WHS 2011: Mit eigener Domain und eigenem Zertifikat betreiben

Der Windows Home Server 2011 kann mit einem dynamischen Domain Namen betrieben werden. Dieser kann auch aus einer richtigen Domain bestehen und muss keine Subdomain von homeserver.com sein. Aktuell gibt es hierfür jedoch nur zwei Anbieter, welche für diese Dienstleistung jedoch um die 50 US$ im Jahr möchten.

Domains an sich kosten fast nichts mehr und auch SSL-Zertifikate sind für wenig Geld bist kostenlos zu bekommen. Auch diese sind in der WHS einsetzbar. Die nachfolgende Kurzanleitung zeigt wie. Allerdings ist das nicht für Laien gedacht!

Was wird benötigt?

Wer keine feste IP-Adresse besitzt, benötigt eine Domain, welche er per dynamisch updaten kann. Fast alle DynDNS-Anbieter bieten auch Domains an und das in der Regel zu günstigeren Preisen als die von Microsoft angepriesenen Anbieter. Theoretisch kann man auch eine eigene Domain per CNAME auf einen DynDNS-Hostname umbiegen. Allerdings funktioniert dies nur mit einer Subdomain wie z. B. www.domain.de (die Hauptdomain darf per Definition kein CNAME-Record sein).

Zusätzlich wird ein SSL-Zertifikat benötigt. Anbieter hierfür gibt es wie Sand am mehr und in jeder Preisklasse. Es gibt auch kostenlose Anbieter, die auch nicht schlechter sind. Wichtig ist, dass das Zertifikat für Windows in einer Datei inkl. dem Key vorliegen muss. Also am besten per .pfx oder .p12 Datei. Ebenfalls müsse eventuell benötigte Zwischenzertifikate vorliegen.

Man sollte auf jeden Fall darauf achten, dass man einen Anbieter wählt, dessen Stammzertifikat in den Browsern enthalten ist. Zwar haben die letzten Sicherheitslücken bei diversen Anbietern gezeigt, das diese nicht wirklich sicherer sind als kostenfreie (z. B. CA-Cert), aber wenn ich jedes Mal eine Fehlermeldung über das Stammzertifikat bekomme, kann ich genauso eine Fehlermeldung aufgrund eines nicht übereinstimmenden Domainnamens akzeptieren. Die Verschlüsselung würde nach dem Akzeptieren in beiden Fällen trotzdem funktionieren.

Domaineinrichtung und Zertifikatsimport

Die Domain muss auf die WHS bzw. auf den davor geschalteten Router zeigen. Diese Arbeit kann die WHS nicht wirklich übernehmen, sondern muss von uns übernommen werden. Ob die Domain statisch geschalten wird oder ob diese per Skript aktualisiert wird (siehe z. B. hier), kommt immer auf den Anwendungsfall an. Im WHS muss nichts weiter geändert werden, denn der Server reagiert automatisch auf alle lauschenden IP-Adressen und somit auf die Weiterleitungen des Routers bzw. die darauf zeigende Domain.

Liegt das Zertifikat im richtigen Format vor inkl. Key und im besten Fall allen notwendigen Stamm- und Zwischenzertifikaten, so importieren wir dieses nun. Hierzu starten wir die “mmc” und fügen das Snap-In “Zertifikate” für das “Computerkonto” am lokalem System hinzu. Unter “Eigene Zertifikate” klickt man mit rechts auf “Zertifikate”, wählt dort “Alle Aufgaben” und klickt auf “Importieren”. Im Dialog wählt man nun die Zertifikatsdatei aus und gibt noch das Passwort ein. Schon sollte das Zertifikat importiert sein.

Verwendung des Zertifikats im IIS

Der verwendete Webserver des WHS ist der Internet Information Server (kurz IIS) von Microsoft und diesen müssen wir nun noch mitteilen, dass er das gerade importiere Zertifikat zu verwenden hat. Im Startmenü gibt es den Punkt “Internetinformationsdienste (IIS)-Manager”. Diesen startet man und klickt sich dann durch den Baum zu den Seiten. Relevant sind die Bindungen der “Default Website” (rechter Mausklick auf diese, Menüpunkt Bindungen) und dort der Punkt für den verschlüsselten https Port (443). Klickt man hier auf Bearbeiten, so kann man das Zertifikat auswählen, welches verwendet werden soll. Hier wählt man das importierte Zertifikat aus und bestätigt dieses. Durch einen Neustart der Website (rechter Bereich) sollte die Webseite jetzt über die Domain ein sauberes Zertifikat liefern.

Remote Desktop Gateway Dienst

Etwas komplizierter ist es, das Dashboard über die Webseite zum Laufen zu bekommen. Grund ist, dass hierfür der Remote Desktop Gateway Dienst verwendet wird. Der für die Einstellungen benötigte Gateway Manager ist beim WHS nicht installiert und diese Rolle muss erst nachinstalliert werden. Hierfür muss der Servermanager gestartet werden und im Punkt Rollen, die Rolle Terminaldienste hinzugefügt werden. Sind diese nämlich installiert, findet man unter Start, Verwaltung, Remotedesktopdienste den Remotedesktopgateway-Manager.

Wenn man diesen startet, klickt man rechts auf die WHS und dann auf Eigenschaften. Im Reiter SSL-Zertifikat kann man nun das importierte Zertifikat importieren. Hat man das geschafft, kann auch das Dashboard über die Webseite ganz normal gestartet werden. Es kommt lediglich ein Fehler, dass das ausgewählte Zertifikat nicht mit der IP der WHS übereinstimmt. Das ist korrekt, denn das Zertifikat lautet auf einen Hostname und nicht auf die IP. Aber es ist aufrufbar, was nicht der Fall ist, wenn man nur das Zertifikat importiert.