Aktionen

IIS SAN Zertifikat anfordern (Zertifikat mit mehreren Domänennamen)

Aus znilwiki

Nachfolgend ist beschrieben wie man ein SAN SSL Zertifikat unter Windows anfordert.
Ich zeige auch gleich wie man das mit einer eigenen Active-Directory Zertifizierungsstelle auch gleich genehmigt.
Natürlich kann die Anforderung aber auch an jeder anderen Zertifikatsstelle eingereicht werden.

Ein SAN Zertifikat ist ein SSL Zertifikat welches für mehr als einen DNS-Domänennamen gültig ist,
z.B. für

  • znil.net
  • mail.znil.net
  • webmail.znil.net

aber auch

  • links.de
  • rechts.com

wäre möglich.
Zunächst sichtbar ist der erste DNS-Name - in den Details des Zertifikat sieht man dann die weiteren gültigen Namen. (Kommt weiter unten auch noch)
Damit können alle halbwegs aktuellen Browser umgehen - nur sehr alte kennen das noch nicht.



Zertifikat anfordern

Management Controll starten, z.B. über Start -> Ausführen oder [WIN] + R und dann mmc eingeben.
IIS-SAN-Zertifikat-Windows-anfordern-und-importieren-001.png



Nun das Snap-In hinzufügen:
IIS-SAN-Zertifikat-Windows-anfordern-und-importieren-002.png



IIS-SAN-Zertifikat-Windows-anfordern-und-importieren-003.png



Wichtig: Es muss für das Computerkonto sein! (Wir wollen ja ein Webbrowser-Zertifikat)
IIS-SAN-Zertifikat-Windows-anfordern-und-importieren-004.png



IIS-SAN-Zertifikat-Windows-anfordern-und-importieren-005.png



IIS-SAN-Zertifikat-Windows-anfordern-und-importieren-006.png



Jetzt kommt die eigentliche Anforderung:
IIS-SAN-Zertifikat-Windows-anfordern-und-importieren-007.png



IIS-SAN-Zertifikat-Windows-anfordern-und-importieren-008.png



Je nachdem was Ihr schon auf euren System habt können hier auch mehr Optionen stehen - nehmt den markierten Eintrag
IIS-SAN-Zertifikat-Windows-anfordern-und-importieren-009.png



IIS-SAN-Zertifikat-Windows-anfordern-und-importieren-010.png



Nicht gleich zu erkennen - aber man kann diese kleinen weißen Kreise mit dem Doppelpfeil anklicken:
IIS-SAN-Zertifikat-Windows-anfordern-und-importieren-011.png



IIS-SAN-Zertifikat-Windows-anfordern-und-importieren-012.png



Der Anzeigename wird an anderer Stelle im Internet als *. empfohlen für den Namen der Hauptdomäne. Das bedeutet aber nicht das es ein Wildcard-Zertifikat wird - das müssten wir an anderer Stelle eintragen.
IIS-SAN-Zertifikat-Windows-anfordern-und-importieren-013.png



Der Allgemeine Name ist der erste Namen in der Liste - es sollte der Name der Hauptdomäne sein. Dieser Name wird also mit auf die Lister der gültigen Domänennamen gesetzt! Bitte beachten falls Ihr ein gekauftes Zertifikat einsetzt - da ist ja in der Regel die Anzahl der DNS Namen begrenzt (5 oder 10 z.B.)
IIS-SAN-Zertifikat-Windows-anfordern-und-importieren-014.png



Danach fügen wir unten bei den Alternativen Namen alle anderen DNS-Namen hinzu:
IIS-SAN-Zertifikat-Windows-anfordern-und-importieren-015.png



Weiter geht es auf dem Karteireiter Erweiterungen: IIS-SAN-Zertifikat-Windows-anfordern-und-importieren-016.png



Die Serverauthentifizierung muss es sein - es ist ja für einen Webserver
IIS-SAN-Zertifikat-Windows-anfordern-und-importieren-017.png



Weiter geht es auf dem Reiter Privater Schlüssel, hier müssen wir gleich 2.Punkte erweitern:
IIS-SAN-Zertifikat-Windows-anfordern-und-importieren-018.png



Ich würde unbedingt den privaten Schlüssel exportierbar machen - damit könnt Ihr das Zertifikat auch auf andere Server oder sogar auf Linux Server verschieben - sprich man hat eine Menge mehr Möglichkeiten:
IIS-SAN-Zertifikat-Windows-anfordern-und-importieren-019.png



IIS-SAN-Zertifikat-Windows-anfordern-und-importieren-020.png



Als Dateiendung könnt Ihr auch .txt nehmen - ich nehme hier wie viele andere .req für Request:
IIS-SAN-Zertifikat-Windows-anfordern-und-importieren-021.png



