Von IIS zu Apache migrieren - Problem mit SSL Zertifikaten

Alles, was den Apache betrifft, kann hier besprochen werden.

Von IIS zu Apache migrieren - Problem mit SSL Zertifikaten

Postby limepix » 04. January 2012 13:40

Hallo zusammen :)

Ich arbeite momentan an einer Lösung für ein größeres Projekt meiner Firma und stoße auf, naja, mittelgroße Probleme...
Am besten wäre wahrscheinlich, erst mal das Umfeld zu beschreiben...

Wir haben ein altes Produkt (eine Website), das seit mittlerweile 10 Jahren von uns verkauft wird und auch nach wie vor im Einsatz ist. Diese Webanwendung ist in ASP geschrieben und läuft bei unseren Kunden auf den dortigen Windows Server im IIS. Die Server die bei den Kunden vor Ort stehen, sind Windows Server 2003, teilweise auch 2008 und werden aber nach wie vor von uns betreut / verwaltet.
Diese Anwendung (besser gesagt die Umgebung) wurde so abgesichert, dass man nur darauf zugreifen kann, wenn man von dem entsprechendem Server (Jeder der Server ist eine eigenständige CA) ein Clientzertifikat besitzt. Wir verwenden also die Windows-eigenen Zertifikatsdienste, um diese Anwendung abzusichern. Der Arbeitsablauf sieht so aus, dass die Kunden dann bei uns anrufen, wenn diese einen neuen "externen Benutzer" haben und wir stellen für diesen dann das Zertifikat aus.

Dieses Webanwendung wurde (bzw. wird gerade) durch eine Java Webapplication abgelöst, die in einem Applicationserver (Tomcat) läuft.
Der Plan ist es, dem Tomcat die Ausführung der Webanwendung zu überlassen und das SSL-Thema auf einen vorgelagerten Apache Proxy auszugliedern.
Wie man Apache mit OpenSSL und eigenen Zertifikaten absichert, ist soweit kein Problem, dazu gibt es ja haufenweise Anleitungen im Netz. Wie man in einem solchen Szenario aber von IIS+WindowsZertifikatsdienste auf Apache+OpenSSL wechselt - ?? Fehlanzeige! :(

Über die Jahre sind nach diesem Verfahren über 2000 Zertifikate ausgestellt worden (manche Kunden haben nur 5 oder 6 externe User einige aber 100 und mehr) die auch alle noch gültig sind.

Und nun zu meinem Problem:
Zwingende Voraussetzung ist, dass die bereits ausgestellten Zertifikate weiter verwendet werden können und man auch neue Zertifikate ausstellen kann.

So wie ich das sehe, hat man über die Windows Zertifikatsdienste keine Möglichkeit die CA/Schlüssel/Zertifikate so zu exportieren, dass OpenSSL diese weiterverwenden kann...

Jemand Vorschläge wie man das bewerkstelligt?

Danke schon mal :)
limepix
 
Posts: 1
Joined: 04. January 2012 13:03
Operating System: Linux Mint 12

Return to Apache

Who is online

Users browsing this forum: No registered users and 36 guests