PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Alternativer Name im Zertifikat?


Pana
2011-03-24, 16:47:16
Ich habe einen Server "server1.computer.de", der steht mit einem Bein im internen Netz und mit dem anderen Bein im Internet.

Für eine sichere HTTPS-Verbindung habe ich auf dem "server1.computer.de" ein (Web-Server) Zertifikat von der Unternehmens-Stammzertifizierungsstelle angefordert, natürlich ausgestellt für "Server1.computer.de".

Jetzt brauche ich noch einen öffentlichen DNS-Eintrag, damit meine Clients "server1.computer.de" finden. Ich will aber nicht, dass mein öffentlicher DNS-Eintrag den internen Namen meines Servers (also "server1") trägt.

Was kann ich da tun? Kann ich noch einen alternativen Namen in meinem Zertifikat konfigurieren? (z.B. "public.computer.de") Wenn ja: Wo und wie? Ich finde die Einstellungen nicht, falls es sie gibt. Oder muss ich einfach unter "Alternativer Name" DNS auswählen und dort meinen alternativen DNS-Eintrag hinterlegen?!

Versteht jemand was ich meine? ;(

redfalcon
2011-03-24, 16:57:09
Du könntest im DNS Eintrag einen Aliasnamen (CName) definieren, aber im Eintrag an sich steht dann trotzdem noch der Name deines Servers drin. Veröffentlichen brauchst du dann ja nur die Adresse des Aliaseintrages. Ob dann das Zertifikat auch für den Alias gültig ist, weiss ich nicht.

BoRaaS
2011-03-24, 17:05:54
Du kannst im nachhinein natürlich keinen Namen in das ausgestellte Zertifikat konfigurieren. Du mußt dir von eurer CA ein SAN Zertifikat ausstellen lassen.

Pana
2011-03-24, 17:29:04
Du kannst im nachhinein natürlich keinen Namen in das ausgestellte Zertifikat konfigurieren. Du mußt dir von eurer CA ein SAN Zertifikat ausstellen lassen.
ich bin die CA, ich kann mir ausstellen was ich will.

Allerdings habe ich gerade festgestellt, dass nur der Name im Zertifikat mit dem Namen des Servers identisch ist. Wie der DNS-Eintrag lautet, ist völlig irrelevant ... Wieder was gelernt.

PS: Oder ist das nur eine Laune in meiner Testumgebung?

PPS: Lol, ich brauche die die IP-HTTPS-Verbindung den Servernamen nicht im Cert.

sei laut+
2011-03-25, 10:34:49
Domainname und Zertifikatsname müssen passen.
Du kannst aber einfach ein wildcard.computer1.de Zertifikat ausstellen, dass würde dann server1.computer.de abdecken, als auch www.computer1.de.
http://www.adminlife.net/howtos/wildcard-ssl-zertifikat-mit-openssl-erstellen/

Sephiroth
2011-04-28, 18:00:11
Das Stichwort lautet SubjectAltName. Damit kannst du eben Alternativnamen angeben, wenn ein wildcard zertifikat nicht möglich ist.

Beispiel:
CN=www.foobar.com
SubjectAltName=www.foo.bar, web1.foobar.com

Eine Anleitung gibt es u.a. unter http://langui.sh/2009/02/27/creating-a-subjectaltname-sanucc-csr/
Die wichtigen Stellen der openssl.cnf sind
Variante 1

[ req ]
req_extensions = v3_req # The extentions to add to the self signed cert
[ v3_req ]
subjectAltName = @alt_names

[alt_names]
DNS.1 = www.foo.bar
DNS.2 = web1.foobar.com


bzw in 2. Variante

[ req ]
req_extensions = v3_req # The extentions to add to the self signed cert
[ v3_req ]
subjectAltName = DNS:www.foo.bar,DNS:web1.foobar.com