WHS 2011 mit eigenem SSL-Zertifikat ausstatten

Aufgaben des WHS 2011
12. Oktober 2011
Bitlocker Verschlüsselung aufheben
11. Januar 2012

Der WHS 2011 bietet die Möglichkeit eine Remotewebsite oder sogar mehrere im Internet verfügbar zu machen. Darüber kann man selbst, oder andere, von außerhalb auf freigegebene Inhalte, wie Music, Videos, Bilder und Dateien zugreifen. Beim WHS 2011 ist eine kostenlose Subdomain *.homeserver.com enthalten. Diese lässt sich einfach über das Dashboard und dem Remotewebsite-Wizard konfigurieren. Mit Hilfe eines Shared-Hoster und der Möglichkeit bei diesem eine DynDNS Weiterleitung für eine Domain oder Subdomain einzurichten ist es auch möglich auf die mitgelieferte *.homeserver.com Adresse zu verzichten. Das Ganze hat nur einen Haken: Der Webbrowser spuckt bei der erstmaligen Verbindung eine Fehlermeldung aus. Diese Fehlermeldung wird verhindert durch kostenpflichtige Zertifikate von diversen Anbietern oder mit den kostenlosen Zertifikaten von StartSSL oder CA-Cert. [Den Zertifikaten von StartSSL wird von den meisten Browsern vertraut (darunter IE, Firefox, Chrome Opera), den von CA-Cert von keinen ohne eigenes Eingreifen.] Wie das funktioniert zeige ich im Folgenden.

Router einrichten
Was ich nicht zeigen werde, ist, wie der Router richtig konfiguriert werden muss, damit die Webseite vom Internet aus erreichbar ist. Dies funktioniert manuell über das Konfigurationsmenü des Routers oder automatisch bei angeschaltetem UPnP mit dem Einrichtungs-Wizards des Homeserver 2011. Dabei sollte die Domain Einrichtung abgeschaltet werden oder erst gar nicht konfiguriert werden.
Wichtig ist weiterhin: Die Ports 80 und 443 sollten auf die Netzwerkinterne IP-Adresse des WHS2011 weitergeleitet werden. Per UPnP wird dies automatisch gemacht. Alle anderen Ports sollten aus Sicherheitsgründen mit der Router-Firewall deaktiviert/blockiert werden.

Serverwebseite einrichten
Mit dem Dashboard kann unter Servereinstellung/Remotewebzugriff -> Aktivieren Die Website aktiviert und eingerichtet werden. Siehe die Bilder 1-6 der Bildergalerie.

Nun zur Installation des Zertifikats
Um das Zertifikat installieren zu können navigiert zu Server-Manager/Rollen/Webserver (IIS) -> Homeserver -> Serverzertifikate (Bild 7). Dort klickt auf Importieren (Bild 8), wodurch sich ein neues Fenster öffnet in welchem ihr den Speicherort und das Passwort des Zertifikats. Der WHS 2011 verlang dabei ein Zertifikat mit der Endung .pfx. Bei mir hat es mit der Datei, welche ich von StartSSL durch Konvertierung mit dem PFX-Tool erhalten habe auch funktioniert, obwohl dieses Zertifikat die Endung .p12 hat. Das Zertifikat sollte exportierbar sein, damit es als Website-Zertifikat benutzt werden kann. (Bild 9 und Bild 10)

Verwendung bei der Remotewebseite
Nun geht es weiter zu Server-Manager/Rollen/Webserver (IIS) -> Homeserver/Sites/Default Web Site -> Bindung (Bild 11) womit sich wieder ein neues Fenster öffnet (Bild 12). Dort wählt ihr dann den Port 443 aus und klickt auf bearbeiten. Es öffnet sich ein weiteres Fenster bei dem man das Zertifikat aus einer Drop-Down Liste auswählen kann. Voreingestellt sollte das lokale Homeserver Zertifikat sein. (Bild 13).

Nun ist der Homeserver mit dem neuen und richtigen Zertifikat eingerichtet und die Remotewebsite kann ganz normal, jedoch ohne Fehlermeldungen abgerufen werden. (Bild 14)

Anmerkung für Benutzer, die ihre eigene Zertifizierungsstelle betreiben
Damit das Domain Zertifikat gültig ist, müssen gültige Stamm und Zwischenzertifizierungsstellen installiert sein.

4 Kommentare

  1. Simon sagt:

    Hallo,

    ich habe nach deiner Anleitung ein StartSSL-Zertifikat installiert. Allerdings war ich so frei und habe einfach das bestehende selbst ausgestelte Zertifikat gelöscht.
    Wenn ich es jetzt wieder importieren möchte bekomme ich den Fehler:
    „Das Zertifikat enthält keinen Privaten Schlüssel“.
    Wenn ich die Webseite besuche verwende ich das richtige Zertifikat von StartCom.
    Allerdings funktioniert die Webseite selbst nicht mehr mit einem Laufzeitfehler.

    Hast du dafür auch eine Lösung?

    • Thilo sagt:

      Versuche mal, die Remotewebseite im Dahsboard zu deaktivieren, und erneut zu aktivieren. Soweit ich mich errinnere, wird dadurch das StartSSL Zertifikat ignoriert und das eigene Zertifikat genutzt. Ich hoffe, dass somit ein neues Zertifikat erstellt wird und genutzt wird. Danach nocheinmal der Anleitung folgen, jedoch ohne die HOMESERVER-Zertifikate zu löschen. Die normalen Zertifikate werden auch für die Netzwerkinterne verschlüsselung verwendet, wie z.B. bei der Installation der Client Software.

      Bei einer Neuinstallation würde auch ein neues zertifiakt generiert werden ;-). Ich nehme jedoch an, dass dies der zu vermeidende Overkill ist.

      Bezüglich des Fehlers “Das Zertifikat enthält keinen Privaten Schlüssel”: Hast das Zertifikate vorher auf dem Server gesichert, oder hast du das Zertifiakt vom Clienten reimportiert? Also z.B. aus dem Speicher des Internet Explorers? Hasst du auch alle übergeordneten Zertifikate reimportiert?

      Ich schaue mal ob ich darüber was finde. Ich schreibe dir dann eine Mail.

      • Simon sagt:

        Deine erste Idee hatte ich auch schon (war auch meine erst). Allerdings startet das Dashboard wegen einem Zertifikatsfehler auch nicht mehr.
        Der WHS scheint da extrem sensibel zu sein.
        Es wird wohl auf deinen genannten Overkill hinaus laufen.

        • Thilo sagt:

          Wenn du dich mit PKI auskennen solltest, oder jemanden in der nähe hast, der sich damit auskennt, kannst du versuchen ein neues Zertifikat zu erstellen. Wie das geht, weiß ich nicht. Müßte jedoch möglich sein. Ansonsten gäbe es noch die Möglichkeit, wenn du den Server irgendwann mal gebackupt hast, dieses Backup in einer virtuellen Maschine zu mounten, dort die Schlüssel zu exportieren und diese dann auf deinem jetztigen WHS wieder zu importieren.

Kommentar verfassen