Zertifikat mit unterschiedliche Domains

[Stefan3110 11]

Hallo,

ist es möglich ein Zertifikat unterschiedliche Domains einzutragen?

Ich habe in meinem SharePoint HostNamedSitecollection. Diese liefern die Seiten aus *.Domain1.de , *.Domain2.de  und *.Domain3.de . Wenn ich für alles http nutze ist es kein Problem. Möchte ich aber umsteigen bräuchte ich ein SSL Zertifikat für alle 3 Domains. Alle 3 Domains werden über einen IIS ausgeliefert.

 

Danke für Eure Hilfe

Stefan

[Dukel 451]

Du kannst ein SAN Zertifikat nutzen.

[Daniel -MSFT- 129]

Hi Stefan,

 

Du könntest ein Zertifikat nehmen, in dem alle Servernamen als Subject Alternative Name (SAN) eingetragen sind. Damit Du alle Server einer Subdomain einschließt, brauchst Du s als Wildcard Certificate: http://en.m.wikipedia.org/wiki/Wildcard_certificate

 

Derartige Zertifikate sind teurer und Du brauchst immer ein neues Zertifikat, wenn Du einen SAN hinzufügen oder ändern willst.

 

Wenn Du für jede Second Levrl Domain ein eigenes Wildcard Zertifikat nutzt, wird es einfacher. Du nimmst dann aber auch am besten je eine eigene IP pro Zertifikat.

 

Have Fun!

Daniel

[Stefan3110 11]

Danke für Eure Hilfe.

 

Der Preis spielt keine Rolle, da ich das Zertifikat von meiner internen PKI ausstellen lassen möchte. Da ich es in einer Demoumgebung einsetzen möchte, kann ich bei den Clients das Root Zertifikat einspielen.

Das Zertifikat soll 3 Domains abbilden

*.Domain_one.de

*.Domain_two.de

*.Domain_three.de

[Daniel -MSFT- 129]

Wenn Du unter Windows die Microsoft CA als PKI nutzt, findest Du hier eine Anleitung zum Anfordern eines SAN-Zertifikats: http://technet.microsoft.com/de-de/library/ff625722(v=ws.10).aspx

[Stefan3110 11]

Danke Daniel für Deine Hilfe.

In ein SAN Zertifikat kann ich verschiedene DNS Einträge vornehmen und diese dann im IIS veröffentlichen.

 

Ich überlegte mir auch auf dem Loadbalancer unterschiedliche IPs zu konfigurieren. Dann kann ich im IIS der jeweiligen IP ein WildCard Zertifikat einer Domain zu ordnen. Als Loadbalancer nutze ich den NLB Service von Microsoft.  Ich frage mich hierbei nur wie ich an den SharePoint Webfrontends die IP Abfragen kann, damit die Anfrage mit dem richtigem Zertifikat beantwortet werden kann.

[Daniel -MSFT- 129]

Schreib doch mal genauer, wie Deine Umgebung aussieht und was Du genau erreichen willst. Ist das ein Hosting-Szenario oder wer ist die Zielgruppe?

[Stefan3110 11]

Das Szenario ist eine Training, Test und Demo Umgebung.

Darum auch die unterschiedlichen Domains. Für die Ausfallsicherheit sind alle Server doppelt aus gelegt und liegen als VM auf 2 HyperV Hosts.

bearbeitet 5. Februar 2014 von Stefan3110

[Daniel -MSFT- 129]

Dann mach eine IP pro SSL-Webseite und nutze direkt für jede Seite ein passendes Zertifikat. Wenn Du einen Loadbalancer davor nutzen willst, ist SSL Offloading vielleicht einfacher. Also die Zertifikate für die Loadbalancer ausstellen und auf die SharePoint-Server im Backend via HTTP zugreifen. Ansonsten müßtest Du SSL Bridging konfigurieren. Für den ISA gab es da mal eine Anleitung: http://technet.microsoft.com/en-us/library/cc750502.aspx

[Stefan3110 11]

Danke Daniel für Deine Antwort und Hilfe.

 

Mir ist folgender Sachverhalt noch nicht ganz klar:

 

- 2 Webfrontends (IP *.*.*.1 ; IP *.*.*.2) auf beiden Frontends ist der NLB Service konfiguriert.

- NLB besitzt die virtuele IP *.*.*.100

 

Welche IP kommt jetzt am IIS an (die *.*.*.100 oder die des jeweiligen Webfrontends)?

 

Wenn ich das Beispiel von oben weiter frühre muss ich am NLB noch die IP *.*.*.101 und *.*.*.102 mit hinzunehmen. Sowie an den beiden IIS der Webfrontends die Binding plus Zertifikat auf die *.*.*.100 , 101 und 102 setzen. Ist dieses Vorgehen so richtig?

[Daniel -MSFT- 129]

Ich kann hier auf dem Handy keine komplette Anleitung tippen. Schau mal hier http://kemptechnologies.com/blog/how-to-setup-office-web-apps-server-2013-farm/ und hier http://kemptechnologies.com/blog/how-to-load-balance-office-web-apps-server-2013-farm/ und hier http://technet.microsoft.com/en-us/library/jj219435.aspx#loadbalancer

[Stefan3110 11]

Leider hilft mir das noch nicht weiter (oder ich seh den Wald vor lauter Bäumen nicht)

 

Kommt die IP des NLB Service von Microsoft auch so beim IIS an? Oder leitet der NLB Service die Anfrage auf die "private" IP des WebFrontends und der IIS sieht nur diese IP?

[Daniel -MSFT- 129]

Wozu brauchst Du die IP? Zertifikate werden auf Namen ausgestellt, nicht auf IPs.

[Stefan3110 11]

Ja.

Nur muss der IIS (in ihn möchte ich das Zertifikat hängen) wissen über welche IP die Anfrage kommt. Damit er die das richtige Zertifikat nutzt.

 

Wenn Anfrage über die NLB Service IP *.100 nimm das Zertifikat von Domain *.A.de

Wenn Anfrage über die NLB Service IP *.101 nimm das Zertifikat von Domain *.B.de

 

Was ich jetzt noch nicht verstehe ist ob der IIS auch die NLB Service IP mitbekommt oder nur seine eigene.

[zahni 550]

Die Zuordnung machst Du im SharePoint u.U. mit dessen Powershell cmdlets. Dort können auch Host-Header und IP-Adressen festgelegt werden. SP konfiguriert  dann den IIS entsprechend um.

Siehe  als 1. Einstieg:

http://technet.microsoft.com/en-us/library/cc424952.aspx

 

Soweit wie möglich  die Finger  von der IIS-Konfiguration lassen. Das  macht  der SharePoint selber.

bearbeitet 6. Februar 2014 von zahni