
Aber geht es nicht auch einfacher? Ja, es geht einfacher! Danke an Christian d'Heureuse für seine Anleitung auf http://www.inventec.ch/chdh/notes/14.htm. Ein Tool um sich selbst Zertifikate auszustellen ist in den .Net Tools und im Window SDK 7 enthalten. Ich hab die Version von http://www.microsoft.com/en-us/download ... px?id=3138 verwendet, die Dokumentation findet sich unter http://msdn.microsoft.com/en-us/library ... s.90).aspx. Man kann das auf dem WHS oder auf einem Client machen, wenn man es auf einem Client macht muss man das Zertifikat dann mit dem MMC Snap-In Zertifikate auf den WHS befördern.
Damit das Zertifikat an der richtigen Stelle abgelegt wird, muss man die CMD Shell als Administrator starten: Die Anweisung zum Erzeugen des Zertifikats sieht dann etwa so aus:
Code: Alles auswählen
makecert -a sha1 -e 10/31/2014 -r -n "CN=<dyndns-domain>" -pe -sky exchange -eku 1.3.6.1.5.5.7.3.1 -ss my -sr LocalMachine -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12
Will man nicht dauernd eine Warnung beim Zugriffen auf die Websites haben, dann exportiert man sich das Zertifikat mit der MMC ohne den privaten Schlüssel in eine Datei die man auf den Clients als Trusted Root CA importiert...