Was sind Multidomain Zertifikate?: Unterschied zwischen den Versionen
Keine Bearbeitungszusammenfassung |
|||
(19 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
'''Multidomain SSL Zertifikate''' sind SSL Zertifikate, die um spezielle Merkmale erweitert wurden, um neben dem [[Common Name]] für weitere Domainnamen zu gelten, so dass eine fehlerfreie Verwendung in Browsern möglich ist. | '''Multidomain SSL Zertifikate''' sind SSL Zertifikate, die um spezielle Merkmale erweitert wurden, um neben dem [[Common Name]] für weitere Domainnamen zu gelten, so dass eine fehlerfreie Verwendung in Browsern möglich ist. | ||
= Unterschiede zum normalen SSL Zertifikat = | |||
Bei einem SAN oder Multidomain Zertifikat wird der distinguished Name (DN) um Subject Alternative Names erweitert. Mit dem Präfix DNS: wird den auswertenden Clients mitgeteilt, dass es sich hier um Servernamen handelt. | |||
Beim Erzeugen des Zertifikates bzw. schon wenn der CSR generiert wird, können diese Merkmale als x509v3 Erweiterungen hinterlegt werden. | |||
[[Bild:csr1.san.png|400px|thumb|center|SAN CSR mit X509v3 SubjectAltNames ]] | |||
= Einsatzmöglichkeiten = | |||
Multidomain SSL Zertifikate finden vor allem dort Verwendung, wo es technisch zwingend notwendig ist, mit einem Zertifikat mehrere Domainnamen abzudecken. Neben dem technischen Aspekt gibt es noch den Kostenfaktor als Grund, in der Regel ist ein Multidomain SSL Zertifikat günstiger als ein vergleichbares Wildcard SSL Zertifikat. | |||
== IIS und MS Exchange == | |||
Multidomain SSL Zertifikate erfreuen sich vor allem im Microsoft Exchange Umfeld einer großen Beliebtheit, da es möglich ist mit einem Zertifikat alle über SSL zur Verfügung stehenden Dienste zu sichern, ohne dass es zu unliebsamen Warnungen von Browsern oder Outlook kommt. | |||
Da das CA/Browser Forum den Einsatz von internen Hostnamen (.local etc.) abschafft, kommt es vermehrt zu Problemen bei der Ausstellung und dem späteren Einsatz. Inzwischen gibt es aber gut dokumentierte Workarounds bzw. Lösungen, wie Exchange Installationen intern auf reguläre Hostnamen umgestellt werden können. | |||
== Webhosting == | |||
Multidomain SSL Zertifikate bieten sich ebenfalls für den Betrieb von Webservern an, wo es darum geht, eine Reihe von Diensten über SSL/TLS anzubieten. So lassen sich beispielsweise die Hostnamen für Webseite, POP3 und SMTP Server in dem Zertifikat hinterlegen. Vor der SNIE Erweiterung des SSL Moduls für den Apache Webserver waren Multidomain SSL Zertifikate außerdem der einzige Weg, über die selbe IP Adresse mehrere Webseiten | |||
= Notwendige Vorbereitungen = | = Notwendige Vorbereitungen = | ||
Zeile 11: | Zeile 33: | ||
In der <code>openssl.cnf</code> Datei können Variablen definiert werden. [[Bild:openssl.cnf.png|right|thumb|200px|Kopf der <code>openssl.cnf</code> Datei]]. | In der <code>openssl.cnf</code> Datei können Variablen definiert werden. [[Bild:openssl.cnf.png|right|thumb|200px|Kopf der <code>openssl.cnf</code> Datei]]. | ||
Hier kann man einen Default Eintrag | Hier '''kann''' man einen '''Default''' Eintrag | ||
DNSALT="beliebiger-standard-servername.de" | DNSALT="beliebiger-standard-servername.de" | ||
anlegen. Andernfalls kann die Zeile auch ausgelassen werden. | anlegen. Andernfalls kann die Zeile auch ausgelassen werden. | ||
Des weiteren muss im Abschnitt <code>[ req ]</code> die Zeile: | Des weiteren muss im Abschnitt '''<code>[ req ]</code>''' die Zeile: | ||
<code>req_extensions = v3_req</code> | |||
eingetragen werden. | eingetragen werden. | ||
Im Abschnitt <code>[v3_req]</code> fügt man die Zeile | Im Abschnitt '''<code>[v3_req]</code>''' fügt man die Zeile | ||
<code>subjectAltName=${ENV::DNSALT}</code> | |||
hinzu. | hinzu. | ||
Mit einem kleinen Skript kann man dann komfortabel SAN Namen in den CSR eintragen. | Mit einem kleinen Skript kann man dann komfortabel SAN Namen in den CSR eintragen. | ||
<source lang="bash"> | |||
#!/bin/bash | |||
DNSALT="" | |||
FQDN="xxx" | |||
while [ "$FQDN" != "" ] | |||
do | |||
read -p "Enter fully qualified domainname (SAN): " FQDN | read -p "Enter fully qualified domainname (SAN): " FQDN | ||
if [ "$DNSALT" == "" ] | if [ "$DNSALT" == "" ] | ||
Zeile 42: | Zeile 68: | ||
DNSALT="$DNSALT,DNS:$FQDN" | DNSALT="$DNSALT,DNS:$FQDN" | ||
fi | fi | ||
done | |||
export DNSALT | |||
while [ "$PRIVKEY" == "" ] | |||
do | |||
read -p "Enter the name of the dignated private keyfile: " PRIVKEY | read -p "Enter the name of the dignated private keyfile: " PRIVKEY | ||
done | |||
while [ "$CSRFILE" == "" ] | |||
do | |||
read -p "Enter name of designated CSR file: " CSRFILE | read -p "Enter name of designated CSR file: " CSRFILE | ||
done | |||
openssl req -new -newkey rsa:2048 -out $CSRFILE -keyout $PRIVKEY -config ~/openssl.cnf | |||
</source> | |||
= Weiterführende Links = | |||
* [https://www.openssl.org/docs/ Dokumentation für OpenSSL] | |||
* [https://sslplus.de/navigation/produkte/ssl-zertifikate/multidomain-ssl-zertifikate.html Multidomain SSL Zertifikate] bei sslplus.de |
Aktuelle Version vom 14. März 2017, 12:17 Uhr
Multidomain SSL Zertifikate sind SSL Zertifikate, die um spezielle Merkmale erweitert wurden, um neben dem Common Name für weitere Domainnamen zu gelten, so dass eine fehlerfreie Verwendung in Browsern möglich ist.
