ComputerBase Menü
Aktuelles

[Windows Server 2012R2] IIS Zertifikat

MetalForLive

MetalForLive

Admiral
Registriert
Sep. 2011
Beiträge
8.113
Hi,

Ich habe im IIS eine HTTPS Seite erstellt, die läuft auch und ich komme über mein DynDNS drauf, allerdings kommt immer die Zertifikatswarnung.
Ich habe in IIS ein Zertifikat erstellt, habe es der Seite zugewiesen und habe es dann über die Export Funktion als .pfx (was anderes ging nicht) exportiert.
Dann habe ich das ganze Teil wieder importiert aber ich bekomme immer noch den Zertifikatsfehler.
Was mache ich da falsch ?
Habe leider noch nie was mit HTTPS gemacht und habe keine Erfahrung damit.
 
Zuletzt bearbeitet:
Der Rechner mit dem du auf den IIS zugreifst vertraut der Certificate Root Authority wahrscheinlich nicht. Oder hast du ein "öffentliches" Zertifikat gekauft?
 
Wurde das Zertifikat von dir selbst mit einer lokalen CA signiert?
Kommt die Verbindung zustande wenn du diese Meldung akzeptierst?
Um was für eine Zertifikatswarnung handelt es sich?
Punkt a) unter mir ist natürlich wichtig!
 
Zuletzt bearbeitet:
Hi,

das wird nur funktionieren wenn du:

a) auf dem Server im erstellten Zertifikat unter CN (common name) den Dyndns-Namen einträgst mit dem du die Seite aufrufst und
b) auf dem Client auf dem du die Seite aufrufst dieses Zertifikat unter "vertrauenswürdige Herausgeber" installierst.

Geht dann ohne Meldung aber nur mit dem Dyndns-Aufruf (per IP kommt wieder die Meldung weil IP ungleich Dyndns Name) und an den Clients auf denen das Zertifikat importiert ist.

Allgemein anerkannte Zertifikate wie bei großen Sites muss man für teuer Geld kaufen (Laufzeit meisst 1 oder 2 Jahre) z.B. bei Verisign.

Mein Tip: wenns nur der eine Client ist machs wie oben beschrieben, ansonsten lebe mit der Warnung.

Gruß,
d2boxSteve
 
Ja das es öffentliche CAs gibt wie Verisign weiß ich, allerdings wollte ich halt auf den Clients das Zertifikat installieren von denen aus die Site genutzt wird, ich dachte nicht dass es so umstädnlich wird.
Das mit dem CN muss ich dann mal testen .

Achso und ja das Zertifikat wurde natürlich von mir erstellt.
 
Für privat langt ein selbst unterschriebenes Zertifikat. Umständlich ist es auch nicht, man muss nur beachten, das der cn=meinedomain.de stimmt und dass das root-ca im Browser unter Vertrauenswürde Zertifizierungsstellen installiert ist.
 
@Helge01: wenn es ein self-signed Zertifikat mit passendem CN ist gibt es kein root-Zertifikat, dann muss nur dieses eine Zertifikat in vertrauenswürdige rein.
 
@d2boxSteve
Ich bin davon ausgegangen, dass man eine eigene CA erstellt hat und damit Zertifikate signiert. Dann muss das CA-Zertifikat in den Zertifikatsspeicher.

@MetalForLive
Als Tipp, ich würde an deiner Stelle xca verwenden. Das ist eine CA auf Basis von OpenSSL aber mit einer grafischen Oberfläche. Diese gibt es für Linux, Mac und Windows. Damit ist es äußerst leicht, Zertifikate mit einer eigenen CA zu erstellen.
 
Zuletzt bearbeitet:
Wart mal, muss ich die Active Directory Zertifikats Dienst Rolle installieren ?
 
Active Directory Zertifikats Dienste ist die Mircrosoft eigene CA .... muss nicht, könnte man.
Nimm lieber die Empfehlung von Helge, die MS CA ist recht "eigensinnig" und man muss sich viel einlesen bis das klappt (ich hab die selbst am laufen ...).
 
Also ich habe das Zertifikat mit Selfssl erstellt, es ist jetzt schon in IIS drinnen aber ich kann es nur als PFX mit Passwort exportieren.
Kann man es nicht noch anders irgendwie exportieren ?
Habe mir jetzt XCA Geladen und installiert, eig. müsste ich ja das Zertifikat dort importieren richtig ?
 
