IIS s více aplikacemi přes https
Zdravím,
mám takový problém, nějak nemůžu najít ve Windows Serveru 2008, jak rozběhat pro různé weby použití různých certifikátu. Používáme IIS 7.5.
Např.
obchod.firma.cz - 1. cerifikát
mail.firma.cz - 2. certifikát
xxxx.firma.cz - 3.certifikát
Někde jsem četl, že toto má být opraveno až v IIS 8. Nějak nemůžu dohledat, zda už jsou oficiálně venku pro Windows Server 2008. Díky.
1172293.aspx
edit: ano, v IIS8 to "konečně" umí: http://www.iis.net/learn/get-started/whats-new-in- iis-8/iis-80-centralized-ssl-certificate-support-s sl-scalability-and-manageability
Pokud to dobře chápu, tak IIS 7.5 to umí také, ale musím mít certifikát *firma.cz (wildcard SSL)?
obchod.firma.cz - certifikát *.firma.cz
mail.firma.cz - certifikát *.firma.cz
xxxx.firma.cz - certifikát *.firma.cz
Pokud bych si vytvořil vlastní certifikační autoritu firma.cz, tak bych si takovýto certifikát mohl vygenerovat zdarma (wildcard SSL) a použít pro všechny adresy i v IIS 7.5?
IIS 8 je tedy dostupný pro Windows Server 2008 a nejedná se o žádnou betu? Ten odkaz totiž ukazuje použití na Windows serveru 2012.
ano, jenže s wildcards jsou spojeny další, jiné obtíže, a moc ti neradím jít touto cestou, pokud to není jen na testování.
Z mého pohledu je nejjednodušší jít cestou více veřejných IP adres.
edit: IIS8 je pouze pro Win2012 AFAIK.
Tedy jedné síťové kartě více IP adres a co adresa to jeden certifikát. To by možná řešení bylo, kouknu, co na to prider
.
Můžeš mi nastínit jaké jsou problémy s wildcards?
Teď koukam na http://www.iis.net/learn/extensions/introduction-t o-iis-express/iis-80-express-readme a pokud to dobře chápu, tak IIS pro Windows Server 2008 R2 (x86 and x64) jsou. Otázkou je, kde je stáhnout
.
Microsoft Web Platform Installer už je má v seznamu.
Nějak to nemůžu najít, můžeš mi sem hodit odkaz? Ď.
ted jsem nasel IIS 8 Express http://www.microsoft.com/en-us/download/details.as px?id=34679 ale píší, že je optimalizovaná pro vývojáře. Tomu moc nerozumím. Co to přesně obnáší???
ale to je IIS express. Pro vývoj, nikoli pro reálné nasazení.
a btw:
škoda
můžeš se ještě trochu rozepsat o těch problémech s wildcard?
Pokud to tedy shrnu, jak řešit problém s jedním serverem a několika https projekty:
1/ přidat síťové kartě ještě jednu IP adresu či další, pro každou https aplikaci jednu, pak každé jedinečný certifikát
2/ použít wildcard (*.firma.cz), který se vygeneruji vlastní CA
3/ požít IIS 8, který nelze instalovat na WS2008 a beží jen na WS2012, upgrade je v mém případě nereálný
je ještě nějaké řešení?
Přeci to MS do teď neřešil jen tím, že se vždy přidala další veřejná IP adresa pro https aplikaci.
Jak to řeší třeba takový hosting, který má spoustu https projektů na IIS?
wildcard nikdy nedostaneš na vyšší zabezpečení, vždy to jsou jen ty nejnižší certifikáty. To by ani tak nevadilo, jako to, že spousta prohlížečů je neakceptuje jako "pravé" a budou házet varování.
edit: wildcard není "vlastní CA". je to reálně existující možnost mít "certifikát na vše" - ale s problémy výše popsanými.
Moje situace je takováto:
Na Windows Serveru běží projekt shop.firma.cz pro který je generován certifikát. Tento certifikát pak ještě používá projekt mail.firma.cz, bug.firma.cz, skoleni.firma.cz a další. Jen proto, aby fungovalo šifrování přenášených dat (https).
Nově máme k dispozici vlastní CA na našem serveru cert.firma.cz. Pokud bych tedy do prohlížeče přidal tuto naši certifikační autoritu a pak vygeneroval certifikát pro *.firma.cz (wildcard), který bude používat každý webový projekt na IIS, nemusel by uživatel řešit problém s certifikátem. Je jasné, že by každý nově příchozí musel tuto naši certifikační autoritu přidat, ale pak už by se každy rok nemusel řešit problém s certifikátem, který vypršel. Doufám, že to dává smysl.
Nebo vás napadá jiné řešení?
Vystav certifikat na 10 rokov;o).
jasně - proč to řešíš tak složitě? Proč třeba skoleni.firma.cz nepřesměruješ na skoleni ?
pokud máš nějakou vlastní selfsigned CA, tak sorry, ale u tebe bych fakt nenakupoval
Tohle je řešení do intranetu firmy, nebo na vnitrofiremní řešení, ale nikoli na něco pro zákazníky. Navíc tím, že si uděláš wildcard certifikát, tak zjistíš, že to bude ještě o fous horší a prohlížeče začnou řvát, že máš potenciálně nebezpečný web.
