SelfSSL op subdomein

dinsdag 9 februari 2010 11:40

Acties:

0 Henk 'm!

Topicstarter

Hallo,

Ik wil graag mijn webserver (UNC:webserver) voorzien van een selfsigned certificaat.
Deze webserver staat gewoon bij mij thuis, doorgelinkt via een subdomein.

Naast mijn website 'www.website.nl', wil ik de website 'gate.website.nl/map' gaan voorzien van een self-signed certificaat.
Nu heb ik de volgende certificaten geprobeerd;

selfssl.exe /N:CN=website.nl /K:2048 /V:3650 /S:1 /P:443
selfssl.exe /N:CN=gate.website.nl /K:2048 /V:3650 /S:1 /P:443
selfssl.exe /N:CN=gate.website.nl/map /K:2048 /V:3650 /S:1 /P:443

Maar geen van alle maakt de website benaderbaar.
Wanneer ik doe;
selfssl.exe /N:CN=webserver /K:2048 /V:3650 /S:1 /P:443

Kan ik het wel benaderen binnen mijn netwerk.

Wie kan mij helpen te vertellen wat ik fout doe?

[ Voor 10% gewijzigd door burrug op 09-02-2010 11:48 ]

Tannoy Revolution R3 105W 6ohm, Marantz PM-7003 2x70W 8ohm, 2x JVG goud/goud, Marantz CD-6003, Marantz ST-6003

dinsdag 9 februari 2010 11:46

Acties:

0 Henk 'm!

PROnline

je kan volgens mij maar één SSL per IP/poort actief hebben. Wat je wel kan dien is een wildcard certificaat genereren voor *.website.nl. Deze is dan te gebruiken voor www.website.nl en gate.website.nl. Echter niet voor www.subdomein.website.nl

dinsdag 9 februari 2010 11:49

Acties:

0 Henk 'm!

burrug

Topicstarter

Met een wildcard krijg ik ook geen resultaat;
selfssl.exe /N:CN=*.website.nl /K:2048 /V:3650 /S:1 /P:443

Zou ik in zo'n geval ook geen subfolders mogen gebruiken?

Tannoy Revolution R3 105W 6ohm, Marantz PM-7003 2x70W 8ohm, 2x JVG goud/goud, Marantz CD-6003, Marantz ST-6003

dinsdag 9 februari 2010 12:12

Acties:

0 Henk 'm!

alt-92

ye olde farte

Subfolders? Daar kijkt DNS ook niet naar. en aangezien je SSL certs voor een DNS hostname (al dan niet wildcard) gebruikt...

[ Voor 50% gewijzigd door alt-92 op 09-02-2010 12:13 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

dinsdag 9 februari 2010 13:13

Acties:

0 Henk 'm!

burrug

Topicstarter

Ik denk dat ik begrijp wat het probleem is...

We hebben een hostingpakket bij onze provider, website.nl.
Op deze webserver hebben we een subdomein gate.website.nl

Dit domein verwijst middels een framepagina (zodat het adres in de adresbalk niet wijzigt) naar onze interne webserver. Ik moet natuurlijk een certificaat op de hostserver plaatsen...

dus.. correct me if i'm wrong..

Tannoy Revolution R3 105W 6ohm, Marantz PM-7003 2x70W 8ohm, 2x JVG goud/goud, Marantz CD-6003, Marantz ST-6003

woensdag 10 februari 2010 00:21

Acties:

0 Henk 'm!

Verwijderd

Wat is de FQDN van je thuisserver? Maw, heb je hem een DNS suffix meegegeven of heet hij gewoon voluit "webserver"?

Probeer dus voor de gein eens om het dns suffix "website.nl" in te stellen op de webserver. Daarna een rebootje en probeer nogmaals om het SSL cert aan te maken.

donderdag 11 februari 2010 12:32

Acties:

0 Henk 'm!

burrug

Topicstarter

Het adres 'gate.website.nl' is een DNS-suffix, die van buitenaf leid naar onze router.
Dit hebben we gedaan voor ook o.a. een VPN-verbinding, maar dus ook voor de interne webserver, daar deze over een andere poort gaat.

Ik heb de webserver het certificaat gegeven voor 'gate.website.nl', maar dit werkte niet...

Heeft iemand een idee over hoe de DNS-suffix met SSL te beveiligen, of zal ik mijn hostingprovider contacten?

Tannoy Revolution R3 105W 6ohm, Marantz PM-7003 2x70W 8ohm, 2x JVG goud/goud, Marantz CD-6003, Marantz ST-6003

donderdag 11 februari 2010 12:57

Acties:

0 Henk 'm!

Verwijderd

burrug schreef op donderdag 11 februari 2010 @ 12:32:
Het adres 'gate.website.nl' is een DNS-suffix, die van buitenaf leid naar onze router.
Dit hebben we gedaan voor ook o.a. een VPN-verbinding, maar dus ook voor de interne webserver, daar deze over een andere poort gaat.

Ik heb de webserver het certificaat gegeven voor 'gate.website.nl', maar dit werkte niet...

