WSUS nach SSL Umstellung Probleme mit Servern in DMZ

[bigthe 5]

Hallo Zusammen,

ich habe einen WSUS umgestellt auf SSL. Funktioniert auch mit allen Servern innerhalb der Domäne. Der WSUS ist in der Domäne

Mit den Servern in der DMZ gibt es leider Probleme. Ich habe das Self Signed Certificate was ich auf dem WSUS für SSL erstellt habe auf den Servern in der DMZ in die Ordner "Trusted Root Certificate Authority" und "Trusted Publishers" installiert. Dennoch scheint es Zertifikatsprobleme zu geben.

0x800b010f dieser Fehler wirft das Update.

DNS funktioniert leider bei uns in der DMZ nicht. Das zertifikat ist auf FQDN augestellt, weshalb ich denke das es damit Probleme gibt.  Gibt es eine Möglichkeit den Servern in der DMZ den FQDN vom WSUS mitzuteilen? Known Hosts zb?

Wie würdet ihr hier vorgehen?

Ich würde mich über Ratschläge/Tipps freuen.

Vielen Dank.

bearbeitet 5. Juli von bigthe

[NorbertFe 1.968]

vor 7 Minuten schrieb bigthe:

DNS funktioniert leider bei uns in der DMZ nicht. Das zertifikat ist auf FQDN augestellt,

Und da bist du beim Fehler und die Host Datei wäre eine Lösungsmöglichkeit. Definitiv davon absehen, würde ich, die IP Adresse ins Zertifikat zu pinseln. ;)

[testperson 1.618]

Hi,

 

err.exe 0x800b010f
# for hex 0x800b010f / decimal -2146762481
  CERT_E_CN_NO_MATCH                                             winerror.h
# The certificate's CN name does not match the passed value.
# 1 matches found for "0x800b010f"

 

Die Hosts in der DMZ werden ja irgendeinen DNS Server nutzen. Erstelle da eine passende Hostzone für den WSUS oder nimm notfalls die Hosts-Datei (und dokumentiere das!).

 

Gruß

Jan

[bigthe 5]

Hallo Zusammen,

 

es handelt sich um 12 Server in der DMZ diese sind nicht verbunden mit dem DNS und nutzen einen öffentlichen DNS. Bin neu in der Firma und kannte das so auch nicht.

 

Wäre es eventuell sinnvoller mit einen Load Balancer zu arbeiten und über LDAPs die Server mit dem AD/DNS zu verbinden?

[NorbertFe 1.968]

Es hat ja meist einen Grund, warum man in der DMZ nicht alle internen Hosts/Zonen auflösen lassen will. Also entweder man entscheidet sich dazu, das irgendwie zuzulassen, oder muss dann eigenen DNS mit den entsprechenden Zonen in der DMZ nutzen mit Forwarding auf externe DNS oder eben die Host Datei.

[Dukel 448]

Oder man stellt einen eigenen WSUS Server in die DMZ.

[bigthe 5]

Mit angepasster Host Datei läuft es, thx :)

 

Was ich nicht so elegant finde ist das das Zertifikat nach 1 Jahr abläuft. Das hiesse das ich allen 12 Servern jedes Jahr ein neues Zertifikat zuweisen müsste.

Gerade eben schrieb Dukel:

Oder man stellt einen eigenen WSUS Server in die DMZ.

Das hatte ich auch überlegt aber wegen 12 Servern und es müsste überhaupt erstmal eine DNS Zone eingerichtet werden. Aktuell stehen alle Server als Standalone in workgroups

[testperson 1.618]

Option 1) Nimm das in Kauf (Das dürfte keine Stunde Arbeit sein)

Option 2) Stell das Zertifikat doch für 2 Jahre aus ;)

Option 3) Bediene dich bei einer vertrauenswürdigen öffentlichen Zertifizierungsstelle und kaufe ein Zertifikat

[NorbertFe 1.968]

vor 3 Minuten schrieb testperson:

Option 2) Stell das Zertifikat doch für 2 Jahre aus ;)

Dürfte wohl die zu bevorzugende Variante sein.

 

 

bearbeitet 5. Juli von NorbertFe

[bigthe 5]

Ich bin ein Freund der Automatisierung. Ich muss mal mit dem Vorgesetzten reden, noch bin ich nicht lange genug in der Firma um das einschätzen zu können ob die Server in der DMZ wirklich so streng getrennt sein müssen.

Eventuell wäre es eine Möglichkeit diese mittels proxy(load balancer und LDAPs zu verbinden. Dann hätte ich dieses Problem gar nicht.

 

Die andere Lösung das Zertifikat eben länger auszustellen fände ich auch erstmal zum Übergang die richtige. Eventuell klärt sich alles oder eben nicht dann muss ich dokumnetieren und alle Jahre wieder ran, was ich nicht so cool finden würde.

 

Vielen Dank fürs zuhören und eure Tipps :)

[NorbertFe 1.968]

vor 4 Minuten schrieb bigthe:

LDAPs zu verbinden.

Was genau hilft dir jetzt LDAP in diesem Problemfall? Es ging doch um DNS und Zertifikatsnamen.

[Dukel 448]

Man möchte eigendlich nicht mit einzelnen Self-Signet Zertifikaten arbeiten.

Man möchte eine CA (eigene oder fremde) nutzen. Dort vertraut man dem Root Zertifikat und dieses ist idr mehrere Jahre gültig. In der Zeit können die Zertifikate, die damit ausgestellt wurden, beliebig getauscht werden ohne an allen Systemen etwas zu ändern.

[testperson 1.618]

(Bevor ich mir nur für diesen Zweck bzw. eine Hand voll interner "Webserver" eine PKI ans Bein binde, kann ich sehr gut mit self-signed leben. :) Alternativ halt passende Zertifikate kaufen oder einen Dienst à la Let's Encrypt implementieren.)

[bigthe 5]

Hallo Zusammen,

 

ich hatte letzte Woche die Lösung und zwar nehme ich ein Domänen Zertifikat, dann muss ich nur die Root CA den DMZ Servern mitgeben. Das Domänen Zertifikat kann ich leicht erneuern. Die Root CA ist ja etwas länger gültig.

 

LG