Was sollte bei der Bestellung von Multidomain/UCC Zertifikaten beachtet werden?

Aus SSLplus
Zur Navigation springen Zur Suche springen

Was sind UCC oder Multidomain Zertifikate

Bei den Multidomain oder auch UCC Zertifikaten handelt es sich um Zertifikate, die neben dem primären Hostnamen noch weitere Einträge enthalten. Diese werden üblicherweise als Server-Alternative-Names oder DNS-Alternatives in das Zertifikat eingetragen, so dass dieses nicht nur für den im Commonname eingetragenen primären Hostnamen gilt, sondern auch für die hinterlegten Aliases.

Was bedeutet SAN

SAN steht für Server Alternative Name

Was bedeutet UCC

UCC steht für Unified Communication Certificate. Der Begriff wird vor allem im Exchange Umfeld verwendet. Die Zertifikate konnten bis vor kurzem auch nicht öffentliche Hostnamen mit internen TLDs enthalten (.local etc.)

Einsatzgebiet

SAN, Multidomain oder auch UCC Zertifikate haben sich vor allem im Exchange Umfeld eine großen Beliebtheit erfreut, da man zu moderaten Kosten alle notwendigen Hostnamen per SSL sichern konnte. Outlook und Active Sync Clients konnten so ohne Warnmeldung mit dem Exchange per >>autodiscover<< verbunden werden. Auch interne Hostnamen liessen sich problemlos abdecken.

Önderungen seit 2013

Viele CAs haben bereits seit 2013 die Aufnahme der lokalen Endungen verboten. Seit Oktober letzten Jahres werden diese generell nicht mehr mit aufgenommen, bzw. Wird die Gültigkeit von Zertifikaten, die diese Hostnamen noch enthalten, auf das Ende des Supports für lokale Domain-Endungen in ihrer Laufzeit begrenzt. (31.10.2015)

Diese Önderungen die das CA Browser Forum verabschiedete, erzwingen Önderungen an der Serverkonfiguration, die mittel Split DNS und Öndern der Dienste URLs umgesetzt werden können: Umstellung auf SplitDNS und Aktualisierung der Dienste URLs

Alternativen zum SAN Zertifikat

Es ist prinzipiell auch möglich ein Wildcard Zertifikat als Ersatz für ein Wildcard Zertifikat zu verwenden. Dabei muss jedoch darauf geachtet werden, dass die anzubindenden Clients die Wildcard als solche und nicht einfach als das Zeichen * interpretieren.

Speziell Windows Versionen vor Vista haben mit den Wildcards Probleme. Auch Windows Mobile 5 hat Schwierigkeiten die Wildcard korrekt zu interpretieren.

Seit Exchange 2007 läßt sich das Problem wie folgt lösen:

Set-OutlookProvider -Identity EXPR -CertPrincipalName msstd:*.contoso.com

Details: Platzhalterzertifikat verursacht Clientverbindungsprobleme bei Outlook Anywhere