bigthe 5 Geschrieben 5. Juli 2024 Melden Geschrieben 5. Juli 2024 (bearbeitet) Hallo Zusammen, ich habe einen WSUS umgestellt auf SSL. Funktioniert auch mit allen Servern innerhalb der Domäne. Der WSUS ist in der Domäne Mit den Servern in der DMZ gibt es leider Probleme. Ich habe das Self Signed Certificate was ich auf dem WSUS für SSL erstellt habe auf den Servern in der DMZ in die Ordner "Trusted Root Certificate Authority" und "Trusted Publishers" installiert. Dennoch scheint es Zertifikatsprobleme zu geben. 0x800b010f dieser Fehler wirft das Update. DNS funktioniert leider bei uns in der DMZ nicht. Das zertifikat ist auf FQDN augestellt, weshalb ich denke das es damit Probleme gibt. Gibt es eine Möglichkeit den Servern in der DMZ den FQDN vom WSUS mitzuteilen? Known Hosts zb? Wie würdet ihr hier vorgehen? Ich würde mich über Ratschläge/Tipps freuen. Vielen Dank. bearbeitet 5. Juli 2024 von bigthe Zitieren
NorbertFe 2.175 Geschrieben 5. Juli 2024 Melden Geschrieben 5. Juli 2024 vor 7 Minuten schrieb bigthe: DNS funktioniert leider bei uns in der DMZ nicht. Das zertifikat ist auf FQDN augestellt, Und da bist du beim Fehler und die Host Datei wäre eine Lösungsmöglichkeit. Definitiv davon absehen, würde ich, die IP Adresse ins Zertifikat zu pinseln. ;) Zitieren
testperson 1.761 Geschrieben 5. Juli 2024 Melden Geschrieben 5. Juli 2024 Hi, err.exe 0x800b010f # for hex 0x800b010f / decimal -2146762481 CERT_E_CN_NO_MATCH winerror.h # The certificate's CN name does not match the passed value. # 1 matches found for "0x800b010f" Die Hosts in der DMZ werden ja irgendeinen DNS Server nutzen. Erstelle da eine passende Hostzone für den WSUS oder nimm notfalls die Hosts-Datei (und dokumentiere das!). Gruß Jan Zitieren
bigthe 5 Geschrieben 5. Juli 2024 Autor Melden Geschrieben 5. Juli 2024 Hallo Zusammen, es handelt sich um 12 Server in der DMZ diese sind nicht verbunden mit dem DNS und nutzen einen öffentlichen DNS. Bin neu in der Firma und kannte das so auch nicht. Wäre es eventuell sinnvoller mit einen Load Balancer zu arbeiten und über LDAPs die Server mit dem AD/DNS zu verbinden? Zitieren
NorbertFe 2.175 Geschrieben 5. Juli 2024 Melden Geschrieben 5. Juli 2024 Es hat ja meist einen Grund, warum man in der DMZ nicht alle internen Hosts/Zonen auflösen lassen will. Also entweder man entscheidet sich dazu, das irgendwie zuzulassen, oder muss dann eigenen DNS mit den entsprechenden Zonen in der DMZ nutzen mit Forwarding auf externe DNS oder eben die Host Datei. Zitieren
Dukel 461 Geschrieben 5. Juli 2024 Melden Geschrieben 5. Juli 2024 Oder man stellt einen eigenen WSUS Server in die DMZ. Zitieren
bigthe 5 Geschrieben 5. Juli 2024 Autor Melden Geschrieben 5. Juli 2024 Mit angepasster Host Datei läuft es, thx :) Was ich nicht so elegant finde ist das das Zertifikat nach 1 Jahr abläuft. Das hiesse das ich allen 12 Servern jedes Jahr ein neues Zertifikat zuweisen müsste. Gerade eben schrieb Dukel: Oder man stellt einen eigenen WSUS Server in die DMZ. Das hatte ich auch überlegt aber wegen 12 Servern und es müsste überhaupt erstmal eine DNS Zone eingerichtet werden. Aktuell stehen alle Server als Standalone in workgroups Zitieren
testperson 1.761 Geschrieben 5. Juli 2024 Melden Geschrieben 5. Juli 2024 Option 1) Nimm das in Kauf (Das dürfte keine Stunde Arbeit sein) Option 2) Stell das Zertifikat doch für 2 Jahre aus ;) Option 3) Bediene dich bei einer vertrauenswürdigen öffentlichen Zertifizierungsstelle und kaufe ein Zertifikat Zitieren
NorbertFe 2.175 Geschrieben 5. Juli 2024 Melden Geschrieben 5. Juli 2024 (bearbeitet) vor 3 Minuten schrieb testperson: Option 2) Stell das Zertifikat doch für 2 Jahre aus ;) Dürfte wohl die zu bevorzugende Variante sein. bearbeitet 5. Juli 2024 von NorbertFe Zitieren
bigthe 5 Geschrieben 5. Juli 2024 Autor Melden Geschrieben 5. Juli 2024 Ich bin ein Freund der Automatisierung. Ich muss mal mit dem Vorgesetzten reden, noch bin ich nicht lange genug in der Firma um das einschätzen zu können ob die Server in der DMZ wirklich so streng getrennt sein müssen. Eventuell wäre es eine Möglichkeit diese mittels proxy(load balancer und LDAPs zu verbinden. Dann hätte ich dieses Problem gar nicht. Die andere Lösung das Zertifikat eben länger auszustellen fände ich auch erstmal zum Übergang die richtige. Eventuell klärt sich alles oder eben nicht dann muss ich dokumnetieren und alle Jahre wieder ran, was ich nicht so cool finden würde. Vielen Dank fürs zuhören und eure Tipps :) Zitieren
NorbertFe 2.175 Geschrieben 5. Juli 2024 Melden Geschrieben 5. Juli 2024 vor 4 Minuten schrieb bigthe: LDAPs zu verbinden. Was genau hilft dir jetzt LDAP in diesem Problemfall? Es ging doch um DNS und Zertifikatsnamen. Zitieren
Dukel 461 Geschrieben 5. Juli 2024 Melden Geschrieben 5. Juli 2024 Man möchte eigendlich nicht mit einzelnen Self-Signet Zertifikaten arbeiten. Man möchte eine CA (eigene oder fremde) nutzen. Dort vertraut man dem Root Zertifikat und dieses ist idr mehrere Jahre gültig. In der Zeit können die Zertifikate, die damit ausgestellt wurden, beliebig getauscht werden ohne an allen Systemen etwas zu ändern. Zitieren
testperson 1.761 Geschrieben 5. Juli 2024 Melden Geschrieben 5. Juli 2024 (Bevor ich mir nur für diesen Zweck bzw. eine Hand voll interner "Webserver" eine PKI ans Bein binde, kann ich sehr gut mit self-signed leben. :) Alternativ halt passende Zertifikate kaufen oder einen Dienst à la Let's Encrypt implementieren.) Zitieren
bigthe 5 Geschrieben 17. Juli 2024 Autor Melden Geschrieben 17. Juli 2024 Hallo Zusammen, ich hatte letzte Woche die Lösung und zwar nehme ich ein Domänen Zertifikat, dann muss ich nur die Root CA den DMZ Servern mitgeben. Das Domänen Zertifikat kann ich leicht erneuern. Die Root CA ist ja etwas länger gültig. LG Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.