Menu

Tag 2: SSL-Zertifikate, LAN/WAN-Zugriff

, , , 0

Gestern haben wir mit unserer ersten Serverinstallation begonnen. Als Teil dieser Installation haben wir SSL-Zertifikate konfiguriert und erstellt. Heute werden wir diesen Schritt genauer betrachten. Sie sollten auch einen Blick auf die Online-Hilfe über SSL-Zertifikate werfen. Zunächst werden wir diskutieren, warum wir Zertifikate benötigen.

Warum benötige ich Zertifikate?

Zur Absicherung der Verschlüsselung zwischen Server und Client sind digitale Zertifikate erforderlich. Mit Zertifikaten können Computer überprüfen, ob sie mit dem erwarteten Server kommunizieren. Dies geschieht durch Signieren eines Serverzertifikats durch eine Zertifizierungsstelle (CA). Solange ein Computer der Zertifizierungsstelle vertraut, vertraut er auch allen Zertifikaten, die von dieser Zertifizierungsstelle unterschrieben (signiert) sind. Das ist eine Kette des Vertrauens, beginnend oben mit dem CA-Zertifikat (dem Stammzertifikat).

Wenn ein Client eine Verbindung startet, stellt der Server sein Zertifikat dem Client vor. Der Client überprüft den korrekten Serverdomänennamen und die Zertifizierungsstelle, die das Serverzertifikat signiert hat. Wenn der Client der CA vertraut, vertraut der Client dem Server.

Zertifizierungsstellen sind in der Regel Unternehmen, die Geld verlangen, wenn sie Zertifikate ausstellen. Ein gekauftes Zertifikat hat einen Vorteil. Die meisten Betriebssysteme und Browser kennen und vertrauen dem CA-Zertifikat (Root-CA) dieses Unternehmens. Daher müssen Sie auf einem Clientcomputer nichts weiter tun.

Der Zertifikatspeicher speichert CA-Zertifikate im Abschnitt „Vertrauenswürdige Stammzertifizierungsstellen“:

Stammzertifkate

Selbst signierte Zertifikate

Gestern haben wir uns für unsere eigenen Zertifikate entschieden. Als Ergebnis dieses Prozesses hat der SSL-Assistent von Lights-Out zwei Zertifikate für Ihren Server erstellt:

  • Ein Stammzertifikat (CA). Dieses wird verwendet, um andere Zertifikate zu signieren, und nur dieses Zertifikat wird auf dem Client installiert. Der Name eines Stammzertifikats ist Lights-Out- <Ihr Servername> -CA. Es ist unter „Vertrauenswürdige Stammzertifizierungsstellen“ abgespeichert.
  • Ein Serverzertifikat, das verwendet wird, um die Serveridentität sicherzustellen. Dieses Zertifikat wird beim Verbindungsaufbau dem Client übergeben. Der Name eines Server-Zertifikats ist <Ihr-Server-Name>. Es wird von der Lights-Out eigenen CA ausgestellt und im Ordner „Eigene Zertifikate“ gespeichert.

Ein Beispiel sieht wie folgt aus:

Zertifikate 1 Zertifikate 2

Dieses Zertifikat stellt die Identität eines Servers mit der Bezeichnung S2016 sicher. Es gibt eine Kette von Vertrauen beginnend mit dem Lights-Out Stammzertifikat.

Der SSL-Assistent unterstützt eine Erweiterung namens „Subject Alternative Name“. Dies ermöglicht es uns, einen zweiten Domänennamen in das gleiche Zertifikat einzufügen.

Sie können diese Funktion verwenden, um Ihren externen, dynamischen DNS-Namen hinzuzufügen! Tun Sie dies während der Installation oder später. Starten Sie den SSL-Assistenten und geben Sie hier den DDNS-Namen ein:

adding ddns name

In diesem Beispiel benutzen wir den NO-IP Namen s2016.hopto.org. Der Assistent erstellt daher ein Serverzertifikat mit beiden Namen. Der kurze NETBIOS-Name mit dem Namen S2016 und ein zweiter Eintrag mit Ihrem externen Domänennamen. Dies ermöglicht den Zugriff auf Lights-Out von mobilen Geräten (Notebooks, Mobiltelefone) über das Internet (WAN-Zugang) mit voller, sicherer Verschlüsselung.

ddns name in certificate

Verwenden vorhandener Zertifikate

Wenn Sie bereits ein gültiges Zertifikat besitzen, haben Sie es wahrscheinlich von einer öffentlichen Zertifizierungsstelle erworben. Oder Sie haben eines von einer Organisation wie Let’s Encrypt. Oder Ihr Unternehmen betreibt eine private CA. In jedem Fall können Sie den SSL-Assistenten verwenden, um ein solches Zertifikat zuzuweisen. Dies gilt auch für Benutzer von Windows Server Essentials oder Home Server. Wenn sie den Remotewebaccess konfigurieren, haben sie auch ein gültiges Go Daddy-Zertifikat für den externen Namen.

Um ein solches Serverzertifikat zu verwenden, überprüfen Sie zunächst, ob das Zertifikat unter „Lokaler Computer – Eigene Zertifikate“ im Zertifikatspeicher gespeichert ist. Andernfalls importieren Sie das Zertifikat in diesen Ordner.

Führen Sie schließlich den SSL-Assistenten aus. Wählen Sie „vorhandene Zertifikate verwenden“. Verwenden Sie das interne Zertifikat für den kurzen NETBIOS-Namen auf Port 7783. Wählen Sie Ihr externes Zertifikat für Port 7784. Mehr zu den verwendeten Ports finden Sie wieder in der Online-Hilfe.

Essentials certificates

Sie können das externe Go Daddy-Zertifikat auf diesem Windows Server 2016 Essentials sehen.

Zusammenfassung

Dies schließt unsere Einführung in Zertifikate für heute ab. Wir werden dieses Thema in einem späteren Beitrag noch einmal betrachten, wenn wir mobile Geräte an Lights-Out anschließen. Wenn Sie von außen auf Lights-Out zugreifen möchten, lesen Sie bitte einstweilen im Online-Handbuch nach.

Hier finden Sie die komplette Liste aller Beiträge zu unserer Schritt-für-Schritt-Serie.

Related Posts

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert