5
SSL-Webserver-Wildcard-Zertifikate
Moin,
wer kann mir SSL-Webserver-Wildcard-Zertifikate bisschen erklären?
wir haben eine Domain draußen bei einem Dienstleister registiert. mustermax.org
Jetzt haben wir dahinter diverse Web FTP und SQL Server laufen.
Diese möchten wir mit einem Wildcard Zertifikat absichern.
Wir haben diverse subdomains angelegt und richtung unserer Server weiter geleitet. sub1.mustermax.org sub2.mustermax.org usw.
Die Server heißen aber anders sc01 sc02 usw. Außerdem sind diese in einer Domain die aber anders heißt.
Jetzt habe ich aber Probleme dieses Zertifikat was auf *.mustermax.org ausgestellt ist einzubauen.
Habe ich da was falsch gemacht, oder was muss ich berücksichtigen?
Wäre über euere Hilfe sehr dankbar.
Sind übrigens Win2012 Server
LG
wer kann mir SSL-Webserver-Wildcard-Zertifikate bisschen erklären?
wir haben eine Domain draußen bei einem Dienstleister registiert. mustermax.org
Jetzt haben wir dahinter diverse Web FTP und SQL Server laufen.
Diese möchten wir mit einem Wildcard Zertifikat absichern.
Wir haben diverse subdomains angelegt und richtung unserer Server weiter geleitet. sub1.mustermax.org sub2.mustermax.org usw.
Die Server heißen aber anders sc01 sc02 usw. Außerdem sind diese in einer Domain die aber anders heißt.
Jetzt habe ich aber Probleme dieses Zertifikat was auf *.mustermax.org ausgestellt ist einzubauen.
Habe ich da was falsch gemacht, oder was muss ich berücksichtigen?
Wäre über euere Hilfe sehr dankbar.
Sind übrigens Win2012 Server
LG
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 340817
Url: https://administrator.de/contentid/340817
Printed on: April 24, 2024 at 01:04 o'clock
5 Comments
Latest comment
Hi,
Wildcard-Zertifikate gelten nicht für Namen in Subdomains.
*.mustermax.org
--> www.mustermax.org --> OK
--> ftp.mustermax.org --> OK
--> www2.mustermax.org --> OK
--> www.sub1.mustermax.org --> Nicht OK
--> sub1.mustermax.org --> OK
E.
Wildcard-Zertifikate gelten nicht für Namen in Subdomains.
*.mustermax.org
--> www.mustermax.org --> OK
--> ftp.mustermax.org --> OK
--> www2.mustermax.org --> OK
--> www.sub1.mustermax.org --> Nicht OK
--> sub1.mustermax.org --> OK
E.
Das heißt?
wir wollen eine externe Domain mit Sub Domainen einbinden
sub01.mustermax.org zu der internen sub01.intern.local Weiterleitung erfolgt über IP
sub02.mustermax.org zu der internen sub02.intern.local Weiterleitung erfolgt über IP
Keine Ahnung ob das so geht oder was wir da machen müssen.
wir wollen eine externe Domain mit Sub Domainen einbinden
sub01.mustermax.org zu der internen sub01.intern.local Weiterleitung erfolgt über IP
sub02.mustermax.org zu der internen sub02.intern.local Weiterleitung erfolgt über IP
Keine Ahnung ob das so geht oder was wir da machen müssen.
sub01.mustermax.org zu der internen sub01.intern.local Weiterleitung erfolgt über IP
Reverse Proxy?Dann einfach Zertifikat auf den Reverse-Proxy packen, intern ist das Zertifikat dann egal, der Reverse-Proxy liefert die interne Seite mit dem externen Zertifikat aus, also alles kein Problem. Intern kann das Zertifikat der Gegenstelle auch selbst signiert sein, so lange der Reverse Proxy dem vertraut.
Gruß
Was Ihr da wie umleitet, ist eigentlich egal. Intressant ist nur, wie der Client darauf zugreift. Der Client ist es, der das Zertifikat nicht akzeptieren wird, wenn der Hostname nicht passt.
Wenn Du also einen Host www.sub01.intern.local hast auf welchen über sub01.mustermax.org zugegriffen wird, dann wird das Zertifikat wohl funktionieren.
Wenn Du also einen Host www.sub01.intern.local hast auf welchen über sub01.mustermax.org zugegriffen wird, dann wird das Zertifikat wohl funktionieren.
1
Hallo,
Domain oder Domäne?
Momentan verstehe ich das Problem nicht. Der Server liefert den Schlüssel, der zur öffentlichen Domain passt.
Der Client vergleicht den Schlüssel mit der Adresse, die *er* sieht. Das ist ebenfalls die öffentliche Domain.
Klassisches Beispiel: Mein E-Mail-Server heißt sbs2011.xyz.local - das Zertifikat, dass er über den IIS für 's OWA ausliefert, heißt autodiscover.meineexternedomain.tld und beinhaltet auch zusätzlich noch remote.meineexternedomain.tld
Eigentlich müsste "alles in Butter sein".
Und auch, wenn ein reverser Proxy sicherlich nicht stört - notwendig ist er nur dann, wenn zwei unterschiedliche Subdomains IP-basiert auf *einen* Server geleitet werden und Du das dort wieder namensbasiert auseinandertüddeln möchtest.
Gruß,
Jörg
Außerdem sind diese in einer Domain die aber anders heißt.
Domain oder Domäne?
Momentan verstehe ich das Problem nicht. Der Server liefert den Schlüssel, der zur öffentlichen Domain passt.
Der Client vergleicht den Schlüssel mit der Adresse, die *er* sieht. Das ist ebenfalls die öffentliche Domain.
Klassisches Beispiel: Mein E-Mail-Server heißt sbs2011.xyz.local - das Zertifikat, dass er über den IIS für 's OWA ausliefert, heißt autodiscover.meineexternedomain.tld und beinhaltet auch zusätzlich noch remote.meineexternedomain.tld
Eigentlich müsste "alles in Butter sein".
Und auch, wenn ein reverser Proxy sicherlich nicht stört - notwendig ist er nur dann, wenn zwei unterschiedliche Subdomains IP-basiert auf *einen* Server geleitet werden und Du das dort wieder namensbasiert auseinandertüddeln möchtest.
Gruß,
Jörg
