none
Windows Server 2016 SSL Probleme RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    wir haben einen Windows Server 2016  im Einsatz und dieser rollt nach jedem Neustart unser Domain Certificate für nicht Domain Seiten aus. (Wir haben ein paar Domains die nicht eine subdomain von uns sind). Jede Webseite hat aber entsprechend Ihr eigenes gültiges Zertifikat. SNIs habe ich überprüft finde aber entsprechend den Fehler nicht.

    Ich habe in einem Beitrag (auf einer anderen Webseite) einen Tipp gesehen:

    Es wird nach dem neustart ein SSL Zertifikat auf die Bindung : <<IP>>:443 erstellt, welches ich manuell löschen kann was den Fehler behebt. (Zumindest übergangsweise).

    Ich möchte, aber nicht die ganze Zeit ein Zertifikat löschen geschweige denn mögliche Probleme durch das löschen verursachen.

    Wir verhindert man dieses ausrollen des Wildcard-Zertifikats bzw. gibt es eine Möglichkeit den IIS entsprechend zu prüfen woran es liegen könnte?

     Ich habe jetzt viel gesucht finde aber keine Lösung!

    Viele Grüße

    Flo

    Montag, 23. März 2020 07:02
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Moin,

    kannst Du das bitte noch mal beschreiben, es wird aus Deinem Post leider nicht ganz klar, was der Fehler ist. Was ich verstanden habe:

    • ihr habt einen IIS
    • auf dem gibt es mehrere Sites, die z.T. unter Namen erreichbar sein sollen, die nichts mit dem Domain-Namen eures AD zu tun haben
    • ihr rollt per Autoentrollment aus eurere internen PKI auf diese Maschine irgendwelche Zertifikate aus
    • Nach dem Reboot des Webservers sind die Bindungen nicht so, wie ihr sie braucht

    Soweit richtig? Und jetzt bitte konkret: was ist genau falsch? Vielleicht mit pseudonymisierten Beispielen, Screenshots wirst Du ja noch nicht posten dürfen...

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Montag, 23. März 2020 07:14
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo!

    Vielen Dank für die schnelle Antwort!

    Ja, sie haben es richitg verstanden.

    Nach einem Neustart wird für alle Webseiten des IIS unser WIldCard Zertifikat ausgerollt.

    Beispiel (Pseude):

    Wir haben eine Event seite https://abc.de, welche ein Let's Encrypt Zertifikat für die Domain nutzt. Wir haben auch unter anderem die Firmenseite oder auch Subdomains im Einsatz: https://event.firma.de.

    Nach einem neustart ergibt sich der Fehler auf allen nicht Firmendomain seiten, dass das Zertifikat nicht stimmt und es wird unser WildCard Firmen Zertifikat ausgerollt, also *.firma.de und nicht abc.de. 

    Nach löschen des IP gebunden Zertifikats wird jedoch wieder richtige Zertifikat ausgerolt. 

    Ich hoffe es konnte das ganze etwas verdeutlichen .

    Viele Grüße

    Flo 

    Montag, 23. März 2020 14:03
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    vermutlich verwendest Du das Wort "ausgerollt" recht willkürlich, daher die schlechte Verständlichkeit.

    Anscheinend geraten einfach nur Deine Bindungen durcheinander, "ausgerollt" wird da nichts. Du müsstest in den Event Logs Hinweise auf das Problem finden.

    Passiert das Phänomen nur beim Reboot des Servers oder reicht auch schon ein IISRESET, damit wieder das falsche Zertifikat gebunden ist? 

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Montag, 23. März 2020 15:59
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    dann möchte ich für die Falsche Terminologie um Entschuldigung bitten.

    Ein IISRESET reicht aus!

    Habe jetzt auch das Ereignis gefunden:

    HttpEvent ID - 15301

    Werde aber daraus nicht unbedingt schlau.

    Viele Grüße

    Flo

    Dienstag, 24. März 2020 12:25
    |