Oneil 0 Geschrieben 5. Juni 2015 Melden Teilen Geschrieben 5. Juni 2015 Hallo zusammen, mal eine dumme Frage, ich beschäftige mich gerade mit dem Thema Webserver (Xampp) und SSL für unser Ticketsystem. Grundsätzlich läuft es mit dem von mir erstellten Zertifikat, aber jeder kann sich die Nachteile denken. Ich will das Ticketsystem auch nur ungern in die DMZ packen und dem System eine Domain verpassen um ein SSL Zertifikat zu kaufen. Die kaufbaren "Intranet Zertifikate" gibt es wohl nicht mehr da das ganze zum Okt/Nov abgeschaft wird. Kann ich das Zertifikat in einen Win 2008 CA Server (Zertifizierungsstelle) importieren und Signieren lassen, das ich nicht mehr die nervigen Meldungen habe bzw das Zertifikat extra am Client installieren muss? Klar könnte ich es auch per GPO ausrollen aber dann meckert immer noch der Firefox rum. Oder hat jemand eine andere Idee dazu? Grüße Zitieren Link zu diesem Kommentar
NorbertFe 2.099 Geschrieben 5. Juni 2015 Melden Teilen Geschrieben 5. Juni 2015 Du forderst einfach ein Zertifikat bei deiner eigenen CA mit den gewünschten Namen usw. an und gut. Dazu mußt du nix importieren, sondern gehst mit deinem CSR zu deiner CA. ;) Bye Norbert Zitieren Link zu diesem Kommentar
Oneil 0 Geschrieben 5. Juni 2015 Autor Melden Teilen Geschrieben 5. Juni 2015 (bearbeitet) öhm hast du da auch ne kurze anleitung für mich ? :confused: :D :D mit dem thema hatte ich noch nie was zu tun und bei google ist schwer was zu finden :( edit: achja der server selbst läuft schon ;-) muss nur wissen wie ich das "einbaue" bearbeitet 5. Juni 2015 von Oneil Zitieren Link zu diesem Kommentar
NilsK 2.969 Geschrieben 5. Juni 2015 Melden Teilen Geschrieben 5. Juni 2015 Moin, http://lmbtfy.com/?q=windows+certificate+signing+request Gruß, Nils Zitieren Link zu diesem Kommentar
Oneil 0 Geschrieben 5. Juni 2015 Autor Melden Teilen Geschrieben 5. Juni 2015 (bearbeitet) sicherheitshalber die console mit "run as administrator" starten Private Key erstellen: openssl genrsa 2048 > server.key ...und die Zertifikats-Anforderung: openssl req -new -sha256 -key ./server.key > request.csr die Abfragen wie Ort, Servername usw. entsprechend ausfüllen. und nun das ganze am CA Server signieren.(auch hier console "run as admin") certreq -submit -attrib "CertificateTemplate:WebServer" request.csr für den fall das es hier (wie bei mir) probleme gibt https://social.technet.microsoft.com/Forums/windowsserver/en-US/1db32fbd-3338-4cec-8cdb-7cedd7846830/cannot-create-new-certificates nun das cert und das key file im webserver einbinden fertig sooooo das ganze läuft nun soweit :-) zumindest im IE ... hat jemand ne ahnung wieso firefox noch rummeckert? oder sollte ich einfach etwas abwarten bis es richtig zieht? bearbeitet 5. Juni 2015 von Oneil Zitieren Link zu diesem Kommentar
Dukel 457 Geschrieben 5. Juni 2015 Melden Teilen Geschrieben 5. Juni 2015 Ist im Firefox das root Zertifikat installiert? Zitieren Link zu diesem Kommentar
Oneil 0 Geschrieben 5. Juni 2015 Autor Melden Teilen Geschrieben 5. Juni 2015 (bearbeitet) wenn ich es händisch mache alles top ... ich will aber das es automatisch geht :p aber wie es aussieht ein firefox ding :-( und ich muss noch eine gpo anlegen bearbeitet 5. Juni 2015 von Oneil Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 6. Juni 2015 Melden Teilen Geschrieben 6. Juni 2015 Firefox hat seinen eigenen Zertifikatsspeicher (wie auch Java), der interessiert sich nicht dafür, was im Windows-Store an CAs drin steht :) Zitieren Link zu diesem Kommentar
Doso 77 Geschrieben 7. Juni 2015 Melden Teilen Geschrieben 7. Juni 2015 Naja wenn du halt ein Zertifikat von einer richtigen CA kaufst, mit einem gültigen Domainnamen, dann vertraut dem auch Java, Firefox usw. - dann haste Probleme nicht. So teuer sind einfache single-server Zertifikate nun auch wieder nicht. Zitieren Link zu diesem Kommentar
Oneil 0 Geschrieben 7. Juni 2015 Autor Melden Teilen Geschrieben 7. Juni 2015 das ist richtig, aber dann müsste ich das system ja ins internet nehmen und das will ich eigentlich ehr weniger Zitieren Link zu diesem Kommentar
NorbertFe 2.099 Geschrieben 7. Juni 2015 Melden Teilen Geschrieben 7. Juni 2015 Warum müsste man das ins Internet nehmen? Zitieren Link zu diesem Kommentar
ChrisRa 42 Geschrieben 8. Juni 2015 Melden Teilen Geschrieben 8. Juni 2015 Der Client prüft den Zertifikatspfad. Dem ist egal ob die Domain, auf der das Zertifikat ausgestellt ist mit dem Internet verbunden ist. Zitieren Link zu diesem Kommentar
Oneil 0 Geschrieben 9. Juni 2015 Autor Melden Teilen Geschrieben 9. Juni 2015 das mag ja sein, aber korrigiert mich wenn ich mich irre, Client greift auf Domain zu -> via Internet -> Server nicht im Netz -> kein Zugriff davon abgesehen, kann ich die Domain zuordnung machen wenn die kiste nicht erreichbar ist? Zitieren Link zu diesem Kommentar
ChrisRa 42 Geschrieben 9. Juni 2015 Melden Teilen Geschrieben 9. Juni 2015 Ich verstehe dich nicht. Ein Zertifikat hat mit dem eigentlichen Zugriff erst einmal gar nichts zu tun. Das Zertifikat stellt nur sicher, dass du wirklich mit demjenigen verbunden bist als der er sich ausgibt. Wenn du ein Zertifikat anforderst, kannst du deine Domains angeben. Wenn du beispw. die Domain wiegehtdas.de besitzt und dein internes Netz intra.wiegehtdas.de heißt, lässt du das Zertifikat auf webserver.intra.wiegehtdas.de oder *.intra.wiegehtdas.de ausstellen. Die Clients haben Stammzertifikate. Hier sind die Stammzertifizierungsstellen angegeben. Der Client prüft nun, ob das Zertifikat von deinem Webserver von einer der Stammzertifizierungsstellen ausgestellt worden ist. Wenn ja -> Alles gut. Zitieren Link zu diesem Kommentar
Oneil 0 Geschrieben 9. Juni 2015 Autor Melden Teilen Geschrieben 9. Juni 2015 als beispiel die domain BW.de und intra ist bw-eu.net ,,, und da sehe ich halt mein problem bzw weshalb (ich denke) das der Server in die DMZ muss. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.