2tes Zerfitikat für RemoteWebsite

[muehlberger]

Hallo zusammen,

für den Remotezugriff verwende ich 2 Domänen - zum einen die vom WHS mit Bordmitteln zur Verfügung gestellte, zum anderen eine Domäne von DynDNS.

Wenn ich nun auf die RemoteWebsite mit der DynDNS-Adresse zugreife, dann beschwert sich der IIS brav, dass das Zertifikat der Site nicht mit der Adresse übereinstimmt.

Meine banale Idee wäre nun, sich selbst ein Zertifikat für die DynDNS-Domäne auszustellen und zusätzlich an die RemoteWebsite zu hängen. Da muss ich aber gestehen, dass ich mich in der Konfiguration des IIS 7 quasi verlaufen habe

Danke für eure Hilfe!

-- muehlberger

[der-Leo]

Was spricht dagegen, einfach auf den 'Ja, ja. Passt schon'-Button zu klicken?

[muehlberger]

Weil es Proxies gibt, die Seiten mit ungültigen Zertifikaten nicht erlauben

[soa]

Weil es Proxies gibt, die Seiten mit ungültigen Zertifikaten nicht erlauben

Naja dann wird der Proxy wahrscheinlich auch meckern weil ein self-signed certificate grad so unültig für ihn sein wird.

[muehlberger]

Tja, das weiß ich eben nicht - und deshalb würde ich es gerne mal versuchen....

[sTunTe]

Hallo.

Ich will mich da jetzt nicht zu weit aus dem Fenster lehnen, da die Bereiche Webserver und Webseitenentwicklung nicht meine Baustellen sind...
Aber...

dann beschwert sich der IIS brav, dass das Zertifikat der Site nicht mit der Adresse übereinstimmt.

Dieser Satz stimmt so nicht.
Nicht der IIS beschwert sich, sondern der Browser.
Denn dieser überprüft die Gültigkeit des Zertifikats.
Alles andere würde auch wenig Sinn ergeben, da ansonsten die Überprüfung recht einfach manipuliert werden könnte und das Zertifikat somit relativ sinnfrei wäre.

An dieser Stelle mag ich mich irren: Aber ich glaube auch nicht das es eine Möglichkeit gibt 2 Zertifikate für 2 URLs innerhalb einer Webseite zu installieren.
Korrigiert mich, wenn ich da falsch liege...

Gruß
sTunTe

[der-Leo]

Du irrst dich nicht.
Man könnte aber im IIS eine zweite Webseite anlegen und der ein eigenes Zertifikat geben.
Mit dem IIS selbst kenne ich mich nicht so gut aus... aber es müsste normalerweise möglich sein für beide Webseiten den selben Ordner als Document-Root zu verwenden.
Somit wäre unter beiden Domains das selbe erreichbar.
Es dürften sich jetzt aber weitere Probleme auftun...
denn die beiden Webseiten können nicht unter dem selben Port erreichbar sein.
Und das gößte Problem: Woher ein gültiges Zertifikat bekommen?

[muehlberger]

Richtig - nicht der iis meckert, sondern der ie. Kleiner Toppfehler.

Ich hab mir auch selbst ein Zertifikat für die Ute Domäne ausgestellt und beim iis importiert . Server 2008 bringt ja alle nötigen Tools mit. Aber entweder hab ich es falsch ausgestellt oder der iis verwendet nur EIN Domänen Zertifikat ... Zumindest habe ich auch nichts gefunden, wo ich ein bestimmtes Zertifikat Auswahlen kann - ich kann nur ssh einstellen

[soa]

Richtig - nicht der iis meckert, sondern der ie. Kleiner Toppfehler.

Eigentlich müsstes du 2 Certificates haben um dem Problem loszuwerden.

Ein Zertifikat fur deine Certification Authority deiner selbsterstellte PKI, und ein zweites für deine Webseite. Das zweite Zertifikat wird dann vom ersten (CA) signiert.

Vorteil? Du brauchst nur in deinen IE, FF oder Windows den Zertifikat von der CA zu importieren, das Zertifikat des Webseits wird dann automatisch erkannt und der browser meckert nicht mehr.

Es löst natürlich nicht das Problem mit dem Proxy.