Wenn man diese Datei mit einem Text-Editor öffnet sieht diese z.B. so aus. Je nach dem wie eure Zertifizierungsstelle bzw. der Anbieter der SSL Zertifikate vorsieht müsst Ihr eine Datei einreichen oder den Text in ein Web-Formular kopieren. IIS-SAN-Zertifikat-Windows-anfordern-und-importieren-022.png




Zertifikatsanforderung bei einem Actice Directory-Zertifikatsdienst einreichen und genehmigen

Im einem Webbrowser (nehmt doch ausnahmsweise den Internet Explorer, bei Problemen lokal auf dem Server auf der Zertifikatsdienst installiert ist. Der Link ist

https://[Servername]/certsrv/

Dort folgt Ihr den Links wie folgt:
IIS-SAN-Zertifikat-Windows-anfordern-und-importieren-023.png



IIS-SAN-Zertifikat-Windows-anfordern-und-importieren-024.png



IIS-SAN-Zertifikat-Windows-anfordern-und-importieren-025.png



Hier müsst Ihr nun den Text aus der zuvor erzeugten Datei hineinkopieren:
IIS-SAN-Zertifikat-Windows-anfordern-und-importieren-026.png



Er hat die Anfrage angenommen - je nachdem wie euerer Zertifikatsdienst konfiguriert ist kann es sein das diese auch sofort genehmigt und euch zum Download zur Verfügung stellt.
Hier sehen wir das die Anforderungsnummer 9 ist:
IIS-SAN-Zertifikat-Windows-anfordern-und-importieren-027.png



Lokal auf dem Server auf der Zertifizierungsdienst installiert ist findet Ihr die Verwaltungskonsole unter

Start -> Verwaltung -> Zertifizierungsstelle

IIS-SAN-Zertifikat-Windows-anfordern-und-importieren-028.png
Wir sehen unsere Anforderung, hier 9, und können diese per Rechtsklick genehmigen.



Wieder Zurück auf die Start-Webseite und den Status abfragen:
IIS-SAN-Zertifikat-Windows-anfordern-und-importieren-029.png



Treffer - weiter geht es:
IIS-SAN-Zertifikat-Windows-anfordern-und-importieren-030.png



Je nach Konfiguration gibt es diese Warnung - JA!
IIS-SAN-Zertifikat-Windows-anfordern-und-importieren-031.png



Nein, ich kann nicht sagen welches Format besser geeignet ist - für die weiteren Schritte kommen wir aber prima mit DER-codiert klar:
IIS-SAN-Zertifikat-Windows-anfordern-und-importieren-032.png
Die Anforderung speichern wir nun an einem Ort unserer Wahl.

Wenn Ihr das Zertifikat bei einem Anbieter von SSL Zertifikaten einreicht läuft es im Prinzip genauso - Ihr sollten an dieser Stelle eine entsprechende Datei in Händen halten (sinngemäß)




Genehmigte Zertifikatsanforderung importieren

Wir gehen wieder in das Management Control (siehe ersten Abschnitt von der Anforderung) und wählen diesmal den Importieren-Vorgang:
IIS-SAN-Zertifikat-Windows-anfordern-und-importieren-033.png



IIS-SAN-Zertifikat-Windows-anfordern-und-importieren-034.png



IIS-SAN-Zertifikat-Windows-anfordern-und-importieren-035.png



Ja, "Eigene Zertifikate" ist richtig - es sind hier die Eigenen des Servers auf dem wir sind (Zur Erinnerung: Wir hatten ja Computerkonto bei der Einrichtung des MMC ausgewählt)
IIS-SAN-Zertifikat-Windows-anfordern-und-importieren-036.png



IIS-SAN-Zertifikat-Windows-anfordern-und-importieren-037.png



IIS-SAN-Zertifikat-Windows-anfordern-und-importieren-038.png



Und da ist es - nun kann es z.B. im IIS für Webseiten genutzt werden.
IIS-SAN-Zertifikat-Windows-anfordern-und-importieren-039.png



Wenn wir die Details aufrufen sehen wir zum einen das wir einen privaten Schlüssel besitzen (also der Computer):
IIS-SAN-Zertifikat-Windows-anfordern-und-importieren-040.png



Zum anderen sehen wir die weiteren DNS-Namen für die dieses Zertifikat gültig ist:
IIS-SAN-Zertifikat-Windows-anfordern-und-importieren-041.png



Wenn wir mit selbst signierten Zertifikaten arbeiten (also eigene Zertifizierungsstelle) müssen wir den Rechner dann nur das obere Zertifikat importieren (hier DC) - das ist auch länger gültig. Das lässt sich natürlich auch per GPO verteilen.
IIS-SAN-Zertifikat-Windows-anfordern-und-importieren-042.png



--Bernhard Linz 16:36, 10. Jan. 2013 (CET)


Loading comments...