Stefan3110 11 Geschrieben 4. Februar 2014 Melden Teilen Geschrieben 4. Februar 2014 Hallo, ist es möglich ein Zertifikat unterschiedliche Domains einzutragen? Ich habe in meinem SharePoint HostNamedSitecollection. Diese liefern die Seiten aus *.Domain1.de , *.Domain2.de und *.Domain3.de . Wenn ich für alles http nutze ist es kein Problem. Möchte ich aber umsteigen bräuchte ich ein SSL Zertifikat für alle 3 Domains. Alle 3 Domains werden über einen IIS ausgeliefert. Danke für Eure Hilfe Stefan Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 4. Februar 2014 Melden Teilen Geschrieben 4. Februar 2014 Du kannst ein SAN Zertifikat nutzen. Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 4. Februar 2014 Melden Teilen Geschrieben 4. Februar 2014 Hi Stefan, Du könntest ein Zertifikat nehmen, in dem alle Servernamen als Subject Alternative Name (SAN) eingetragen sind. Damit Du alle Server einer Subdomain einschließt, brauchst Du s als Wildcard Certificate: http://en.m.wikipedia.org/wiki/Wildcard_certificate Derartige Zertifikate sind teurer und Du brauchst immer ein neues Zertifikat, wenn Du einen SAN hinzufügen oder ändern willst. Wenn Du für jede Second Levrl Domain ein eigenes Wildcard Zertifikat nutzt, wird es einfacher. Du nimmst dann aber auch am besten je eine eigene IP pro Zertifikat. Have Fun! Daniel 1 Zitieren Link zu diesem Kommentar
Stefan3110 11 Geschrieben 4. Februar 2014 Autor Melden Teilen Geschrieben 4. Februar 2014 Danke für Eure Hilfe. Der Preis spielt keine Rolle, da ich das Zertifikat von meiner internen PKI ausstellen lassen möchte. Da ich es in einer Demoumgebung einsetzen möchte, kann ich bei den Clients das Root Zertifikat einspielen. Das Zertifikat soll 3 Domains abbilden *.Domain_one.de *.Domain_two.de *.Domain_three.de Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 4. Februar 2014 Melden Teilen Geschrieben 4. Februar 2014 Wenn Du unter Windows die Microsoft CA als PKI nutzt, findest Du hier eine Anleitung zum Anfordern eines SAN-Zertifikats: http://technet.microsoft.com/de-de/library/ff625722(v=ws.10).aspx Zitieren Link zu diesem Kommentar
Stefan3110 11 Geschrieben 5. Februar 2014 Autor Melden Teilen Geschrieben 5. Februar 2014 Danke Daniel für Deine Hilfe. In ein SAN Zertifikat kann ich verschiedene DNS Einträge vornehmen und diese dann im IIS veröffentlichen. Ich überlegte mir auch auf dem Loadbalancer unterschiedliche IPs zu konfigurieren. Dann kann ich im IIS der jeweiligen IP ein WildCard Zertifikat einer Domain zu ordnen. Als Loadbalancer nutze ich den NLB Service von Microsoft. Ich frage mich hierbei nur wie ich an den SharePoint Webfrontends die IP Abfragen kann, damit die Anfrage mit dem richtigem Zertifikat beantwortet werden kann. Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 5. Februar 2014 Melden Teilen Geschrieben 5. Februar 2014 Schreib doch mal genauer, wie Deine Umgebung aussieht und was Du genau erreichen willst. Ist das ein Hosting-Szenario oder wer ist die Zielgruppe? Zitieren Link zu diesem Kommentar
