Jump to content

Site im IIS auf SSL umstellen und Zertifikat erstellen


Recommended Posts

Hallo zusammen,

wir haben bei uns auf einem Windows Server 2019 Datacenter die IIS Rolle installiert und eine Software installiert, welche auch mehrere Sites erstellt hat, welche über den IIS Manager verwaltet werden können.

Der Server hat eine statische IP-Adresse und es existieren zwei zusätzliche CNAME's, dessen DNS-Namen jeweils gleich der Hostnamen der Bindung der Sites sind.

Nach der Installation sind die Bindungen dieser Sites defaultmäßig auf http konfiguriert, soll nun aber auf https umgestellt werden, also sollen die beiden URL's im Browser, welche im Hintergrund auf den gleichen virtuellen Server verweisen, über https aufgerufen werden.

Wir haben in unserer Infrastruktur auch bereits eine installierte CA, allerdings sind mir die Konfigurationsschritte für die automatische Erstellung dieser (müssten ja eigentlich in dem Fall ja Webserver-Zertifikate sein?) nicht ganz transparent.

Wäre für eine Schritt-für-Schritt Anleitung sehr dankbar.

Also ich weiß, dass ich z.B. die CA, über den Browser auf dem betreffenden Server, über https://xxxxx/certsrv erreichen kann, allerdings fehlen mir hier glaub ich ein paar Optionen (ich bin aber als Domänen-Admin auf dem Server eingeloggt).

Oder muss ich über das lokale SnapIn der Zertifikate (wenn ja Computer oder Benutzer?) auf dem Server gehen und dort dann eine Zertifikatsanforderung stellen? Womöglich würde ich für beide URL's, die ja im Namen etwas unterschiedlich sind ein Zertifikat nehmen wollen, wo beide URL's als DNS Namen im Zertifikat stehen.

Oder muss ich auf der CA selbst gar eine eigene Vorlage erstellen und dort in den Sicherheitseinstellungen das Computerobjekt hinzufügen und entsprechende Rechte vergeben?

Link to post
vor 15 Minuten schrieb sd2019:

Oder muss ich auf der CA selbst gar eine eigene Vorlage erstellen und dort in den Sicherheitseinstellungen das Computerobjekt hinzufügen und entsprechende Rechte vergeben?

Wäre zu empfehlen. Neue Webservervorlage erstellen (sinnvollen Namen vergeben) und die entsprechenden Rechte für das Ausstellen vergeben. Wenns automatisch gehen soll, mußt du den Certificate Enrollment Agent per GPO konfigurieren. Im IIS brauchst du meines Wissens nach aber trotzdem noch einen Prozess, der das Zertifikat dann "automatisch" an die richtigen Sites bindet. Ob du das mit einem Zert oder mit mehreren erledigen willst, ist dir überlassen, technisch macht das keinen Unterschied.

Alternativ kann man natürlich auch mal beim Hersteller schauen ;)

https://docs.microsoft.com/en-us/iis/get-started/whats-new-in-iis-85/certificate-rebind-in-iis85

Link to post

@Dukel

der betreffende Kollege ist aktuell nicht verfügbar, soll ich zukünftig aber sowieso mit machen

 

@NorbertFe

und dann füge ich in der Vorlage wirklich das Computerobjekt des betreffenden Servers hinzu?
Und Anwendungsrichtlinie wäre dann Serverauthentifizierung?

Edited by sd2019
Link to post
vor 4 Minuten schrieb sd2019:

Und Anwendungsrichtlinie wäre dann Serverauthentifizierung?

Es ist ne Kopie der Webservervorlage und natürlich soll der Server bestätigen, wer er ist. ;)

vor 5 Minuten schrieb sd2019:

soll ich zukünftig aber sowieso mit machen

Wie wärs dann erstmal mit den Grundlagen, anstatt da jetzt "rumzufummeln"? ;) Es bietet sich an, für sowas eine Testmaschine mit Test-CA und Testclient aufzusetzen.

Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...