Unterschiede zum normalen SSL Zertifikat
Bei einem SAN oder Multidomain Zertifikat wird der distinguished Name (DN) um Subject Alternative Names erweitert. Mit dem Präfix DNS: wird den auswertenden Clients mitgeteilt, dass es sich hier um Servernamen handelt.
Beim Erzeugen des Zertifikates bzw. schon wenn der CSR generiert wird, können diese Merkmale als x509v3 Erweiterungen hinterlegt werden.
Einsatzmöglichkeiten
Multidomain SSL Zertifikate finden vor allem dort Verwendung, wo es technisch zwingend notwendig ist, mit einem Zertifikat mehrere Domainnamen abzudecken. Neben dem technischen Aspekt gibt es noch den Kostenfaktor als Grund, in der Regel ist ein Multidomain SSL Zertifikat günstiger als ein vergleichbares Wildcard SSL Zertifikat.
IIS und MS Exchange
Multidomain SSL Zertifikate erfreuen sich vor allem im Microsoft Exchange Umfeld einer großen Beliebtheit, da es möglich ist mit einem Zertifikat alle über SSL zur Verfügung stehenden Dienste zu sichern, ohne dass es zu unliebsamen Warnungen von Browsern oder Outlook kommt.
Da das CA/Browser Forum den Einsatz von internen Hostnamen (.local etc.) abschafft, kommt es vermehrt zu Problemen bei der Ausstellung und dem späteren Einsatz. Inzwischen gibt es aber gut dokumentierte Workarounds bzw. Lösungen, wie Exchange Installationen intern auf reguläre Hostnamen umgestellt werden können.
Webhosting
Multidomain SSL Zertifikate bieten sich ebenfalls für den Betrieb von Webservern an, wo es darum geht, eine Reihe von Diensten über SSL/TLS anzubieten. So lassen sich beispielsweise die Hostnamen für Webseite, POP3 und SMTP Server in dem Zertifikat hinterlegen. Vor der SNIE Erweiterung des SSL Moduls für den Apache Webserver waren Multidomain SSL Zertifikate außerdem der einzige Weg, über die selbe IP Adresse mehrere Webseiten
Notwendige Vorbereitungen
Prinzipiell ist es nicht zwingend notwendig einen speziellen CSR für ein Multidomain SSL Zertifikat zu erzeugen. In der Regel nehmen die Zertifizierungsstellen die alternativen Namen während des Ausstellungsprozesses entgegen.
Einige Serververwaltungsprogramme erlauben aber schon beim Erzeugen des CSR die Alternativnamen in diesen mit aufzunehmen. Im Falle von OpenSSL erfolgt dies über eine entsprechende Anpassung der openssl.cnf
Datei.
Anpassung der openssl Konfiguration
In der openssl.cnf
Datei können Variablen definiert werden.
.
Hier kann man einen Default Eintrag
DNSALT="beliebiger-standard-servername.de"
anlegen. Andernfalls kann die Zeile auch ausgelassen werden.
Des weiteren muss im Abschnitt [ req ]
die Zeile:
req_extensions = v3_req
eingetragen werden.
Im Abschnitt [v3_req]
fügt man die Zeile
subjectAltName=${ENV::DNSALT}
hinzu.
Mit einem kleinen Skript kann man dann komfortabel SAN Namen in den CSR eintragen.
<source lang="bash">
- !/bin/bash
DNSALT="" FQDN="xxx"
while [ "$FQDN" != "" ] do
read -p "Enter fully qualified domainname (SAN): " FQDN if [ "$DNSALT" == "" ] then
DNSALT="DNS:$FQDN"
elif [ "$FQDN" == "" ] then
echo $DNSALT
else
DNSALT="$DNSALT,DNS:$FQDN"
fi
done
export DNSALT
while [ "$PRIVKEY" == "" ] do
read -p "Enter the name of the dignated private keyfile: " PRIVKEY
done
while [ "$CSRFILE" == "" ] do
read -p "Enter name of designated CSR file: " CSRFILE
done
openssl req -new -newkey rsa:2048 -out $CSRFILE -keyout $PRIVKEY -config ~/openssl.cnf </source>
Weiterführende Links
- Dokumentation für OpenSSL
- Multidomain SSL Zertifikate bei sslplus.de