ADCS: nur SAN-Attribute werden ausgewertet

[Murf 10]

Hallo zusammen,

habe eine ADCS-Infrastruktur auf Basis Windows Server 2012 R2 implementiert.

Für die Webregistrierung habe ich ein Zertifikat über eine Kopie der Vorlage Webserver ausgestellt.

 

Als Antragsteller (Allgemeiner Name, CN) ist adcs01 eingetragen.

Als SAN-Attribut habe ich den FQDN angefügt: adcs01.mydomain.de

Das Zertifikat wird als gültig angesehen, wenn ich die cer-Datei im Explorer öffne.

 

Das Zertifikat ist im IIS unter der Bindung Port 443 hinterlegt.

Wenn ich jetzt mit dem Browser die Website aufrufe (https://adcs01/certsrv) wird die Fehlermeldung ausgegeben: "Das Sicherheitszertifikat dieser Website wurde für eine andere Adresse der Website ausgestellt".

Wenn ich den FQDN eintrage (https://adcs01.mydomain.de/certsrv) funktioniert der Aufruf ohne Probleme.

 

Habe das mit unterschiedlichen SAN-Attributen getestet, jeweils gleiches Phänomen, auch als Antragsteller den FQDN und im SAN nur den Hostname, es wird immer nur die Schreibweise vom IE akzeptiert, die im SAN-Attribut steht.

 

Auch certutil -verify zeigt mir an, dass das Zertifikat gültig ist.

Habe ich ggf. eine Konfiguration am IIS übersehen?

 

Bin für jeden Tipp dankbar!

 

VG, Bernhard

[NorbertFe 2.296]

Der cn muss lt. Rfc irgendwas ignoriert werden, wenn san definiert sind. Also im san einfach alle Namen eintragen.

[Murf 10]

Der cn muss lt. Rfc irgendwas ignoriert werden, wenn san definiert sind. Also im san einfach alle Namen eintragen.

echt? oh man...bin mir sicher, dass das in anderen Installationen bei mir aber schon funktionier hat.

Aber genau so hab ich mir jetzt mal beholfen - wollte das aber halt noch glatt ziehen.

werden dann alle anderen Felder (c, o, etc.) auch ignoriert? Weil die werden ja bei der ExtendedValidation m.W. auch mit hergenommen?

 

Danke!

[NorbertFe 2.296]

Natürlich nicht. Extended validation funktioniert ja doch ein wenig anders, als du hier andeutest.

bearbeitet 21. Februar 2016 von NorbertFe