intern/extern SSL

[mdonner]

Hallo zusammen,

Wir haben hier eine View-Umgebung welche sowohl intern als auch extern erreichbar ist. Derzeit passiert dies über auf den externen Zugriffspunkten installierten Root-CA's unserer internen CA.

Der Aufbau ist folgender:

1. Security GW in DMZ Bereich (hier kommen alle Zugriffe von extern an)
2. Connection Server in LAN Bereich (dediziert für ext. Zugriffe, es gibt weitere Connectionserver für die internen Zugriffe.)

Der SS ist nicht Teil der Domäne (logisch) -> er hat ein internes Zertifikat und unser Root CA installiert

Mit dem Connectionserver ist er mit seinem Hostnamen registriert (SRV00001)

Wir möchten nun gerne für den externen Zugriff ein Verisign Zertifikat nutzen damit es nicht mehr erforderlich ist das lokale Root-CA herauszugeben.

Ins Verisign Zertifikat dürfen wir keine lokalen SAN-Einträge machen, das klappt also nicht. Soweit mir bekannt darf vdm als FriendlyName nur einmalig vergeben sein pro Server (beziehungsweise holt sich der Connection Broker beim Start das erstbeste vdm Zert).


Wer kennt diese Situation und hat diese bereits gelöst, und wie? Ich könnte mir momentan lediglich vorstellen den SS beim Connectionserver mit dem externen Hostname zu registrieren, dazu müsste man dann aber am internen DNS drehen, ginge das überhaupt? Gibt es "intelligentere, leichtere" Möglichkeiten?


Für eure Hilfe danke ich euch schon mal vorab!

LG,
Matthias

[andiwe]

Hi,

genauso wie du es beschreibst, sollte es sein. Ich sehe da kein Problem und es läuft bei uns genau so. Einfach das Zertifikat tauschen.

Teste einfach mal vorab mit einem kostenlosen Zertifikat. (z.B. startssl.com)