Stefan3110 11 Geschrieben 5. Februar 2014 Autor Melden Teilen Geschrieben 5. Februar 2014 (bearbeitet) Das Szenario ist eine Training, Test und Demo Umgebung. Darum auch die unterschiedlichen Domains. Für die Ausfallsicherheit sind alle Server doppelt aus gelegt und liegen als VM auf 2 HyperV Hosts. bearbeitet 5. Februar 2014 von Stefan3110 Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 5. Februar 2014 Melden Teilen Geschrieben 5. Februar 2014 Dann mach eine IP pro SSL-Webseite und nutze direkt für jede Seite ein passendes Zertifikat. Wenn Du einen Loadbalancer davor nutzen willst, ist SSL Offloading vielleicht einfacher. Also die Zertifikate für die Loadbalancer ausstellen und auf die SharePoint-Server im Backend via HTTP zugreifen. Ansonsten müßtest Du SSL Bridging konfigurieren. Für den ISA gab es da mal eine Anleitung: http://technet.microsoft.com/en-us/library/cc750502.aspx Zitieren Link zu diesem Kommentar
Stefan3110 11 Geschrieben 6. Februar 2014 Autor Melden Teilen Geschrieben 6. Februar 2014 Danke Daniel für Deine Antwort und Hilfe. Mir ist folgender Sachverhalt noch nicht ganz klar: - 2 Webfrontends (IP *.*.*.1 ; IP *.*.*.2) auf beiden Frontends ist der NLB Service konfiguriert. - NLB besitzt die virtuele IP *.*.*.100 Welche IP kommt jetzt am IIS an (die *.*.*.100 oder die des jeweiligen Webfrontends)? Wenn ich das Beispiel von oben weiter frühre muss ich am NLB noch die IP *.*.*.101 und *.*.*.102 mit hinzunehmen. Sowie an den beiden IIS der Webfrontends die Binding plus Zertifikat auf die *.*.*.100 , 101 und 102 setzen. Ist dieses Vorgehen so richtig? Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 6. Februar 2014 Melden Teilen Geschrieben 6. Februar 2014 Ich kann hier auf dem Handy keine komplette Anleitung tippen. Schau mal hier http://kemptechnologies.com/blog/how-to-setup-office-web-apps-server-2013-farm/ und hier http://kemptechnologies.com/blog/how-to-load-balance-office-web-apps-server-2013-farm/ und hier http://technet.microsoft.com/en-us/library/jj219435.aspx#loadbalancer 1 Zitieren Link zu diesem Kommentar
Stefan3110 11 Geschrieben 6. Februar 2014 Autor Melden Teilen Geschrieben 6. Februar 2014 Leider hilft mir das noch nicht weiter (oder ich seh den Wald vor lauter Bäumen nicht) Kommt die IP des NLB Service von Microsoft auch so beim IIS an? Oder leitet der NLB Service die Anfrage auf die "private" IP des WebFrontends und der IIS sieht nur diese IP? Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 6. Februar 2014 Melden Teilen Geschrieben 6. Februar 2014 Wozu brauchst Du die IP? Zertifikate werden auf Namen ausgestellt, nicht auf IPs. Zitieren Link zu diesem Kommentar
Stefan3110 11 Geschrieben 6. Februar 2014 Autor Melden Teilen Geschrieben 6. Februar 2014 Ja. Nur muss der IIS (in ihn möchte ich das Zertifikat hängen) wissen über welche IP die Anfrage kommt. Damit er die das richtige Zertifikat nutzt. Wenn Anfrage über die NLB Service IP *.100 nimm das Zertifikat von Domain *.A.de Wenn Anfrage über die NLB Service IP *.101 nimm das Zertifikat von Domain *.B.de Was ich jetzt noch nicht verstehe ist ob der IIS auch die NLB Service IP mitbekommt oder nur seine eigene. Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 6. Februar 2014 Melden Teilen Geschrieben 6. Februar 2014 (bearbeitet) Die Zuordnung machst Du im SharePoint u.U. mit dessen Powershell cmdlets. Dort können auch Host-Header und IP-Adressen festgelegt werden. SP konfiguriert dann den IIS entsprechend um. Siehe als 1. Einstieg: http://technet.microsoft.com/en-us/library/cc424952.aspx Soweit wie möglich die Finger von der IIS-Konfiguration lassen. Das macht der SharePoint selber. bearbeitet 6. Februar 2014 von zahni Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.