[JoachimL]

An dieser Stelle mag ich mich irren: Aber ich glaube auch nicht das es eine Möglichkeit gibt 2 Zertifikate für 2 URLs innerhalb einer Webseite zu installieren.
Korrigiert mich, wenn ich da falsch liege...

selten Gelegenheit dazu, aber hier gibt es Fortschritte. Wenn ein hinreichend aktueller Browser dem Server mitteilt, welches Zertifikat er ansteuern möchte, dann kann der Server auch mehrere Zertifikate unterstützen. Beim IIS klappt das m.W. ab der Version in W2008R2 oder W7, oder jetzt wahrscheinlich mit dem neuen WHS 2011.
Bei älteren IIS kann man nur auf verschiedenen IP-Adressen (für den Privatmann eher unwahrscheinlich) oder verschiedenen Ports auch verschiedene Zertifikate verwenden.
In der IIS Terminologie wären das natürlich verschiedene Websites, gewissermaßen hast Du also trotzdem Recht...
Gruß Joachim

[JoachimL]

Server 2008 bringt ja alle nötigen Tools mit. Aber entweder hab ich es falsch ausgestellt oder der iis verwendet nur EIN Domänen Zertifikat ... Zumindest habe ich auch nichts gefunden, wo ich ein bestimmtes Zertifikat Auswahlen kann - ich kann nur ssh einstellen

M.W. geht es mit Server 2008 nicht, aber der WHS 2011 ist ja ein 2008 R2, und da sollte es gehen. Lies mal http://www.sslshopper.com/article-ssl-h ... iis-7.html.
Gruß Joachim

[muehlberger]

M.W. geht es mit Server 2008 nicht, aber der WHS 2011 ist ja ein 2008 R2, und da sollte es gehen. Lies mal http://www.sslshopper.com/article-ssl-h ... iis-7.html.
Gruß Joachim

Danke, das werde ich mir mal näher ansehen!

-- muehlberger

[VPN-User]

Hi,

also: Es ist *nicht* möglich, 2 Zertifikate für den selben SSL-Port einzurichten! Das ist auch ganz einfach erklärt: Der SSL-Handshake findet statt, noch bevor der HTTP-Header und damit der Server-Hostname ausgewertet wird. Daher lassen sich verschiedene Zertifikate nur über mehrere virtuelle Hosts auf unterschiedlichen Ports realisieren.

Was aber funktioniert ist, *mehrere* Hostnamen (Common Name) in *einem* SSL-Zertifikat unterzubringen und damit das Zertifikat für mehrere Sites gültig zu bekommen.

Übrigens: Bei www.startssl.com kann man kostenlos SSL-Zertifikate für *eigene* Domains generieren lassen. Die StartCom CA ist inzwischen in allen gängigen Browsern vorinstalliert - damit keine häßlichen Warnings mehr! Wer sich dort (gegen kleine Gebühr) 2nd-level authentifizieren lässt, kann auch Wildcard-Zertifikate und eben wie gerade beschrieben auch mehrere Domains in ein Zertifikat packen.

[JoachimL]

also: Es ist *nicht* möglich, 2 Zertifikate für den selben SSL-Port einzurichten! Das ist auch ganz einfach erklärt: Der SSL-Handshake findet statt, noch bevor der HTTP-Header und damit der Server-Hostname ausgewertet wird. Daher lassen sich verschiedene Zertifikate nur über mehrere virtuelle Hosts auf unterschiedlichen Ports realisieren.

Doch, man muß nur die richtigen Standards unterstützen:http://www.ietf.org/rfc/rfc4366.txt - und nach meinem Wissen tut IIS 7.0 das.
Gruß Joachim

[VPN-User]

also: Es ist *nicht* möglich, 2 Zertifikate für den selben SSL-Port einzurichten! Das ist auch ganz einfach erklärt: Der SSL-Handshake findet statt, noch bevor der HTTP-Header und damit der Server-Hostname ausgewertet wird. Daher lassen sich verschiedene Zertifikate nur über mehrere virtuelle Hosts auf unterschiedlichen Ports realisieren.

Doch, man muß nur die richtigen Standards unterstützen:http://www.ietf.org/rfc/rfc4366.txt - und nach meinem Wissen tut IIS 7.0 das.
Gruß Joachim

Das muss aber auch der Browser unterstützen: http://de.wikipedia.org/wiki/Server_Name_Indication

Immerhin tun dies inzwischen alle gängigen Browser, Firefox wohl schon länger.