SSL-Zertifikat für IIS6 installieren

Lesen und verstehen Sie auch die SSL-Grundlagen

Ehe Sie ein Zertifikat kaufen, sollten Sie auch SAN-Zertifikate lesen

Für die Anforderung eines Clientzertifikats benötigen Sie eine Zertifizierungsstelle. Sie können mit Windows Server selbst eine Zertifizierungsstelle installieren.  Die Anleitung hierzu findet sich auf Zertifikatsstelle installieren. Ohne eigene Zertifizierungsstelle können Sie entweder ein offizielles Zertifikat anfordern oder mit SelfSSL ein eigenes (wenig vertrauenswürdiges) Zertifikat ausstellen. Der Vollständigkeit halber sei erwähnt,  dass Sie natürlich auch mit Paketen wie OpenSSL etc. eigene Zertifikate erstellen können.

Achtung:
Nutzen Sie diesen Weg nicht für die Anforderung eines Zertifikats für Exchange 2007. Nutzen Sie hierzu die auf E2K7: Zertifikate beschriebenen Wege.

Nun ist ihr IIS installiert und funktioniert wunderbar aber leider ohne Verschlüsselung. Also ist es an der Zeit ein SSL-Zertifikat anzufordern und zu installieren.

Unterstützung durch Net at Work:
Net at Work kann für Sie die komplette Dienstleistung von der Anforderung des Zertifikats, über die Installation bis zur Anpassung ihrer Firewall übernehmen, damit OWA und ActiveSync von Anfang an sicher funktioniert.

Dazu dient die MMC für den Webserver.. Auf den Eigenschaften der Webseite finden Sie die Karteikarte "Verzeichnissicherheit":

Klicken Sie einfach auf "Serverzertifikat" und der Assistent erfragt von ihnen die gewünschten nächsten Schritte.

Da wir weder ein fertiges Zertifikat haben, oder importieren können oder von einem anderen Webserver übernehmen können, müssen wir ein neues Zertifikat erstellen.

Dieser Prozess leitet uns durch eine Reihe von Masken, die die Details für das Zertifikat erfragen. Genau genommen erstellen wir damit nämlich kein Zertifikat, sondern nur eine Zertifikatsanfrage, um diese bei einer Zertifizierungsstelle einzureichen. Das kann Online erfolgen oder klassisch über eine Textdatei. Da wir in unserer TestUmgebung eine CA im eigenen Active Directory haben, können Sie die Daten direkt an die CA senden.

Achtung:
Wenn Sie ein offizielles Zertifikat benötigen, dann müssen Sie die Anforderung nur "Vorbereiten aber später senden". Nur so erhalten Sie eine Textdatei, die sie einer Zertifizierungsstelle vorlegen können.

Ansonsten müsste die Anforderung als Datei geschrieben werden die dann zu CA zwecks Signierung übermittelt werden muss. Sie bekommen dann eine Antwortdatei zurück, die sie über den gleichen Assistenten dann zu ihrer Anforderungen zusammenführen. Erst dann haben Sie ein vollständiges Zertifikat.

Um später das Zertifikat leichter wieder zu fingen, sollten Sie einen möglichst sprechenden Namen verwenden, z.B.: "SRV01-Cert vom 21. Dez 2004-erstellt von Frank Carius". Das erleichtert später die Zuordnung.

Tragen sie hier ihre Organisation (z.B. den Firmenname) und die Einheit (z.B. Abteilung, Gruppe etc.) ein.

Als nächstes muss nun der "richtige" Name eingetragen werden. Um später Fehlermeldungen zu vermeiden, muss dies genau der Name sein, der später auch in der "URL" auftaucht. also

  • http://www.example.com/exchange
    Tragen Sie bitte "www.example.com" ein
  • http://srv01/exchange
    Tragen Sie bitte "srv01" ein

Achtung: Die Eingabe hier ist sehr wichtig. Speziell wenn Sie ein offizielles Zertifikat käuflich erwerben und hier einen falschen Namen angeben, müssen Sie erneut ein Zertifikat kaufen. Kontrollieren Sie die Eingabe daher doppelt. Es ist generell eine gute Idee, hier NICHT den Servernamen zu verwenden, sondern einen DNS-Alias wie z.B. "owa.firma.de". Dann können Sie später der Zertifikat auch auf einem anderen Server oder in einer Farm von gleichnamigen Servern nutzen.