Heeft iemand een idee over hoe de DNS-suffix met SSL te beveiligen, of zal ik mijn hostingprovider contacten?

Maar heb je nu effectief op de computer/server die als webserver dient gate.website.nl of website.nl als DNS suffix. Is me niet echt duidelijk uit je reply.

donderdag 11 februari 2010 13:06

Acties:

0 Henk 'm!

burrug

Topicstarter

Het is zo;

Gebruiker ----------> gate.website.nl ---------> 'Webserver'
Thuis-PC ----------------> Router ----------> Interne webserver

gate.website.nl is een DNS-suffix voor onze router. Zo kan ik het intern netwerkvan buitenaf benaderen.

Op de interne webserver heb ik het certificaat al op verschillende manieren geprobeerd.
Ik heb zelf het idee dat het certificaat op de plaats van de DNS-suffix zou moeten, maar naar mijn idee kan dit niet, omdat dit geen fysieke webserver is.

[ Voor 5% gewijzigd door burrug op 11-02-2010 13:06 ]

Tannoy Revolution R3 105W 6ohm, Marantz PM-7003 2x70W 8ohm, 2x JVG goud/goud, Marantz CD-6003, Marantz ST-6003

vrijdag 12 februari 2010 22:19

Acties:

0 Henk 'm!

Verwijderd

burrug schreef op donderdag 11 februari 2010 @ 13:06:
Het is zo;

Gebruiker ----------> gate.website.nl ---------> 'Webserver'
Thuis-PC ----------------> Router ----------> Interne webserver

gate.website.nl is een DNS-suffix voor onze router. Zo kan ik het intern netwerkvan buitenaf benaderen.

Op de interne webserver heb ik het certificaat al op verschillende manieren geprobeerd.
Ik heb zelf het idee dat het certificaat op de plaats van de DNS-suffix zou moeten, maar naar mijn idee kan dit niet, omdat dit geen fysieke webserver is.

Als je gate.website.be als DNS suffix voor je router (en dus waarschijnlijk ook voor je interne netwerk) gebruikt, moet je dit op de webserver ook toevoegen. Een SSL certificaat is nu eenmaal gelinkt aan een (sub)domein en niet aan een hostname alleen.

maandag 15 februari 2010 14:25

Acties:

0 Henk 'm!

burrug

Topicstarter

Verwijderd schreef op vrijdag 12 februari 2010 @ 22:19:
moet je dit op de webserver ook toevoegen.

Hoe bedoel je dit precies?

IK heb nu gedaan;
selfssl.exe /N:CN=gate.website.nl /K:2048 /V:3650 /S:1 /P:443

Wanneer ik nu de site benader als https://gate.website.nl/Test doet deze het niet..

Maar bedoel je nu te zeggen dat ik er óók mijn hostnaam aan moet hangen? Ik kan nl. maar één CN eraan toevoegen toch?

[ Voor 44% gewijzigd door burrug op 23-02-2010 14:00 ]

Tannoy Revolution R3 105W 6ohm, Marantz PM-7003 2x70W 8ohm, 2x JVG goud/goud, Marantz CD-6003, Marantz ST-6003

dinsdag 23 februari 2010 14:00

Acties:

0 Henk 'm!

burrug

Topicstarter

Kan echt niemand mij helpen?

Tannoy Revolution R3 105W 6ohm, Marantz PM-7003 2x70W 8ohm, 2x JVG goud/goud, Marantz CD-6003, Marantz ST-6003

woensdag 24 februari 2010 21:53

Acties:

0 Henk 'm!

Yalopa

Less is more!

URL moet altijd koppen met hostname en met de gegeven in het certificaat

Volgens mij moet je het zo doen: geldig ssl certificaat op je webserver bij je hoster met frame-pagina
ander geldig ssl certificaat op je thuisserver.

[ Voor 107% gewijzigd door Yalopa op 24-02-2010 21:57 ]

You don't need eyes to see, you need vision

donderdag 25 februari 2010 13:28

Acties:

0 Henk 'm!

Verwijderd

Als je zegt Doet het niet... Bedoel je dan dat hij het certificaat niet pakt of de hele website het niet doet ?

https://gate.website.nl moet gewoon werken ongeacht of er een certificaat aan zit. Je zou dan wel een waarschuwing krijgen.
als je de website al niet kunt bereiken zonder waarschuwing zou ik dat eerst eens uitzoeken.

maandag 1 maart 2010 19:43

Acties:

0 Henk 'm!

Henkje.doc

Heb je het betreffende certificaat wel gekoppeld binnen je Webserver (IIS / Apache?) en aangegeven dat dit ove poort 443 moet gaan. Ken zelf alleen IIS.

Als de FQDN niet overeenkomt met de FQDN in je certificaat dan zou je in principe wel een beveiligingswaarschuwing moeten krijgen zoals hierboven ook staat aangegeven.

maandag 8 maart 2010 09:02

Acties:

0 Henk 'm!

burrug

Topicstarter

Ik heb het SSL-certificaat op mijn webserver gekoppeld, over port 443. Ik gebruik IIS.

