Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Software-update: Certify SSL Manager 4.1.4

Certify SSL Manager logo (80 pix) Let's Encrypt is een initiatief is om zoveel mogelijk sites https-ondersteuning te geven door gratis ssl-certificaten te verstrekken en de implementatie makkelijker te maken. De meeste tools hiervoor zijn echter alleen beschikbaar vanaf de commandline. Certify SSL Manager biedt een grafische interface voor het aanvragen en beheren van deze certificaten op Windows Servers met IIS. De ontwikkelaars hebben kort achter elkaar twee nieuwe versies uitgebracht, die elk een klein probleem verhelpen.

Changes in version 4.1.4:
  • Fix: Microsoft.Management.Infrastructure exception on Server 2008 R2. Users on older versions of windows are advised to have the latest version of the Windows Management Framework installed unless they have compatibility requirements that prevent that.
Changes in version 4.1.3:
  • Fix: avoid Microsoft.Management.Infrastructure exception on Server 2008 R2

Versienummer 4.1.4
Releasestatus Final
Besturingssystemen Windows Server 2008, Windows Server 2012, Windows Server 2016
Website Certify SSL Manager
Download https://certifytheweb.com/home/download
Licentietype GPL

Door Bart van Klaveren

Downloads en Best Buy Guide

04-02-2019 • 14:13

17 Linkedin

Submitter: SiGNe

Bron: Certify SSL Manager

Reacties (17)

Wijzig sortering
Dit ziet eruit als een handige tool. Waarom zou ik in mijn enterprise Windows omgeving nog gekochte certificaten willen gebruiken binnen IIS, als ik op deze manier een gratis (en automatisch vernieuwd) alternatief heb?
Je kon sinds mensenheugenis toch al self signed certs gebruiken? Of moete deze IIS van buiten benaderd kunnen worden?
Dat klopt PcDealer. Self Signed certificaten zijn nooit het probleem geweest. Echter hosten wij ook sites die publiek beschikbaar moeten zijn. Denk bijvoorbeeld aan een RDweb omgeving, of een zelf gemaakte klantenportaal.

Daar kopen wij nu jaarlijks certificaten voor. Als ik dit zo lees, zit er geen nadeel vast aan het gebruik van deze tool.
Geen nadeel anders dan dat de certificaten slechts beperkt geldig zijn. Ondersteuning van Linux is TopNotch maar Windows loopt helaas nog achter. IIS werkt prima maar je RD gateway zal bijvoorbeeld wat scripting nodig hebben..

Ow, en goede monitoring. Als cert renewel niet goed gaat vallen er vaak zaken om.
Die monitoring is inderdaad verstandig. Ook voor handmatig beheerde certificaten natuurlijk.

Ik gebruik hiervoor uptimerobot.com. In het Pro plan monitoren ze automatisch de verloopdatum van de certs voor alle sites die met https beginnen. Zie https://blog.uptimerobot.com/introducing-ssl-monitoring/
je RD gateway zal bijvoorbeeld wat scripting nodig hebben
Gelukkig voorzien de docs van Certify daar al in :)
Is idd voor certs van buiten :-)
Er zijn nog steeds genoeg redenen voor gekochte certificaten:

Via LetsEncrypt krijg je geen EV-certificaat
Certificaten zijn slects 3 maanden geldig, wat lastig is als je het certificaat gebruikt buiten IIS (hoewel je met Certify PS scripts kan draaien waarbij je direct het nieuwe certificaat in een variabele hebt, om het certificaat voor andere diensten gebruiken. Maar alsnog: het wisselen van een Terminal Services certificaat vereist het onderbreken van alle open TS verbindingen. Zelfde voor een RRAS certificaat en RRAS verbindingen)
Waren EV ceritifcaten niet zinloos geworden door het laten vallen van de "groene balk"? (https://www.thesslstore.c...e-indicator-in-september/, https://www.troyhunt.com/...on-certificates-are-dead/, https://www.reddit.com/r/...splays_ev_https_in_green/)

Onder Linux is het de bedoeling dat je de CertBot als cronjob/timer laat draaien. Dan wordt er twee keer per dag gekeken of er certificaten aan verlenging toe zijn. Zo vernieuw ik automatisch een handvol certificaten die ik gebruik onder Apache, Postfix en Dovecot. Geen centje pijn.

