Intranet Linux Apache Server mit SSL-Verschlüsselung die von Domänen-Client-PCs als „sicher“ eingestuft wird.
Windows Server:
servername.firma.intern als DNS Eintrag auf dem DC hinzufügen:
DNS-Manager
DNS -> DC -> Forward-Lookupzonen -> firma.intern
Rechtsklick -> Neuer Host
Name -> Servername
IP-Adresse -> IP vom Server eintragen (für diese Anleitung verwende ich im folgenden 192.168.1.23 als IP)
-> Host hinzufügen
Linux Server:
mkdir /etc/apache2/ssl
cd /etc/apache2/ssl
openssl genrsa 2048 > server.key
openssl req -new -sha256 -key ./server.key > request.csr
Country Name (2 letter code) [AU]:DE
State or Province Name (full name) [Some-State]:Bundesland
Locality Name (eg, city) []:Stadt
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Firma
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:servername.firma.intern
Email Address []:email@firma.dePlease enter the following ‚extra‘ attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
cat request.csr
in die Zwischenablage kopieren
Windows Server:
Es muss die Rolle Active Directory-Zertifikatdienste aktiv sein (Zertifizierungsstelle und Zertifizierungsstellen-Webregistrierung).
Powershell (dies aktiviert SAN damit auch Chrome das Zertifikat akzeptiert):
certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
certutil -setreg ca\csp\CNGHashAlgorithm SHA256
net stop certsvc
net start certsvc
Internet Explorer als Admin starten
http://server/certsrv
-> Ein Zertifikat anfordern
-> erweiterte Zertifikatanforderung
-> Reichen Sie eine Zertifikatanforderung ein, die eine Base64-codierte CMD- oder PKCS10-Datei verwendet…
Zertifikat- oder Erneuerungsanforderung einreichen
Base-64-codierte Zertifikatsanforderung (CMC oder PKCs #10 oder PKCS #7)
-> aus Zwischenablage einfügen
Zertifikatsvorlage: Webserver
bei Attribute:
san:dns=servername.firma.intern&dns=192.168.1.23&ipaddress=192.168.1.23
-> Einsenden
Zertifikat wurde ausgestellt
-> Base-64-codiert
-> Download des Zertifikats
mit WinSCP auf den Linux Server kopieren
Linux Server:
mv /home/user/certnew.cer /etc/apache2/ssl/server.cer
chown root:root server.cer
chmod -R 600 /etc/apache2/ssl
vi /etc/apache2/sites-available/default-ssl.conf
einfügen:
SSLCertificateFile /etc/apache2/ssl/server.cer
SSLCertificateKeyFile /etc/apache2/ssl/server.key
a2enmod ssl
a2ensite default-ssl
systemctl reload apache2
Dann sollten Edge und Chrome https://servername.firma.intern/ und https://192.168.1.23/ akzeptieren.
Im Firefox muss man noch eine Einstellung setzen damit Domänen-Zertifikate funktionieren:
about:config
security.enterprise_roots.enabled von false auf true setzen (Rechtsklick -> umschalten)