Maar;
- de naam van mijn webserver is 'webserver'.
- de naam van de DNS-suffix is 'gate.website.nl'

De webserver kan ik niet benaderen via een framespagina, want 'gate.website.nl' is alleen een suffix.

Het certificaat heb ik nu toegepast op het domein 'gate.website.nl'.
Op de webserver heb ik een virtuele map 'test' aangemaakt, waarop ik het certificaat heb geinstalleerd en SSL heb geactiveerd.

Als ik nu de website benader via 'https://gate.website.nl/test' krijg ik 'De webpagina kan niet worden gevonden'

Als ik nu de certificaat aanpas naar domein 'webserver' en ik benader de webpagina intern binnen mijn netwerk met 'https://webserver/test', dan gaat alles goed...

Ik wil graag weten waarom want ik snap er geen snars van

De opmerking van Yalopa vind ik in dit geval nog het meest logisch klinken, maar het probleem is dat er aan een DNS-suffix geen SSL verbinding kan worden toegekend.. toch?

Tannoy Revolution R3 105W 6ohm, Marantz PM-7003 2x70W 8ohm, 2x JVG goud/goud, Marantz CD-6003, Marantz ST-6003

maandag 8 maart 2010 09:12

Acties:

0 Henk 'm!

Yalopa

Less is more!

Maak een certificaat aan waar beide namen instaan, gebruik geen DNS alias maar 2 echte records in je DNS.

Wat jij wil is best eenvoudig op te zetten

You don't need eyes to see, you need vision

maandag 8 maart 2010 09:24

Acties:

0 Henk 'm!

burrug

Topicstarter

Dat dacht ik al, maar je moet het volgens mij gewoon even weten

Het lukt echter niet om met selfssl meerdere domeinen toe te kennen aan een certificaat

Ik heb net de volgende link gevonden;
http://wintivity.wigital....ficates-using-selfsslexe/

En toegepast;
selfssl.exe /N:CN=webserver,CN=gate.website.nl /K:2048 /V:3650 /S:1 /P:443 /Q /T

Maat de output is nog steeds hetzelfde

Tannoy Revolution R3 105W 6ohm, Marantz PM-7003 2x70W 8ohm, 2x JVG goud/goud, Marantz CD-6003, Marantz ST-6003

maandag 8 maart 2010 09:39

Acties:

0 Henk 'm!

Grodor

Je geeft aan dat de naam van je webserver "webserver" is en dat je de DNS-Suffix(achtervoegsel) "gate.website.nl" gebruikt.

Dit zou betekenen dat je FQDN van je webserver: webserver.gate.website.nl is, terwijl je een certificaat aanmaakt voor "gate.website.nl" . Naar mijn idee zit daar ergens de mismatch.

Misschien moet je IIS nog aangeven dat deze ook luistert naar host-headers met de naam "gate.website.nl". Correct me if I'm wrong.

Je zegt ook dat je een Pagina kan niet worden gevonden krijgt. Maar krijg je wel een SSL waarschuwing of iets dergelijk. Een slotje achteraan de adresbalk in IE.

En heb je al getest zonder SSL ?

No coffee, no nothing!

maandag 8 maart 2010 10:37

Acties:

0 Henk 'm!

burrug

Topicstarter

JEEEEJ! hij doet het!

Het probleem was ws. de FQDN, die ik nog niet goed had staan.. Ik wist ook niet eens wat nou een FQDN was, dus weer wat geleerd

Hartstikke bedankt jongens!

Tannoy Revolution R3 105W 6ohm, Marantz PM-7003 2x70W 8ohm, 2x JVG goud/goud, Marantz CD-6003, Marantz ST-6003

maandag 8 maart 2010 10:38

Acties:

0 Henk 'm!

Yalopa

Less is more!

tja wellicht ligt dat aan selfssl, bovendien als je self signed certificaten gebruikt dan moet je er voor zorgen dat clients je root CA vertrouwen. Als je dit op internet publiek wil maken raad ik je aan om een certificaat te kopen, want anders zal niemand je site vertrouwen.

Edit. te laat , maar goed dat het opgelost is voor je.

[ Voor 9% gewijzigd door Yalopa op 08-03-2010 10:39 ]

You don't need eyes to see, you need vision

maandag 8 maart 2010 17:07

Acties:

0 Henk 'm!

burrug

Topicstarter

Ik ga hem wel publiek maken op internet, maar alleen voor werknemers (intranet) dus dan vertrouwen ze het wel. We hebben het nu ook zo gedaan dat het certificaat bij het inloggen op het netwerk automatisch wordt geinstalleerd. Het certificaat is 10 jaar geldig en het gaat ons er meer om dat de verbinding gewoon versleuteld is.

Bedankt nogmaals!

Tannoy Revolution R3 105W 6ohm, Marantz PM-7003 2x70W 8ohm, 2x JVG goud/goud, Marantz CD-6003, Marantz ST-6003

Onderwerpen