Zum Inhalt wechseln


Foto

ADCS: nur SAN-Attribute werden ausgewertet

Windows Server 2012 R2 IIS

  • Bitte melde dich an um zu Antworten
3 Antworten in diesem Thema

#1 Murf

Murf

    Junior Member

  • 77 Beiträge

 

Geschrieben 21. Februar 2016 - 13:03

Hallo zusammen,

habe eine ADCS-Infrastruktur auf Basis Windows Server 2012 R2 implementiert.

Für die Webregistrierung habe ich ein Zertifikat über eine Kopie der Vorlage Webserver ausgestellt.

 

Als Antragsteller (Allgemeiner Name, CN) ist adcs01 eingetragen.

Als SAN-Attribut habe ich den FQDN angefügt: adcs01.mydomain.de

Das Zertifikat wird als gültig angesehen, wenn ich die cer-Datei im Explorer öffne.

 

Das Zertifikat ist im IIS unter der Bindung Port 443 hinterlegt.

Wenn ich jetzt mit dem Browser die Website aufrufe (https://adcs01/certsrv) wird die Fehlermeldung ausgegeben: "Das Sicherheitszertifikat dieser Website wurde für eine andere Adresse der Website ausgestellt".

Wenn ich den FQDN eintrage (https://adcs01.mydomain.de/certsrv) funktioniert der Aufruf ohne Probleme.

 

Habe das mit unterschiedlichen SAN-Attributen getestet, jeweils gleiches Phänomen, auch als Antragsteller den FQDN und im SAN nur den Hostname, es wird immer nur die Schreibweise vom IE akzeptiert, die im SAN-Attribut steht.

 

Auch certutil -verify zeigt mir an, dass das Zertifikat gültig ist.

Habe ich ggf. eine Konfiguration am IIS übersehen?

 

Bin für jeden Tipp dankbar!

 

VG, Bernhard


"Es gibt 2 Dinge die unendlich sind: Das Universum und die menschliche Dummheit, aber beim Universum bin ich mir nicht sicher."
- Albert Einstein

#2 NorbertFe

NorbertFe

    Expert Member

  • 30.924 Beiträge

 

Geschrieben 21. Februar 2016 - 14:35

Der cn muss lt. Rfc irgendwas ignoriert werden, wenn san definiert sind. Also im san einfach alle Namen eintragen.

Make something i***-proof and they will build a better i***.


#3 Murf

Murf

    Junior Member

  • 77 Beiträge

 

Geschrieben 21. Februar 2016 - 17:04

Der cn muss lt. Rfc irgendwas ignoriert werden, wenn san definiert sind. Also im san einfach alle Namen eintragen.

echt? oh man...bin mir sicher, dass das in anderen Installationen bei mir aber schon funktionier hat.

Aber genau so hab ich mir jetzt mal beholfen - wollte das aber halt noch glatt ziehen.

werden dann alle anderen Felder (c, o, etc.) auch ignoriert? Weil die werden ja bei der ExtendedValidation m.W. auch mit hergenommen?

 

Danke!


"Es gibt 2 Dinge die unendlich sind: Das Universum und die menschliche Dummheit, aber beim Universum bin ich mir nicht sicher."
- Albert Einstein

#4 NorbertFe

NorbertFe

    Expert Member

  • 30.924 Beiträge

 

Geschrieben 21. Februar 2016 - 17:55

Natürlich nicht. Extended validation funktioniert ja doch ein wenig anders, als du hier andeutest.

Bearbeitet von NorbertFe, 21. Februar 2016 - 17:55.

Make something i***-proof and they will build a better i***.




Auch mit einem oder mehreren der folgenden Tags versehen: Windows Server 2012 R2, IIS