Bei der Erzeugung einer Verlängerungsanforderung (eines Verlängerungs-CSR) verwendet der Internet Information Server (IIS) nicht die Angaben der ursprünglichen Anforderung sondern die Daten, die im Zertifikat stehen. Bei domainvalidierten Zertifikaten wirft dieses Vorgehen leider das Problem auf, dass die in der Ursprungsanforderung ausgefüllten Felder Ort, Land, Bundesland und E-Mailadresse geleert worden sind, jedoch bei dem Einreichen einer neuen Anforderung bei uns zwingend erforderlich sind. Die Organisation ist mit dem Domainnamen überschrieben und in der Unterorganisation steht häufig ein Hinweis auf die Domainvalidierung, ggf. sogar eine Internetadresse der ausstellenden Zertifizierungsstelle.

Ein solches CSR kann leider zur Verlängerung nicht verwandt werden. Microsoft ist das Problem bekannt, jedoch hat man noch keine Lösung, aber einen Workaround (eine Umgehung des Problems) vorgestellt. Hierzu nimmt man eine andere virtuelle Site auf dem Server, an der noch kein SSL konfiguriert ist (notfalls erstellt man vorübergehend eine temporäre Site) und erstellt an dieser eine neue Anforderung. Diese speichert man ausstehend und installiert anschließend an dieser auch das Zertifikat. Nachdem das Zertifikat sich auf dem Server befindet, kann man es von der virtuellen Site wieder entfernen, es bleibt trotzdem im Zertifikatsspeicher des Servers erhalten. Nun wählt man die Site, an der das Zertifikat tatsächlich laufen soll, entfernt das laufende Zertifikat und ersetzt es durch das neu ausgestellte, welches man anschließend aus dem Zertifikatsspeicher wählen kann.

Alternativ kann man natürlich auch auf der laufenden Site das Zertifikat zunächst entfernen und eine neue Anforderung erstellen, jedoch hat man dann für eine gewisse Übergangszeit kein Zertifikat an dieser Site konfiguriert und damit auch vorübergehend keine SSL-Funktionalität.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.