IIS verbindet über den falschen DNS Namen

Folgen

Problem:

Die Verbindung zwischen IIS und Datenbank wird mittels Zertifikat geschützt. Der IIS spricht hier den letzten DNS Namen welcher im Zertifikat als alternativer Antragsteller hinterlegt ist an. Dies kann zu Problemen führen.

Lösung:

​​​​We​​baccess Login​einrichtung

​Es besteht die Möglichkeit bei Bedarf den Loginablauf zu beeinflussen.​​

Dies kann wie folgt gemacht werden:

1. ​​Web.config Datei öffnen mit einem Editor (Notepad, ...)​

webconfig2.png

2. We​rte in der Web.config anpassen

 

1. Überprüfung mit übergebenem Zertifikatsthumbprint

 

    <add key="DoCheckServerCertificateChain" value ="true oder false"/>
    <!-- 0 = Interne Prüfung von WCF, 1 = Übergebenen DNS-Namen prüfen, so wie er im Serverzertifikat angegeben ist(DNS-Name an letzter Stelle), 2 = Serverzertifikat muss zu übergebenem Zertifikatthumbprint passen.    -->
    <add key="ServerCertificateCheckMode" value ="2"/>
    <add key="ServerCertificateName" value=""/>
    <add key="ServerCheckCertificateThumbPrint" value="f41a5ec71c31f12d0b20f0264cd4b9b3a52dd001​​"/>
 
 

​​DoCheckServerCertificateChain:

True wenn das Zertifikat aus einer gültigen Zertifikatskette kommt. ​Sollte sicherheitstechnisch immer auf true sein. Kann aber auch auf false gestellt werden wenn die Überprüfung nicht stattfinden soll.​

ServerCheckCertificateThumbPrint:

Der ServerCheckCertificateThumbPrint kann gefunden werden unter:

Zertifikate >> EigeneZertifikate >> Zertifikate >>

 

Wie im Screenshot unten zu sehen ist muss aus dem Feld "Fingerabdruck" der Wert kopiert werden und in einen Text-Editor eingefügt werden. Hier dann die Leerzeichen entfernen.

P.S. Möglicherweise muss man am anfang dieses Wertes noch ein unsichtbares Zeichen löschen.


Der Wert sieht dann wie folgt aus: f41a5ec71c31f12d0b20f0264cd4b9b3a52dd001

24-08-_2016_13-54-22.png

​2.​ Überprüfung ​mit übergebenem DNS-Namen

    <add key="DoCheckServerCertificateChain" value ="true oder false"/>
    <!-- 0 = Interne Prüfung von WCF, 1 = Übergebenen DNS-Namen prüfen, so wie er im Serverzertifikat angegeben ist(DNS-Name an letzter Stelle), 2 = Serverzertifikat muss zu übergebenem Zertifikatthumbprint passen.    -->
    <add key="ServerCertificateCheckMode" value ="1"/>
    <add key="ServerCertificateName" value="172.27.27.188"/>
    <add key="ServerCheckCertificateThumbPrint" value=""/>
 
 

​​DoCheckServerCertificateChain:

True wenn das Zertifikat aus einer gültigen Zertifikatskette kommt. ​Sollte sicherheitstechnisch immer auf true sein. Kann aber auch auf false gestellt werden wenn die Überprüfung nicht stattfinden soll.

ServerCertificateName:

Der ServerCertificateName kann gefunden werden unter:

Zertifikate >> EigeneZertifikate >> Zertifikate >>

 

Dabei muss dann der LETZTE DNS-Name ausgewählt werden da nur dieser in der aktuellen MVC Version unterstützt wird. 

 

24-08-_2016_13-49-19.png 

​​​​3. IIS Neustart​

​Gegebenenfalls den IIS neustarten in dem der PWA eingebunden ist. Um mögliche Konflikte aus dem Weg zu gehen.

Haben Sie Fragen? Anfrage einreichen

Kommentare