Monatliche Archive: Oktober 2018

Wildcard Zertifikat unter Windows erstellen und einrichten

Kategorie: Diverse , Server

Installieren Sie bitte OpenSSL (gibt es auch als Windows Version).

Öffnen Sie eine privilegierte Shell (CMD > rechte Maustaste > als Administrator ausführen) und gehen Sie nach C:\OpenSSL-Win32\bin und geben Sie folgenden Befehl ein:

openssl genrsa -out wildcard.domain.de.key 2048

Anschließend geben Sie folgenden Befehl ein:

openssl req -new -sha256 -key wildcard.domain.de.key -out wildcard.domain.de.csr

Öffnen Sie nun die Datei wildcard.domain.de.csr und kopieren Sie den Inhalt und erstellen sie damit ihr Zertifikat (z.B. bei SSLs.com).

Die anschließend erhaltenen Dateien kopieren Sie in eine Datei zusammen in folgender Reihenfolge in die Datei C:\Openssl-Win32\bin\wildcard-domain-de.pem):

  • Zertifikat (vom Anbieter erhalten)
  • Keydatei (Inhalt der Datei wildcard.domain.de.key)
  • Inhalt aus der Datei ca-bundle oder erst das Root Zertifikat sowie die weiteren Intermediate Zertifikate

Geben Sie nun den folgenden Befehl ein in der Shell und merken sie sich unbedingt das Kennwort:

openssl pkcs12 -export -out wildcard-domain-de.pfx -in wildcard-leibling-de.pem

Sie sollten nun eine PFX Datei erhalten, welche sie unter Windows einbinden können.

Starten Sie dazu mmc.exe und gehen sie auf Datei > Snap-In hinzufügen > Zertifikate > Computerkonto. Dort können sie das Zertifikat importieren.

In den Bindungen des Internetmanagers können sie in der entsprechenden Site das Zertifikat zuordnen.

Weitere Links:

 


Windows/IIS: TLS absichern

Bei der Prüfung eines alten Windows 2008 R2 Servers mit Greenbone Security Assistent wurden mir mehrere Probleme ausgegeben, da der Windows Server 2008 R2 einige Optionen nutzt, die als nicht mehr sicher gelten.

Diese kann man per Registry de- bzw. aktivieren, was jedoch sehr unkomfortabel ist. Einfacher geht es mit dem IIS Crypto Tool 2.0 – dies bietet alle Optionen an und dies sogar noch mit komfortablen Templates.

Die Sicherheit kann man anschließend mit dem SSL Lab Test verifizieren.

Benötigt man ein Offline Tool, da der Server nicht von extern erreichbar ist, kann man ein Tool von Github nutzen, welches auch für Windows existiert.

Anschließend noch SMTP mit TLS testen.

In größeren Umgebungen (hier in dem Beispiel zwei Exchange Server die über Windows Clusterdienste NLB für CAS und Hubtransport zur Verfügung stellen) sollte man behutsam umgehen, ich bin wie folgt vorgegangen:

  • Entfernen EXCHANGE1 aus dem NLB (ca. 5 Sekunden unterbrechung, evtl. kommt kurz bei Clients das Anmeldefenster – wenn zuvor auf dem EXCHANGE1 verbunden gewesen)
  • Warten bis die Warteschlange geleert wurde und kontrollieren, das diese nicht mehr füllt
  • Erstellen Snapshot, falls was schief laufen sollte
  • Erstellen Security-Übersicht
  • Anpassen der Security
  • Kontrolle der Security-Einstellungen
  • Einbinden wieder in den NLB
  • Anpassen der Security-Einstellungen wie auf EXCHANGE1 auf dem EXCHANGE2
  • Testen von Extern mit ausgiebigem Sicherheits-Bericht
  • Besprechen ob Einstellungen anwendbar
  • Testen mit Penetrationstool
  • Wenn alles sauber funktioniert, bereinigen der Snapshots

Quellen: