acesulfam 10 Geschrieben 27. November 2014 Melden Teilen Geschrieben 27. November 2014 Hi,das Zertifikat für den Remotezugriff läuft die Tage ab und ich wollte es wie in den letzten Jahren erneuern/verlängern. Das Zertifikat habe ich bislang über domainfactory bezogen und bislang keine Probleme gehabt. (SBS-Konsole, Zerifikatsassistent, Request, Zertifikat installieren,...)Heute lieferte das df-System aber eine Fehlermeldung und aktzeptierte den CSR-Request nicht. Der Support gab mir diese Antwort: Die Fehlermeldung tritt auf, da Sie ein CSR übergeben haben das eine alte Verschlüsselungsart einsetzt, die nächstes Jahr in allen Browsern als unsicher angezeigt würde. Da ein SHA1-signiertes Zertifikat wie erwähnt von den Browsern als unsicher markiert wird lassen wir diese Verschlüsselung in CSR-Dateien nicht mehr zu. Bitte generieren Sie daher ein CSR mit den Algorithmen SHA2/SHA256 oder SHA512 um ein sicheres Zertifikat zu erhalten. Jetzt liefert der SBS-Assistent keine mir bekannte Einstellungsmöglichkeit daran etwas zu ändern. Liegt die Lösung darin direkt über den IIS eine Zertifikatanforderung zu erstellen, das Zertifikat über den IIS zu importieren und dann im SBS-Konsolen-Assisten dieses "bereits auf dem Server installierte Zertifikat" zu verwenden? Sollte dem so sein, kennt jemand die "besten" Einstellungen für den SBS? Ich kann ja zwischen MS RSA SChannel 384 bis 16384 und MS DH SChannel 512 und 1024 wählen. Zusatzfrage: Bei erstellen der Zertifikatsanforderung kann ich Umlaute und Sonderzeichen angeben. Der SBS-Assistent hat sich daran immer gestört. Bsp: XXX & Co. KG in Musterort-mitBindestrich Kann ich diese neue Möglichkeit bedenkenlos nutzen oder lieber "umschreiben"? Vielen Dank aces Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 27. November 2014 Melden Teilen Geschrieben 27. November 2014 Moin, df hat dazu einen Artikel: http://www.df.eu/de/service/df-faq/ssl-zertifikate/externe-einbindung/csr-erstellen/ Umlaute und deutsche Sonderzeichen würde ich vermeiden. Umlaute werden von df explizit ausgeschlossen. Bitte verwenden Sie bei Ihrer Eingabe keine Umlaute Zitieren Link zu diesem Kommentar
acesulfam 10 Geschrieben 27. November 2014 Autor Melden Teilen Geschrieben 27. November 2014 Hi, vielen Dank für den Link. Dann werde ich die Angaben weiter "umschreiben". Die Schlüsseleinstellungen geben sie so an: Kryptografiedienstanbieter: Belassen Sie den voreingestellte Anbieter "Microsoft RSA SChannel Cryptographic Provider". Bitlänge: Als Schlüssellänge ist 1024 voreingestellt. Wählen Sie hier eine Bitlänge von 2048 "Frisst" das der SBS? Man umgeht ja teilweise den Assistenten und das soll man ja nicht:) mfg aces Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 28. November 2014 Melden Teilen Geschrieben 28. November 2014 "Frisst" das der SBS? Man umgeht ja teilweise den Assistenten und das soll man ja nicht:) Wenn man weiß, was man macht, kann man hier und da am Assistenten vorbeit arbeiten ;) Zitieren Link zu diesem Kommentar
acesulfam 10 Geschrieben 28. November 2014 Autor Melden Teilen Geschrieben 28. November 2014 (bearbeitet) Hi, ok, dann will ich es mal so wagen:) - Vielen Dank! Edit: Das war wohl nichts. Das DF-System akzeptiert die nach ihrer Anleitung erstellte Anforderung mit den gleichen Fehlermeldungen nicht: Der private Schlüssel hat nur eine SHA1-Verschlüsselung, es wird min. eine SHA256-Verschlüsselung benötigt. Es wurde kein gültiges CSR übergeben. Offenbar bin ich nicht der einzige: https://social.technet.microsoft.com/Forums/windowsserver/en-US/f9dfdf68-df16-45c6-a349-72b3129f97fc/how-to-generate-a-csr-in-iis-75-with-sha2-algorithm?forum=winserversecurity http://technet.microsoft.com/de-de/library/cc725793%28v=ws.10%29.aspx Als SBS Nutzer fühle ich mich von der certreq-Syntax gerade mehr als nur ein wenig überfordert :( mfg aces bearbeitet 28. November 2014 von acesulfam Zitieren Link zu diesem Kommentar
acesulfam 10 Geschrieben 28. November 2014 Autor Melden Teilen Geschrieben 28. November 2014 Hi, glaube ich habe es geschafft. DF hat angeboten die Zertifikatserstellung zu übernehmen. Hier in aller Kürze mein Vorgehen: -IIS, Zertifikatsanforderung erstellt, CSR Text nebst Daten an DF geschickt -RapidSSL Email/Anforderung bestätigt -Die "übliche" Email von DF zurückbekommen undauch im df-Panel ist alles wie gehabt. Mit Zwischenzertifikaten (GeoTrust_Global_R1_CA.pem, RapidSSL_Intermediate_CA.pem) und "sub.domain.de.p7b"-Zertifikat -Die Zwischenzertifikate habe ich nicht erneut installiert -Im IIS "Zertifkatanforderung abschließen, die "sub.domain.dep7b"-Datei gewählt und den Namen "sub.domain.de" angegeben !!! Der IIS gibt eine Fehlermeldung aus, die man aber wohl ignorieren kann: https://www.geocerts.com/install/iis_7 -Das Zertifikat erscheint nach dem Abbruch im IIS und lässt sich dann auch über den SBS-Assistenten auswählen und aktivieren -SBS-Konsole und auch ein Browser geben das neue Zertifikat aus. mfg aces Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.