none
Site im IIS auf SSL umstellen und Zertifikat erstellen RRS feed

  • Frage

  • Hallo zusammen,

    wir haben bei uns auf einem Windows Server 2019 Datacenter die IIS Rolle installiert und eine Software installiert, welche auch mehrere Sites erstellt hat, welche über den IIS Manager verwaltet werden können.

    Der Server hat eine statische IP-Adresse und es existieren zwei zusätzliche CNAME's, dessen DNS-Namen jeweils gleich der Hostnamen der Bindung der Sites sind.

    Nach der Installation sind die Bindungen dieser Sites defaultmäßig auf http konfiguriert, soll nun aber auf https umgestellt werden, also sollen die beiden URL's im Browser, welche im Hintergrund auf den gleichen virtuellen Server verweisen, über https aufgerufen werden.

    Wir haben in unserer Infrastruktur auch bereits eine installierte CA, allerdings sind mir die Konfigurationsschritte für die automatische Erstellung dieser (müssten ja eigentlich in dem Fall ja Webserver-Zertifikate sein?) nicht ganz transparent.

    Wäre für eine Schritt-für-Schritt Anleitung sehr dankbar.

    Also ich weiß, dass ich z.B. die CA, über den Browser auf dem betreffenden Server, über https://xxxxx/certsrv erreichen kann, allerdings fehlen mir hier glaub ich ein paar Optionen (ich bin aber als Domänen-Admin auf dem Server eingeloggt).

    Oder muss ich über das lokale SnapIn der Zertifikate (wenn ja Computer oder Benutzer?) auf dem Server gehen und dort dann eine Zertifikatsanforderung stellen? Womöglich würde ich für beide URL's, die ja im Namen etwas unterschiedlich sind ein Zertifikat nehmen wollen, wo beide URL's als DNS Namen im Zertifikat stehen.

    Oder muss ich auf der CA selbst gar eine eigene Vorlage erstellen und dort in den Sicherheitseinstellungen das Computerobjekt hinzufügen und entsprechende Rechte vergeben?




    • Bearbeitet useri2020 Dienstag, 19. Oktober 2021 09:08
    Dienstag, 19. Oktober 2021 09:06

Alle Antworten

  • Zertifikate werden auf dem Windowsserver native installiert.
    Im IIS kann man dann bei der Bindung auf HTTPS ein Zertifikat auswählen.
    Auf Browserseite ist nichts erforderlich, da die Bindung das Zertifikat dann verwendet.
    Du kannst für alle Sites dasselbe Zertifikat verwenden, das macht die Sache einfacher.

    Allerdings werden selbst erstellte Zertifkate eher selten von Browsern unterstützt.

    Alternativ kann man auch Lets Encrypt einbauen. Dies holt dann die benötigte Zertifakte selbsständig.

    Dienstag, 19. Oktober 2021 12:04
  • Um auf den Crosspost einzugehen sollte ein Root-Zertifikat ausreichen.
    Im IIS installiere ich mehrere Anwendungen immer unterhalb von Default-Site als App, so dass die Browseraufrufe ziemlich simpel aussehen:

    https://myServer.Domain.de/App1
    https://myServer.Domain.de/App2
    :

    Die Konfiguration ist insgesamt einfacher, da die Bindung auf der Default-Site bereits eingerichtet werden kann (nebst anderen Einstellungen).
    Die Prozesse können aber weiterhein durch App-Pools getrennt laufen.

    Dienstag, 19. Oktober 2021 13:11