Kurze Einleitung

Im IIS und auch in den meisten anderen Webservern ist es eigentlich vorgesehen, dass man ein Zertifikat für https-Websites (SSL) auf eine IP bindet (WebBinding). Oft werden jedoch mehrere Webseiten auf einem Webserver bereitgestellt und zusätzliche IP-Adressen werden, aufgrund knappen freien IPs, nur noch unter bestimmten Voraussetzungen zugeteilt. Außerdem besteht meistens seitens des Hosters nur eine begrenzte Anzahl weiterer IP-Adressen zu Verfügung.

Das sogenannte Server Name Indication (SNI) steht leider erst ab dem IIS 8.0 zur Verfügung. Damit wird es möglich sein, auf Hostname-Ebene Zertifikate zuzuordnen. Beim IIS 7.0 und 7.5 kann man sich mit Multidomain-Zertifikaten behelfen. Für jede Website müssen sogenannte Bindings erstellt werden. Für http-Bindings ist dies problemlos über die GUI möglich. Hier kann man einer Website ein oder mehrere Bindings zuordnen. Die Zuordnung findet anhand des Hostnames statt. Dadurch ist eine Website z.B. über www.xzy.de und über www.xyz.com verfügbar. Auf dem gleichen Server kann über dieselbe IP aber auch eine weitere Website über www.abc.de verfügbar sein. https-Bindings die über Hostnames zugeordnet werden, können leider nicht über die GUI angelegt werden.

Der Praktische Teil

Die Voraussetzung ist zunächst ein Multidomain-Zertifikat. Je nach Anbieter muss dies unterschiedlich erstellt werden (Sie können selbstverständlich auch über uns solche Zertifikate erwerben). Wichtig ist zu wissen, dass bei Multidomain-Zertifikaten stets jede Domain einzeln angegeben werden muss. Soll zum Beispiel eine Website unter www.xzy.de und nur xyz.de erreichbar sein, dann müssen beide Domains angegeben werden (beide werden leider auch berechnet). Dieses Multidomain-Zertifikat müssen Sie zunächst einer Website zuordnen. Hierfür bietet sich die Default-Website an.

iis-multidomain-ssl-002

Für alle weiteren Websites, die Sie über das Multidomain-Zertifikat absichern wollen, müssen Sie weitere Bindings erstellen. Dies geht am einfachsten über PowerShell. Für den IIS 7.0 müssen Sie dazu (neben PowerShell selbst, wenn noch nicht installiert) die PowerShell-Erweiterung für den IIS installieren (http://www.microsoft.com/en-us/download/details.aspx?id=15488). Ab dem IIS 7.5, sprich ab Windows Server 2008 R2 können Sie direkt loslegen. Starten Sie einfach eine PowerShell Konsole und geben Sie folgenden Befehl ein:

Import-Module WebAdministration

Hat es funktioniert, bekommen Sie kein Rückmeldung. Alternativ können Sie auch PowerShell Modules aus dem Startmenü starten. Sie sind nun bereit, den IIS per PowerShell zu verwalten.

iis-multidomain-ssl-001

Wechseln Sie nun in den Context des IIS, indem Sie folgenden Befehl ausführen:

iis:

Zunächst müssen Sie den Namen der Website ermitteln, für den Sie das neue Binding hinzufügen wollen. Dies können Sie natürlich über die GUI machen oder über folgenden PowerShell-Befehl:

cd sites
ls

Sie erhalten nun eine Liste aller Websites. Möchten Sie die Bindings einer einzelnen Website angezeigt bekommen, können Sie folgenden Befehl ausführen:

Get-WebBinding -Name <NAME_DER_WEBSITE>

Der wichtigste Part ist jedoch das Hinzufügen eines neuen Bindings. Führen Sie dazu folgenden Befehl aus:

New-WebBinding -Name <NAME_DER_WEBSITE> -IPAddress "*" -Port 443 -Protocol https -HostHeader <DOMAIN_NAME>

Wurde das Binding korrekt erstellt, erhalten Sie keine Fehlermeldung. Mit folgendem bekannten befehl können Sie noch mal prüfen, ob das Bindins korrekt angelegt wurde:

Get-WebBinding -Name <NAME_DER_WEBSITE>

iis-multidomain-ssl-003

Das war es schon. So einfach lässt sich ein Multidomain-Zertifikat mit dem IIS nutzen.

Kommentare (2)

  1. Peter Herzog

Sehr schöne Gestaltung, sehr gute Anleitung, ich bitte um Ergänzung für die Versionen ab 8.0 zur Vervollständigung des Themas

 

Vielen Dank für den freundlichen Kommentar. Ab Version 8.0 können wir über SNI für jedes Binding (Bindung) in der IIS Konsole direkt ein Zertifikat auswählen. Wir brauche da auch keine Multidomain-Zertifikate mehr.

 
There are no comments posted here yet

Einen Kommentar verfassen

Posting comment as a guest.
Anhänge (0 / 3)
Share Your Location