Eigenes, gültiges SSL Zertifikat für IIS Anwendungen erstellen (Chrome kompatibel)

Simon

Level: Beginner

iis zertifikat für chrome von ad ca beantragen

Viele Admins von IIS-Server Anwendungen oder auch von Matrix42 ITSM im Speziellen wundern sich, warum das selbst erstellte IIS Zertifikat in manchen Browsern, wie Chrome, nicht gültig ist.

ssl zertifikat im iis beantragen
Beantragung von AD-Zertifikaten über den IIS führt zu Problemen.

Denn obwohl die eigene AD-CA ohne Probleme läuft und das SSL-Zertifikat sogar mit dem IIS beantragt wurde, kann es zu folgender Fehlermeldung kommen:

NET::ERR_CERT_COMMON_NAME_INVALID

Das Problem ist leider der Assistent an sich. Denn obwohl der IIS es inzwischen eigentlich besser wissen müsste, wird beim Beantragen des Zertifikats nur der CN (CommonName) gefüllt, aber nicht die alternativen DNS Namen.

Browser wie beispielsweise Chrome halten sich komplett an RFC 2828, in dem unter anderem kurz gesagt steht, dass der CN egal ist und Browser nur noch die alternativen DNS Namen berücksichtigen sollen.

alternative dns namen im zertifikat
Diese “Subject Alternative Name” Eigenschaft ist häufig nicht (mit den DNS-Namen) gefüllt, wodurch z.B. Chorme das Zertifikat nicht als gültig ansieht.

Falls bei dir die alternativen DNS-Namen im Zertifikat schon gefüllt sein sollte, stimmt entweder etwas mit Root-Zertifikat deiner CA nicht oder du hast Namens-, bzw. CORS-Probleme und muss eine Weiterleitung einrichten.

Lösung: Zertifikat über MMC beantragen

Du musst das IIS SSL Zertifikat von deiner Certificate Authority im Active Directory nochmals erstellen. Nur dieses Mal eben manuell über die MMC und vor allem die alternativen DNS-Namen mit ausfüllen.

Öffne dir erst mal eine MMC auf dem IIS-Server und füge das Snap-in für Zertifikate des lokalen Computerkontos hinzu.

zertifikat snap in für das computerkonto hinzufügen

Nun im persönlichen Zertifikatsspeicher unter Aktionen ein neues Zertifikat beantragen.

neues zertifikat im persönlichen speicher beantragen

Wähle nun die AD Enrollment Policy.

ad enrollment policy wählen

Im nächsten Schritt wählst du Webserver aus

common name und dns namen ausfüllen

Nun musst du sowohl den Common Name (z.B. für den IE) als auch die alternativen DNS-Namen füllen (moderne Browser).

  • Beim Common Name wird normalerweise der FQDN eingetragen.
  • Bei den DNS-Namen der FQDN, Netbios-Name, “localhost” UND die IP-Adresse eingetragen.

Somit ist, egal über welche Variante du mit dem Server kommunizieren willst, das Zertifikat immer gültig 😉

Vergebe abschließend noch unter “Allgemein” einen Anzeigenamen für dein Zertifikat und klicke auf “Enroll”, um das neue Zertifikat von der CA zu generieren und auf dem Webserver zu installieren.

iis zertifikat für https 443 bindung hinterlegen

Nun noch im IIS Manager unter “Default Web Site” → “Bindungen” das eben beantrage Zertifikat bei 443 zuweisen und fertig ist die Laube!

morpheus42 Icon

Hallo 👋
Schön, dich zu treffen.

Trag dich ein, um neue ESM-Beiträge direkt in deinen Posteingang zu bekommen!

Wir senden keinen Spam! Erfahre mehr in unserer Datenschutzerklärung.

Foto des Autors
Autor
Simon
Gründer von morpheus42, ESM Senior Consultant, Kaffee-Suchtie & Smart Home Fanatiker. A wise man once said: "Have you cleared the Cache?"

Änliche Beiträge

  1. iis url rewrite hostnamen zu fqdn URL Rewrite: Hostname zu FQDN umleiten (IIS Redirect)
  2. journal an eigenen konfigurationselementen ci hinzufügen Journal an eigenen Konfigurationselementen (CIs) benutzen
  3. Filter in uux benutzeroberfläche matrix42 erstellen Eigene Filter für Datenquelle / Content Widgets in der UUX anlegen
Abonnieren
Benachrichtige mich bei
guest
0 Comments
Oldest
Newest Most Voted
Inline Feedbacks
Alle Kommentare anzeigen
Send this to a friend