Kostenlose SAN-Zertifikate mit 3 Jahren Laufzeit

Neben Let’s Encrypt bietet auch WoSign kostenlose SAN-Zertifikate für beispielsweise Exchange Server an. Vorteil von WoSign: Die Zertifikate sind bis zu 3 Jahre gültig:

WoSign

WoSign ist eine chinesische CA, dessen Root-Zertifikat in allen gängigen Browsern und Betriebssystemen findet. Als Beispiel hier einmal Windows:

image

Damit sind die WoSign Zertifikate auf den meisten Geräten vertrauenswürdig. Da ich auf der Suche nach einem günstigen Zertifikat für mich privat war, habe ich Let’s Encrypt, sowie auch WoSign getestet. Wosign hat mir besser gefallen, da ich hier nicht alle 3 Monate das Zertifikat austauschen muss.

Vom Beantragen bis zur Ausstellung des Zertifikats vergingen nur ein paar Minuten. Für die private oder kleine Umgebung also durchaus zu empfehlen.

Hier können Zertifikate beantragt werden:

Hier hatte ich einmal beschrieben, wie eine Zertifikatsanforderung für öffentliche CAs mit Exchange 2013 (auch gültig für Exchange 2016) erstellt werden können:

Ich nutze das WoSign Zertifikat allerdings nicht direkt am Exchange Server sondern an der Sophos UTM WAF, auch hier gab es keine Probleme. Einfach alle DNS-Namen im CSR angeben und dann die Virtual Webserver en Namen auf dem Zertifikat entsprechend zuordnen:

image

image

Die komplette Anleitung für die Sophos WAF gibt es hier:

Auch Qualys SSL Labs haben an dem Zertifikat nichts zu bemängeln, WoSign stellt Zertifikate mit SHA256 aus:

Zertifikate

Ich werde mir auch noch einmal die Let’s Encrypt Clients für Windows anschauen, ich bin gespannt ob die mittlerweile etwas besser laufen.

Für alle die sich die Integration von Let’s Encrypt in der Sophos UTM ebenfalls wünschen, gibt es hier ein Feature Request:

Die Integration wäre meiner Meinung nach sehr hilfreich, ich habe da also ebenfalls 3 Votes abgegeben.

Zum Schluss noch ein wichtiger Hinweis: WoSign bietet an, das Zertifikat auch ohne entsprechenden CSR auszustellen. Das hört sich zwar einfach an, aber faktisch ist WoSign somit im Besitz des privaten Schlüssels und könnte theoretisch damit die Kommunikation entschlüsseln. Wer den CSR selbst einreicht, verhindert dieses Risiko, da der private Schlüssel auf dem eigenen Server bleibt.

Update 11.01.17: Apple hat die StartSSL und Woosign aus den vertrauenswürdigen CAs entfernt. Somit lassen sich diese Zertifikate nicht mehr mit Apple Geräten verwenden. Bei Let’s Encrypt gibt es weiterhin kostenlose Zertifikate.

6 Gedanken zu „Kostenlose SAN-Zertifikate mit 3 Jahren Laufzeit“

  1. Hallo,
    ich habe jetzt die ZIP Datei erhalten, u.a. ist dort ein ZIP Archvi „for IIS“ und dort sind 3 Zertifikate enthalten:
    1_cross_Intermediate.crt
    2_issuer_Intermediate.crt
    3_user_meine.domain.de.crt

    Welches nehme ich für den Exchange Server?
    Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path c:\???????????????.cer -Encoding byte -ReadCount 0))

    Viele Grüße,
    Oliver

    Antworten
  2. Hallo,

    sehe ich das richtig und man kann dort keine csr für einen selbsterstellten Key hochladen sondern nur die Domains und die geben einem dann das Zertifikat und auch den von denen erstellten privaten Key?
    Oder kann man beim weiteren Schritt die csr angeben und damit auch einen eigenen privaten Key verwenden?

    Gruß

    Chonta

    Antworten

Schreibe einen Kommentar