Ten shop.firma.cz byl jen příklad.
V tom případě mi tedy trošku uniká význam vlastní CA, tedy krom interního použití.
Jaké jsou tedy výhody vlastní CA?
Takže odkaz na import vlastní CA na webu (na internetových stránkách firmy) je blbost a je lepší mít certifikát na 10let s tím, že ho uživatel bude muset přijmout přes chybové hlášení a všechna doporučení prohlížeče?
Ještě jednou se ujistím, rozumné řešení mého problému na Windows Serveru 2008 (asi tedy i jedinné) by tedy bylo mít několik IP adres a několik certifikátů generovaných nějakou CA, za což zaplatím nějaký peníz (3 weby = 3 IP = 3 placené certifikáty).
Pokud budu mít wildcard certifikát pro všechny https aplikace a importovanou vlastní CA v prohlížeči, tak budu také dostávat chybová hlašení (jako když je třeba certifikát propadlý)?
výhody vlastní CA je "relaxed security" - můžeš si okamžitě a zdarma vytvořit certifikát jaký chceš. Ovšem za cenu nízké bezpečnosti a ztráty důvěryhodnosti, viz např.: http://en.wikipedia.org/wiki/Self-signed_certifica te
Dovolím si znovu zdůraznit, že důvěryhodnost certifikátu je přímo závislá na celém řetězci vedoucím až k certifikační autoritě, která nějakým způsobem definuje důvěryhodnost a hlavně IDENTIFIKOVATELNOST certifikovaných subjektů. Takže pokud si sám sobě podepíšeš, že jsi Franta Flinta, tak ti věřit mohu, ale taky nemusím. V reálu když potkáš člověka, který ti bude chtít něco prodat, taky budeš požadovat "fyzický certifikát" (v tomto případě např. občanku) vydaný důvěryhodnou certifikační autoritou (česká stát) a nebudeš věřit jím namalovanému certifikátu na kterém bude Franta Flinta tvrdit, že je Frantou Flintou. Chápeš tu hloubku problému?
Pokud chceš mít vlastní použitelnou "autoritu", pak se to řešívá tzv. podřízenou certifikační autoritou, která ale stojí hodně peněz a úsilí, protože budeš muset prokázat a zajistit, že tebou vydané certifikáty (v konečném důsledku kryté nadřazenou certifikační autoritou) nebudou vydávány komukoli, ale pouze za předem a jasně definovaných podmínek.
edit: pokud máš selfsigned CA, nic ti nebrání si wildcard certifikát udělat a otestovat jak se chová v různých prohlížečích.
já totiž pořád nevidím bezpečnostní rozdíl mezi tím, když uživatele budu nutit k přidání CA do prohlížeče a tím, když mu vytvořím certifikát u sebe, který on bude muset při vstupu na stránky přijmou. Pokud uživatele přemluvím, aby mou CA přijmul, tak už ho alespoň nebudu otravovat na dalších projektech (použil bych wildcard certifikát), kde pokud by nepřijmul mou CA tak by musel stejně odsouhlasit import certifikátu, který by mu prohlížeč hlásil jako nedůvěryhodný.
Jiná věc by byla pokud bych měl certifikáty od ověřené CA.
no a o tom pořád mluvím. Nic jiného totiž pro ostré nasazení nemá smysl.
edit: jestli si myslíš, že donutíš uživatele aby si importovali nějaké certifikáty, tak to jsi na velkém omylu. Naopak ti budou volat s tím, že ti nefunguje web a že "to háže 'nějakou' hlášku.."
S placeným certifikátem je to jasné.
Když se teď zeptám co je menší zlo, z pohledu bezpečnosti a komfortu:
mít vlastní CA a nutit uživatele ji importovat do prohlížeče (ve firmě to za mě může přeci provést třeba GPO, nebo ne?), nebo to nechat udělat prohlížeč přidáním vyjímky? Osobně si myslím, že vlastní CA vyhrává na plné čáře.
znova: bavíme se o použití MIMO firmu, máš tam shop, ten přece není pro zaměstnance, ale pro zákazníky. Lokálně si samozřejmě admin nástroji můžeš naimportovat kdeco.
ještě jednou píšu, že shop byl příklad, uznávám hloupý, ale jen příklad.
Než se pustím do změn, chtěl bych si jen některé věci ujasnit:
1/ Windows Server 2008 umí pro každou z IP adres (třeba 4) použít různý certifikát (tedy 4 různé)? ANO/NE
2/ Je nějaký bezpečnostní rozdíl mezi importem vlatní CA do prohlížeče a použitím vlastního certifikátu nevydaného autoritou? ANO/NE
3/ Pokud je odpověď na 2 ANO, tak jaký?
Díky.
ad 1) ano
ad 2) ano
ad 3) už to píšu asi potřetí - vlastní CA si udělá kdokoli, zcela se ztrácí význam důvěryhodnosti. Po technické stránce je to samozřejmě certifikát jako certifikát, jenže na to se v případě bezpečnosti nehraje. Vše podstatné bylo již napsáno, přebrat si to musíš sám, protože jsi jaksi nepodal bližší informace o tom, jak to celé má být použito a provozováno.