Wildcard-Zertifikate von einer AD-Zertifizierungsstelle anfordern

    Verschlüsselte Verbindung Benötigt man Zertifikate für eine Server-Farm, dann möchte man tunlichst nicht ein eigenes für jeden Host erwerben. Als Lösung bietet sich daher entweder die Verwendung von SAN- oder Wildcard-Zertifikaten an. Beide kann man auch über die CA des Active Directory ausstellen.

    Grundsätzlich können Zertifikate sowohl mit Subject Alternative Names als auch mit Wildcards die Verbindungen zu mehreren Rechnern absichern. Die Verwendung von Wildcards empfiehlt sich immer dann, wenn ein Zertifikat für Server ausgestellt werden soll, die der gleichen Domäne oder Subdomäne angehören. Dagegen sind SAN-Zertifikate in der Lage, die Identität von Hosts in verschiedenen Domänen zu belegen.

    Wildcard immer nur für eine Subdomäne

    Wildcard-Zertifikate gelten somit immer nur auf der Ebene einer Domäne oder Subdomäne, also zum Beispiel *.contoso.com oder *.www.contoso.com. Ist es auf *.contoso.com ausgestellt, dann deckt es also weder host-1.www.contoso.com noch die root-Domäne (contoso.com) selbst ab. Dieser Einschränkung von Wildcard-Zertifikaten steht der Vorteil gegenüber, dass man sie unverändert auf neu hinzukommende Server übernehmen kann.

    Wildcard-Zertifikat

    Im Gegensatz dazu lassen sich SAN-Zertifikate so ausstellen, dass sie Server aus mehreren verschiedenen (Sub-)Domänen enthalten. Verwendet man für Subject Alternative Names nur FQDNs von Hosts, dann muss man das Zertifikat jedes Mal aktualisieren, wenn man es für weitere Rechner benötigt. Um die Vorzüge beider Varianten zu kombinieren, erlaubt die IETF-Spezifikation RFC 2818 auch die Verwendung von Wildcards für Subject Alternative Names.

    Anforderung über MMC-Snapin

    Die Anforderung eines Wildcard-Zertifikats für die Server-Authentifizierung erfolgt nach dem gleichen Muster wie jene von SAN-Zertifikaten (siehe dazu meine Anleitung). Der Vorgang beginnt mit dem Hinzufügen des Zertifikat-Snapin zu mmc.exe und der Auswahl einer passenden Vorlage.

    Das Template Webserver eignet sich generell für die Server-Authentifizierung.

    Soll ein Wildcard-Zertifikat nur eine Subdomäne abdecken, dann reicht es, wenn man das entsprechende Muster als Allgemeinen Namen des Antragstellers eingibt. Benötigt man das Zertifikat jedoch für mehrere Hosts oder Subdomänen, dann gibt man diese als Alternative Namen (DNS) ein, wobei man bei Bedarf auch Wildcards benutzt. Der Allgemeine Name dient dann nur der Rückversicherung, falls die SAN-Erweiterungen nicht unterstützt werden.

    Auf der Registerkarte Antragsteller kann man auch Wildcards als alternative Namen eingeben.

    Es langt also nicht, eine Subdomäne nur beim Antragsteller einzutragen, vielmehr muss man sie zusätzlich bei den Alternativen Namen eingeben. Vor dem Abschicken des Requests soll man nicht vergessen, dass der private Schlüssel als exportierbar markiert werden soll.

    Um das Zertifikat auf anderen Maschinen importieren zu können, muss man den privaten Schlüssel exportierbar machen.

    Alternatives Vorgehen mittels IIS Manager

    In den meisten Fällen wird man im Zertifikat-Snapin der MMC das Webserver-Template verwenden, um etwa SSL-Zertifikate für die IIS oder die Remote Desktop Services anzufordern. Alternativ lässt sich diese Aufgabe auch über den IIS Manager erledigen, die entsprechende Anleitung dafür findet sich im TechNet.

    1 Kommentar

    Bild von Andi Sichel
    Andi Sichel sagt:
    1. Oktober 2014 - 15:29

    Danke für den Beitrag. Ergänzend dazu folgendes:

    http://blog.asichel.de/san-zertifikate-ueber-zertifizierungsstellen-webr...

    Andi