Hoe je dit onder Windows doet kan ik zo niet ophoesten, maar daar moet iets vergelijkbaars voor zijn.
Het automatisch vernieuwen doe je precies met dit programma :).

Het probleem is dat enkele Windows services niet van certificaat kunnen wisselen zonder de service te herstarten, en je daarbij de open verbindingen verlies (of ik ben te dom om uit te zoeken hoe dat wel moet). Je kan het wel automatiseren, maar hebt dan elke drie maanden een korte onderbreking. Niet erg, maar als dat ook elk jaar of elke twee jaar kan, kan ik me voorstellen dat je dat liever hebt
Let's Encrypt-certificaten worden niet na 90 dagen vernieuwd: ze verlopen na 90 dagen. Certbot (en WACS) vernieuwen certificaten vanaf 30 dagen voor hun expiry - ofwel elke 2 maanden. Idealiter configureer je de renewal op een tijdstip waarop de minste users er last van zullen hebben.

De aanbeveling van LE is om dit dagelijks te doen, zodat je geen last hebt van eventuele downtime van LE's servers. Er staat je echter niks in de weg om de schedule op za 02:00, zo 02:00 en ma 02:00 in te stellen, en dus niet te renewen op werkdagen.

Een korte onderbreking van Remote Desktop en VPN is helaas onoverkomelijk, maar -vooropgesteld dat alles goed gaat- zullen gebruikers hier minimale hinder van ondervinden (zeker als de renewal 's nachts gebeurt). De hinder van het niet tijdig renewen van een betaald certificaat is groter :)
Ik weet niet of dat onoverkomelijk is. Volgens mij is het certificaat alleen maar nodig bij de TLS handshake en key exchange. Daarna is het volgens mij gedurende een sessie niet meer nodig. Dus waarom bij RDP of een VPN server dan niet eenvoudig een certificaat kan worden gewisseld is mij eigenlijk een raadsel. Ook al wordt het certificaat gewijzigd dan kunnen alle bestaande sessies volgens mij gewoon blijven bestaan.
Exchange moet niet herstarten afaik.

Ik heb zelfs een aangepast script voor SBS2011 waarbij ik de hostfile aanpas net voor m'n renewal, en hostfile terug goedzet erna ^^

[Reactie gewijzigd door MetalG op 4 februari 2019 18:20]

Onder Windows kun je dit programma gebruiken, of WACS (commandline). Je kunt dan ook custom commands laten uitvoeren, bijvoorbeeld om certificaten te installeren in een omgeving anders dan IIS. :)
Dit ziet eruit als een handige tool. Waarom zou ik in mijn enterprise Windows omgeving nog gekochte certificaten willen gebruiken binnen IIS, als ik op deze manier een gratis (en automatisch vernieuwd) alternatief heb?
Als je certificaten koopt die een groene adresbalk afbeelden, dan kun je beter bij de gekochte versie blijven, want Let's Encrypt ondersteunt dat niet.
Verder lijkt het mij geen probleem, ik doe het zelf ook met LE.
Klein nadeel is dat je wat vaker moet vernieuwen.

[Reactie gewijzigd door ASS-Ware op 4 februari 2019 14:50]

Die groene balken werken al niet meer in Google Chrome en ook Firefox stopt hiermee volgens mij. Er is geen reden om 'gevalideerde' dure certificaten aan te schaffen. Als je ziet wat ze daadwerkelijk ook valideren weet je direct dat het dikke onzin is..

Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True