SSL Certificaat vervangen - Serversoftware en clouddiensten

dinsdag 10 januari 2012 13:50

Acties:

Topicstarter

Beste lezer,

Ik moet eerdaags een server certificaat vervangen en naar een hoger niveau brengen (SHA2). Normaal is verlengen geen probleem maar het vervangen, daar heb ik wat vraagtekens bij en kan de antwoorden niet vinden.

Situatie is een Windows 2003 server met hierop geinstalleerd hotfix938397. De bestaande site heeft een cert met een sha-1 algoritme. Ik begrijp dat ik niet voor een verlenging kan kiezen en zo het CSR genereer, maar een nieuwe aanvraag moet doen. Dan verwijder je echter het bestaande certificaat.

1. Ik las op een forum dat je een tijdelijk site in IIS kunt aanmaken en daarop de aanvraag kan doen. Werkt dit echter wel? Kan je zomaar een CRS genereren van een andere site met de zelfde gegevens, en bij ontvangst van het certificaat alsnog een aanvraag doen op de bestaande site, die een CSR geeft, en deze doorzetten met het ontvangen certificaat? Je hebt zo min mogelijk uitval van SSL.

2. Hoe weet ik nou zo zeker of de hotfix938397 goed werkt en zien dat je een CRS genereerd op SHA-2? Ik heb op een testsite de CSR procedure gevolgt, maar krijg nergens een algoritme vraag. Genereer ik dan niet alsnog een SHA-1 CSR?

Ik lees ook het e.e.a. dat SHA-2 support wel aanwezig is na de hotfix maar het maken van een csr, dat dit niet kan. Klopt dit of is dit oud nieuws? Ik zie namelijk geen verschil tussen deze server met hotfix en een andere webserver 2003 zonder de hotfix bij de bit lengte.

Dank.

[ Voor 10% gewijzigd door mbr99 op 10-01-2012 14:27 ]

Marcel

dinsdag 10 januari 2012 15:40

Acties:

Schnor

1: Je kan op een willekeurig iis website een ssl certificaat genereren en de csr plakken in jouw aanvraag.

2 weet ik niet

dinsdag 10 januari 2012 15:50

Acties:

Equator

Crew Council

#whisky #barista

Schnor schreef op dinsdag 10 januari 2012 @ 15:40:
1: Je kan op een willekeurig iis website een ssl certificaat genereren en de csr plakken in jouw aanvraag.

Zolang de CommonName maar overeenkomt met de correcte website

2:

OpenSSL> req -in test.csr -noout -text
Certificate Request:
    Data:
        Version: 0 (0x0)
        Subject: C=NL, ST=Noord-Brabant, L=Breda, O=Internet Widgits Pty Ltd, OU=Beheer en Ondersteuning, CN=Equator/emailAddress=Equator@Tweakers.net
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
            RSA Public Key: (1024 bit)
                Modulus (1024 bit):
                    00:b5:a8:ab:96:af:51:d2:fc:98:3c:8e:46:c6:ec:
                    de:06:51:37:9a:f1:56:e3:51:ba:f5:20:3d:4d:ca:
                    1c:49:3a:5f:a7:fd:bb:ad:94:ac:71:b1:89:1f:9b:
                    29:92:90:53:f8:4b:1b:b7:9a:49:6e:d9:61:ee:43:
                    f8:86:f5:3b:48:e7:ce:d2:a9:6b:df:b4:ff:a4:c2:
                    67:88:89:70:c8:98:05:67:29:c0:01:a6:c5:cf:bf:
                    5f:75:c3:7f:c1:1a:e3:62:51:06:b3:54:c4:cf:b4:
                    86:d5:6a:c2:f0:ac:8e:b4:7a:bf:45:ea:b2:8c:f4:
                    37:6e:72:54:58:6a:ce:2d:d9
                Exponent: 65537 (0x10001)
        Attributes:
            a0:00
    Signature Algorithm: [b]sha1WithRSAEncryption[/b]
        73:94:4b:e9:c4:53:ad:62:96:cc:7b:eb:7d:e2:68:fc:c4:2c:
        58:97:27:fa:ec:58:51:8f:2b:90:a2:b9:c3:73:b2:21:99:63:
        9c:31:15:ac:03:7e:96:dc:c1:61:1d:53:b1:32:8f:47:01:d9:
        2e:dd:9c:a0:a5:29:65:8b:b3:85:0e:7f:85:eb:e4:fc:07:e6:
        29:91:c1:57:6d:2d:db:ce:65:8f:31:bc:e9:68:f7:7d:0e:76:
        69:e3:e2:7a:9d:70:90:55:f0:60:e2:15:f9:e7:8b:eb:09:0d:
        b1:94:71:7d:50:9e:87:0c:1f:64:bd:72:7a:ac:ce:e1:3d:50:
        1d:22
OpenSSL>

Heb je daar wat aan?

[ Voor 8% gewijzigd door Equator op 10-01-2012 15:51 ]

dinsdag 10 januari 2012 15:56

Acties:

Verwijderd

1. Je kunt inderdaad op een willekeurige website een SSL certificaat aanvraag doen. Doe je dit op een website waarop al een certificaat actief is, dan zul je inderdaad eerst de actieve moeten verwijderen voordat je een nieuwe aanvraag kan doen.

Ik weet niet hoe lang de website uit te lucht mag zijn, maar aanvraag van een certificaatje is zo gefixt, binnen een uur kun je in het bezit zijn van een certificaat.

Goede handleidingen voor Exchange 2003:
Aanmaken CSR: klik.
Installatie certificaat: klik.
Vernieuwen bestaand certificaat: klik.

2. Stel deze vraag aan je SSL-certificaatpartij, zij hebben als het goed is veel ervaring met vragen als deze.
Ik heb hele goede ervaring met de support (en knowledgebase) van Xolphin SSL certicaten, contact hen eens: https://www.sslcertificaten.nl/Contact.

Succes.

woensdag 11 januari 2012 11:19

Acties:

mbr99

Topicstarter

Dank voor alle antwoorden.

Ik kreeg idd door dat je een dummy site kunt aanmaken en daarop de CSR kunt genereren. De bestaande site hoeft dan niet eruit te liggen met het bestaande cert.

Deze site is handig. De common name is idd het sleutelwoord.

Het moet geen probleem zijn om Windows 2003 SP2 te hebben zolang die hotfix er maar op staat. Het kan eigenlijk alleen fout lopen ten tijde van de plaatsing van het certificaat. Dat pad moet ik nog bewandelen.

Ik heb de CSR nu aangemaakt.

Marcel

woensdag 11 januari 2012 11:43

Acties:

Schnor

hier hebben ze ok goede handleidingen, in het nederlands:
https://www.sslcertificat...rosoft_IIS_-_Aanmaken_CSR

naast iis ook voor andere veel voorkomende systemen als apache en exchange
https://www.sslcertificaten.nl/Installatiehandleidingen

woensdag 11 januari 2012 11:49

Acties:

mbr99

Topicstarter

Top! Dank je!

Marcel