Domänenzertifikat für SSL?

[sdev80 10]

Hallo Zusammen!

 

Ich habe die Aufgabe unsere IIS so umzukonfigurieren dass nur via HTTPS also über eine SSL Verbindung darauf zugegriffen werden kann. Nun will ich aber nicht auf jedem Client ein Zertifikat installieren. Wir haben eine Domäne die Domänenzertifikate ausstellen kann. Der Zugriff erfolgt nur von Intern.

 

Die Systemdaten sind wie folgt:

Client Windows 7

Server Windows Server 2008 R2

Domaincontroller: Microsoft Windows 2008

 

Wie muß ich hier vorgehen? Ich nehme an alle Clients haben bereits ein Zertifikat vom Domaincontroller, kann ich denn nicht dieses Zertifikat beim IIS hinzufügen? Wie funktioniert das? Hat jemand Infos, Links, Anleitungen?

 

Schöne Grüße, Sabine

[Dukel 457]

Du musst kein Zertifikat an jeden Client verteilen, es reicht das Root Zertifikat der PKI und das sollte ja schon verteilt sein.

 

Das DomänenController Zertifikat willst du nicht benutzen.

[sdev80 10]

Dort wo ich das HTTPS Binding anlege muß ich ein Zertifikat angeben. Es werden die Zertifikate aufgelistet welche auch Server Zertifikate aufgelistet sind. Vermutlich ist mein Problem dass ich dort noch nicht das richtige Zertifikat importiert habe, denn wenn ich die Website über https aufrufe erhalte ich die Meldung: "Das Sicherheitszertifikat dieser Website wurde für eine andere Adresse der Website ausgestellt."

Wie komme ich denn nun an das richtige Zertifikat? So ein "Root Zertifikat der PKI" haben wir hier irgendwie nicht.

 

Der IIS bietet mir die Möglichkeit:

- Import (*.pfx)

- Create Certificate Request (Eingabemaske)

- Complete Certificate Request (*.cer)

- Create Domain Certificate (Eingabemaske)

- Create Self-Signed Certificate (friendly Name)

 

Außerdem ermöglicht das Webportal des "Microsoft Active Directory Certificate Services" folgende Auswahl:

- Request a certificate

- View the status of a pending certificate request

- Download a CA certificate, certificate chain or CRL

* Download CA certificate

* Download CA certificate chain

* Download latest base CRL

* Download latest delta CRL

 

Was ist hier die richtige Vorgehensweise oder woher bekomme ich dieses "Root Zertifikat der PKI" in meine Server Zertifake Liste?

 

Schöne Grüße, Sabine

[NorbertFe 2.105]

Das Root Zertifikat brauchst du nicht im IIS sondern in allen Clients (und auf dem Server) im Zertifikatsspeicher für Vertrauenswürdige Stammzertifizierungsstellen. Das müßte aber automatisch schon der Fall sein. (innerhalb der Domain).

 

Wenn du einen Fehler bekommst, dass im Zertifikat eine andere Adresse auftaucht, wäre es dann nicht hilfreich mal ein Zertifikat mit dem richtigen Namen anzufordern? ;) Dazu wäre dann "create Certificate Request" der richtige Weg. Da kann man dann mit einem oder mehreren Namen (Subject Alternative Names) arbeiten.

 

Bye

Norbert

[sdev80 10]

Als "common name" gebe ich immer den "server1" (das ist der Rechnername) an. Der IIS läuft auf localhost und wir konnten bisher immer mit http://server1 darauf zugreifen. http / https muß man ja weglassen. Was soll ich denn nun angeben um "Das Sicherheitszertifikat dieser Website wurde für eine andere Adresse der Website ausgestellt" zu vermeiden?

 

Create Certificate Request: Nur bekomme ich hier leider eine Fehlermeldung: "Cannot find the certificate request that is associated with this certificate file. A certificate request must becompleted on the computer where the request was created."

 

Ich bin genauso wie in Google-Ergebnis für http://blog.icewolf.ch/images/blog_icewolf_ch/201107/CertReq_02.jpg beschrieben vorgegangen.

 

Ich habe die zwei Schritte auf dem selben PC und direkt anschließend durchgeführt.

 

Schöne Grüße, Sabine