Mit dem Assistenten ist es ist nicht einfach möglich, ein Zertifikat für mehrere Namen anzufordern (Siehe auch E2K7: Zertifikate).  Am besten nutzen Sie daher auch intern einen DNA-Alias, z.B. "mail" oder "owa" statt dem physikalischen Servernamen. Mehrere Namen können nur über mehrere Zertifikate realisiert werden, die auf eigene virtuelle HTTP-Server gebunden werden.

Als nächster Schritt ist das Land, die Region und der Ort einzutragen, wo der Server steht. Dies sind eigentlich kosmetische Dinge, da Sie später im Zertifikat mit angezeigt aber nicht ausgewertet werden. Aber wenn ein Besucher mal nachschauen oder prüfen will, ob das Impressum und ihre Firmenanschrift mit der Anschrift im Zertifikat übereinstimmt, sollten Sie hier korrekte Angaben machen. Viele CAs verweigern die Verarbeitung, wenn hier keine gültigen Daten stehen.

Zuletzt wird der TCP/IP-Port für die SSL-Nutzung definiert. 443 ist der Standard und sollte nicht verändert werden.

Wir haben am Anfang ausgewählt, dass wir eine "Online-Zertifikatsstelle" nutzen wollen. Die CA muss dazu im Netzwerk laufen, im Active Directory integriert sein und sie müssen die korrekten Berechtigungen für die Anforderung haben.

Einige Zertifizierungsstellen erkennen, wer Sie sind und stellen das Zertifikat sofort aus. Allerdings kann der Administrator der Zertifizierungsstelle auch einstellen, dass er die Anfragen erst freigeben muss. Sprechen Sie in dem Fall ihren Administrator an, damit er die Anforderung freigeben kann.

In unserem Beispiel wird das Zertifikat sofort ausgestellt und auch installiert. Ist dies nicht passiert, müssen sie einfach den Assistenten erneut starten. Er wird ihnen dann aber sagen, dass es bereits eine ausstehende Anfrage gibt und erlaubt ihnen dann, die Anfrage abzuschließen.

Nach dem Abschluss können Sie direkt in der IIS-Verwaltung auf "Zertifikat anzeigen" gehen und sehen das gerade installierte Zertifikat.

Es ist vielleicht ratsam, das Zertifikat als Datei zu exportieren und zu sichern. Wenn die ausstellende CA ihr Zertifikat als "exportierbar" gekennzeichnet ist, dann können sie sogar den privaten Schlüssel mit exportieren. Die Datei wird dazu mit einem Kennwort gesichert. Solch ein Zertifikat können Sie später auch im ISA-Server importieren, wenn Sie Exchange über den ISA-Server veröffentlichen wollen.

Hier finden Sie beide Zertifikate.


IIS-Cert

 Webserver Zertifikat
Name: owa
Gültig: 19.06.2006 bis 19.06.2007

Kennwort zum Installieren "Password!"


StammCA

 Zertifikat der Stammzertifizierungsstelle
Gültig: 19.06.2006 bis 19.06.2011

Diese CA ist nur für den Testbetrieb und NICHT im Internet erreichbar. Es werden keine Certifiate Revocation Lists (CRL) veröffentlicht.

Nun ist ihr IIS zwar per SSL auf Port 443 erreichbar, aber vermutlich wird keiner ihrer Clients dem ausgestellten Zertifikat vertrauen. Sie müssen dazu dann das Zertifikat der Stamm-CA in ihren Zertifikatsspeicher als vertrauenswürdige StammCA aufnehmen.

Überlegen Sie sich, ob wie wirklich dann auf allen Endgeräten ihr Stammzertifikat installieren wollen oder nicht einfach ein offizielles Zertifikat einfacher zu nutzen ist. So bietet z.B. GoDaddy ein Serverzertifikat für unter 20 US-$/Jahr an. https://www.godaddy.com/gdshop/ssl/ssl.asp
Bei http://www.comodo.com können sie kostenfrei ein Zertifikat für 90 Tage erhalten
(Achtung: Nicht für dynamische Hostname. Siehe auch Exchange und dynamischem DNS

Alternativ können Sie einfach unter dem Link https://www.t-refer.com/t-refer/DENETATW-1 bei Thawte ein Zertifikat bestellen (Vermittlungsprovision kommt der MSXFAQ zugute). Natürlich beraten und unterstützen wie Sie auch bei der Beantragung und Installation.

Weitere Links