Hi,

der Aufwand mit exportieren macht doch nur Sinn wenn hier der common name dem dyndns Namen entspricht, ansonsten muss eh ein neues ausgestellt werden.
Das exportierte mit Passwort kannst du doch so auch bei den Clients mit dem Passwort in "vertrauenswürdige ..." doch auch importieren?

Gruß,
d2boxSteve

PS: XCA ist eine eigenständige CA .... mit der fängst du bei 0 an und legst zunächst das root-CA an, danach ein Zertifikat für deinen Webserver. Auf den Clients muss dann nur der public Teil der root-CA importiert werden (KLartextfile ohne Passwort) damit diese allen Zertifikaten dieser XCA vertrauen. Du kannst dann für mehrere Webserver/Devices Zertifikate erstellen.
 
Zuletzt bearbeitet:
Gibts dafür irgendwie eine Step By Step Anleitung ?
Ich finde nichts richtiges dazu.

Edit:
Ahh hab doch was gefunden

http://xca.sourceforge.net/xca-14.html
Ergänzung ()

Also ich erstelle jetzt erst mal das root Zertifikat, muss ich da auch schon bei common name mein dyndns eintragen ?
 
nein, die CA sollte im common name z.B. "cn=meineFirma" oder so stehen haben damit man das root Zertifikat einer Institution zuordnen kann. (z.B. Verisign-root-CA, deineFirma-root-CA, ...)

Danach im Zertifikat für den Webserver1 trägst du ein: cn=webserver1.dyndns.org, für Webserver2 dann cn=webserver2.dyndns.org usw.
Die Einzelzertifikate müssen im CN mit dem Aufrufnamen übereinstimmen.
 
Okay, habe das jetzt mal so nach der Anleitung erstellt und teste es jetzt mal.
Ergänzung ()

Ne irgendwie will er das nicht nehmen.
Habe es in vertrauenswürdige Stammzertifikate eingefügt und im Browser noch mal extra importiert.
Ergänzung ()

Ahhh ich bin auch blöd, habe es vergessen im Webserver als Bindung hinzu zu fügen *facepalm*


Irgendwie lässt es sich nicht als pfx exportieren und IIS nimmt nur pfx.
 
Zuletzt bearbeitet:
Mit p12 hats geklappt, allerdings will er das Zertifikat trotzdem nicht nehmen.

Um das richtig verstanden zu haben, ich erstelle das root Zertifikat und dann das Hostzertifikat in das ich auch als CN mein Dyndns eintrage.'

Ich erstelle es jetzt noch mal neu.
Im Root Zertifikat, was muss da bei CRL distribtion point eingetragen werden ?
Das habe ich nicht ganz verstanden.
 
Zuletzt bearbeitet:
allerdings will er das Zertifikat trotzdem nicht nehmen
Zum Vergrößern anklicken....
Kannst du das noch genauer beschreiben?

Um das richtig verstanden zu haben, ich erstelle das root Zertifikat und dann das Hostzertifikat in das ich auch als CN mein Dyndns eintrage.
Zum Vergrößern anklicken....
Das ist richtig, du erstellst erst ein Selbst signiertes Zertifikat (root-ca) und dann ein Serverzertifikat aber nicht selbst signiert, sondern "Verwende dieses Zertifikat zum Unterschreiben" (deine root-ca).
Unter Vorlage für das neue Zertifikat für das root-ca [default] CA und für das Serverzertifikat HTTPS_server auswählen.
 
Zuletzt bearbeitet:
CRL brauchst du nur konfigurieren wenn du Zertifikate vor deren Auslaufzeit sperren möchtest. Der Sperrvermerk steht dann in dieser URL.

Am Webserver muss natürlich zuvor das neue root Zertifikat rein, damit der Webserver es verifizieren kann ....
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

O
Einrichtung eines WebDAV-Servers unter Windows 11 Pro
2 3
Antworten
42
Aufrufe
1.786
OnlineMick
O
A
Ionos Domain: www.sub.domain.tld zu sub.domain.tld mit einem Zertifikat abdecken - Wildcard erforderlich?
Antworten
10
Aufrufe
695
_anonymous0815_
A
D
Verbindung unsicher: Ionos-Server Portweiterleitung zur NAS im Heimnetz
Antworten
9
Aufrufe
795
chrigu
chrigu
R
Beratung gesucht: OPNSense, NGINX, Synology DSM, DAV-Server, externe Erreichbarkeit
Antworten
11
Aufrufe
876
LieberNetterFlo
LieberNetterFlo
T
Nginx Proxy Manager zu Nginx Proxy Manager
Antworten
8
Aufrufe
724
sandreas
S
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz