Jump to content

Multiname Zertifikat mit eigener CA


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

gibt es eine Möglichkeit mit einer eigenen CA ein Multiname Zertifikat zu erstellen. Ich möchte keine Wildecard (*.Beispieldom.de) sondern mehrere namen: serverxy.beispieldom.de und mail.beispieldom.de in einem Zertifikat.

mit selfssl.exe ja kein Problem. Aber geht sowas auch mit einer eigenen CA?

 

danke für eure Hilfe

 

Gruß

Martin

Link zu diesem Kommentar
Hi,

 

grundsätzlich geht das. Schau einmal nach dem Stichwort "Subject Alternatve Name" bzw. SAN. Je nach Client per Webenrollment, MMC oder certreq.exe möglich.

 

Die Frage ist jedoch oftmals, ob man das wirklich so einrichten sollte. Im besten Fall hat jede Domain ein eigenes Zertifikat.

 

Viele Grüße

olc

 

Für Exchange 2007/2010 ist SAN allerdings empfohlen soweit ich mich entsinne und für den internen Gebrauch stört die intere CA dann auch nicht. Extern hab ich persönlich auch lieber pro Name ein Zertifikat, aber nicht jeder hat ja so viele public IPs. ;)

 

Bye

Norbert

Link zu diesem Kommentar
  • 2 Wochen später...

Hallo zusammen,

vielen Dank für die Infos!!

ich hab auf der Zertifizierungsstelle SAN jetzt aktiviert.

Leider schaffe ich es nicht auf dem Client ein Zertifikat mit 2 Namen zu erstellen. Was muss ich machen? ich hab die MS Seite schon gefunden:

How to add a Subject Alternative Name to a secure LDAP certificate

leider funktioniert es nicht. Was mach ich falsch?

 

DAnke für eure Hilfe!

 

Gruß

MZ

Link zu diesem Kommentar

Guten Morgen,

Auf der Website wähle ich webzertifkat aus. Ich fülle die ganzen Felder aus und gemäß MS im Atribute Feld:

SAN:DNS=CORPDC1.fabrikam.com&DNS=mail.fabrikam.com

Das Zertfikat wird auch erfolgreich erstellt. Wenn ich mir das Zertifikat anschaue wird es aber nicht für die in Atribute eingetragenen Namen erstellt.

 

was mach ich falsch?

 

Danke!

Link zu diesem Kommentar

Hi,

 

das im Artikel genannte Vorgehen auf der CA hast Du umgesetzt?

 

certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2

Net Stop certsvc

Net start Certsvc

 

Poste doch einmal einen Dump des Zertifikats (mittels "certutil.exe -dump certificate.cer"). Aber bitte entferne / maskiere die Daten, die nicht in ein Forum gehören.

 

Viele Grüße

olc

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...