Site im IIS auf SSL umstellen und Zertifikat erstellen

sd2019 · 19. Oktober 2021

Hallo zusammen,

wir haben bei uns auf einem Windows Server 2019 Datacenter die IIS Rolle installiert und eine Software installiert, welche auch mehrere Sites erstellt hat, welche über den IIS Manager verwaltet werden können.

Der Server hat eine statische IP-Adresse und es existieren zwei zusätzliche CNAME's, dessen DNS-Namen jeweils gleich der Hostnamen der Bindung der Sites sind.

Nach der Installation sind die Bindungen dieser Sites defaultmäßig auf http konfiguriert, soll nun aber auf https umgestellt werden, also sollen die beiden URL's im Browser, welche im Hintergrund auf den gleichen virtuellen Server verweisen, über https aufgerufen werden.

Wir haben in unserer Infrastruktur auch bereits eine installierte CA, allerdings sind mir die Konfigurationsschritte für die automatische Erstellung dieser (müssten ja eigentlich in dem Fall ja Webserver-Zertifikate sein?) nicht ganz transparent.

Wäre für eine Schritt-für-Schritt Anleitung sehr dankbar.

Also ich weiß, dass ich z.B. die CA, über den Browser auf dem betreffenden Server, über https://xxxxx/certsrv erreichen kann, allerdings fehlen mir hier glaub ich ein paar Optionen (ich bin aber als Domänen-Admin auf dem Server eingeloggt).

Oder muss ich über das lokale SnapIn der Zertifikate (wenn ja Computer oder Benutzer?) auf dem Server gehen und dort dann eine Zertifikatsanforderung stellen? Womöglich würde ich für beide URL's, die ja im Namen etwas unterschiedlich sind ein Zertifikat nehmen wollen, wo beide URL's als DNS Namen im Zertifikat stehen.

Oder muss ich auf der CA selbst gar eine eigene Vorlage erstellen und dort in den Sicherheitseinstellungen das Computerobjekt hinzufügen und entsprechende Rechte vergeben?

NorbertFe · 19. Oktober 2021

vor 15 Minuten schrieb sd2019:

Oder muss ich auf der CA selbst gar eine eigene Vorlage erstellen und dort in den Sicherheitseinstellungen das Computerobjekt hinzufügen und entsprechende Rechte vergeben?

Wäre zu empfehlen. Neue Webservervorlage erstellen (sinnvollen Namen vergeben) und die entsprechenden Rechte für das Ausstellen vergeben. Wenns automatisch gehen soll, mußt du den Certificate Enrollment Agent per GPO konfigurieren. Im IIS brauchst du meines Wissens nach aber trotzdem noch einen Prozess, der das Zertifikat dann "automatisch" an die richtigen Sites bindet. Ob du das mit einem Zert oder mit mehreren erledigen willst, ist dir überlassen, technisch macht das keinen Unterschied.

Alternativ kann man natürlich auch mal beim Hersteller schauen ;)

https://docs.microsoft.com/en-us/iis/get-started/whats-new-in-iis-85/certificate-rebind-in-iis85

Dukel · 19. Oktober 2021

Wer verwaltet denn die CA bei euch?

Der kann dir sicher sagen, wie man ein Webserver Zertifikat ausstellt, bevor man irgendwelche Änderungen durchführt.

sd2019 · 19. Oktober 2021

@Dukel

der betreffende Kollege ist aktuell nicht verfügbar, soll ich zukünftig aber sowieso mit machen

@NorbertFe

und dann füge ich in der Vorlage wirklich das Computerobjekt des betreffenden Servers hinzu?
Und Anwendungsrichtlinie wäre dann Serverauthentifizierung?

bearbeitet 19. Oktober 2021 von sd2019

NorbertFe · 19. Oktober 2021

vor 4 Minuten schrieb sd2019:

Und Anwendungsrichtlinie wäre dann Serverauthentifizierung?

Es ist ne Kopie der Webservervorlage und natürlich soll der Server bestätigen, wer er ist. ;)

vor 5 Minuten schrieb sd2019:

soll ich zukünftig aber sowieso mit machen

Wie wärs dann erstmal mit den Grundlagen, anstatt da jetzt "rumzufummeln"? ;) Es bietet sich an, für sowas eine Testmaschine mit Test-CA und Testclient aufzusetzen.