fragen stichworte

Haben Sie sowohl den Hostnamen als auch den vollqualifizierten Domänennamen im SSL-Zertifikat für IIS

Ich habe hier nach Technet und Google gesucht, konnte jedoch noch keine Antwort auf meine Frage finden.

Ich habe eine Website, die auf IIS 7, Server 2012 R2 ausgeführt wird. Der IIS dient als Zugang zu unserer Citrix-Farm. Beim Herstellen der Verbindung über https habe ich ein SSL-Zertifikat unter Verwendung unseres CA-Servers erstellt (Zertifikat ist für Citrix.contoso.com (interner FQDN für Server)). Die Benutzer versuchen jedoch, die Verbindung mit https://Citrix herzustellen, wodurch ein Zertifikatfehler generiert wird. Meine Frage ist also: Ist es möglich, dass das Zertifikat sowohl für Citrix als auch für Citrix.contoso.com funktioniert? Wenn ja, wie schaffe ich das?

antworten

Ein grundlegendes Prinzip von Zertifikaten ist Vertrauen. Vertrauen erfordert die Identifizierung der beteiligten Parteien (Server und/oder Client), indem ein vollständig qualifizierter Name angegeben wird. Ein Single-Label-Name erfüllt die Identitätsanforderung nicht und kann daher nicht als vertrauenswürdig eingestuft werden. Zertifizierungsstellen sollten nicht ausstellen, und Anwendungen sollten Namen mit einem einzigen Etikett nicht vertrauen.

Sie sollten keine Single-Label-Namen verwenden, um eine Verbindung zu Diensten herzustellen, die Zertifikate verwenden. Sie sollten stattdessen den vollständig qualifizierten Namen verwenden, der dem Zertifikat entspricht.

Ja, ist möglich.

Sie müssen ein Zertifikat mit zwei Feldern für alternative Antragstellernamen (SAN) erstellen. Eines mit "citrix" und das andere mit "citrix.contoso.com". Ich würde den CN auf citrix.contoso.com behalten, aber bedenken Sie, dass das CN-Feld ignoriert wird, wenn Ihr Zertifikat SAN-Felder hat. Um ein Zertifikat mit SAN-Feldern zu erstellen, folgen Sie den Anweisungen von Microsoft So fordern Sie ein Zertifikat mit einem alternativen Antragstellernamen an