Browser kommen mit Zertifikaten von Domänen CA nicht klar

Hi,

wir nutzen eine interne CA. Diese CA ist auf den Clients im Zertifikatsspeicher unter "Vertrauenswürdige Stammzertifizierungsstellen". Chrome u.A. hat diese CA auch drin. Ein IIS hat von unserer CA ein Zertifikat ausgestellt bekommen ( host.domäne.com ). Rufe ich nun in einem beliebigem Browser host.domäne.com auf, wird mir das Zertifikat als ungültig gemeldet.
Jemand eine Idee wie ich das korrekt löse?

Content-Key: 1058078961

Url: https://administrator.de/contentid/1058078961

Ausgedruckt am: 23.07.2021 um 14:07 Uhr

Mitglied: clSchak
clSchak 20.07.2021 um 11:25:01 Uhr
Goto Top
Hi

Der Browser meldet im Regelfall was er an dem Zertifikat nicht mag, die Fehlermeldung wäre hier interessant, ansonsten ist es nur Rätselraten.

Gruß
@clSchak
Mitglied: mininik
mininik 20.07.2021 um 11:27:32 Uhr
Goto Top
SAN vorhanden im Zertifikat?
Mitglied: toddehb
toddehb 20.07.2021 um 11:50:24 Uhr
Goto Top
Die Meldung lautet: NET::ERR_CERT_COMMON_NAME_INVALID

In der Zertifikatsanforderung hatte ich host.domäne.com als common name angeben. Liegt es evtl. daran, dass die Windows Hostname ein anderer, also z.B server1.domäne.com? Der URL Name unterscheidet sich vom tatsächlichen Hostnamen. Die Clients bei uns intern sollen eben diese einfachere URL aufrufen, anstatt des tatsächlichen Hostnamens
Mitglied: StefanKittel
StefanKittel 20.07.2021 um 11:56:00 Uhr
Goto Top
Zitat von @toddehb:
Die Meldung lautet: NET::ERR_CERT_COMMON_NAME_INVALID
In der Zertifikatsanforderung hatte ich host.domäne.com als common name angeben. Liegt es evtl. daran, dass die Windows Hostname ein anderer, also z.B server1.domäne.com? Der URL Name unterscheidet sich vom tatsächlichen Hostnamen. Die Clients bei uns intern sollen eben diese einfachere URL aufrufen, anstatt des tatsächlichen Hostnamens

Moin
na wenn Dein Zertifikat für host.domain.de lautet, ist es für server1.domain.com nicht gültig weil nicht passend.
Dafür brauchst Du dann ein SAN-Zertifikat was mehrere Zertifikate enthält. Oder ein Wildcard-Zertifikat was für eine ganze Domäne gilt.

Stefan

PS: Umlaute in Zertifikaten sind fummelig
Mitglied: clSchak
clSchak 20.07.2021 aktualisiert um 12:05:35 Uhr
Goto Top
nicht ganz @StefanKittel Zertifikate müssen mittlerweile immer einen SAN (SubjectAlternateName / Alternativer Antragstellername) Eintrag haben damit es von den akuellen Browsern akzeptiert wird, diese kann auch einfach gleichlautend zu dem CN Eintrag sein.

@toddehb bei der Erstellung des Zertifikats in der MMC musst du im unteren Bereich einen DNS Eintrag hinzufügen:

2021-07-20 12_00_01-browser kommen mit zertifikaten von domänen ca nicht klar - administrator

Dann erscheint die Meldung auch nicht mehr.

Du kannst hier auch weitere Namen eintragen, wie man halt möchte ;-) face-wink - z.B. Hostnamen ohne den FQDN

Edit / Add: wenn man z.B. SingleDomain Cert bei den gängigen Anbieter registriert, setzen diese häufig den "www.meinedomain.de" als SAN, wenn man z.B. nur meinedomain.de bei dem CSR angibt. (sind jetzt meine Erfahrung).
Mitglied: toddehb
toddehb 20.07.2021 um 12:11:10 Uhr
Goto Top
@clSchak

Das Zertifikat hatte ich im IIS als Domänenzertifikat requested. Wie komme ich denn an den request ran, den Du im Screenshot zeigts?.
Mitglied: clSchak
clSchak 20.07.2021 um 12:14:12 Uhr
Goto Top
MMC?! ... :) face-smile Zertifikate -> Computerkonto -> eigene Zertifikate -> neues Zertifikat anfordern -> eines aus der Vorlage der CA auswählen das passt und dann ausfüllen mit den Infos die man benötigt.
Mitglied: toddehb
toddehb 20.07.2021 um 12:25:50 Uhr
Goto Top
Bekomme nur dies beim request zu sehen

01

und danach dies

02
Mitglied: mininik
mininik 20.07.2021 um 12:38:27 Uhr
Goto Top
Da fehlt die Vorlage Webserver. Am Besten machst du auf der CA eine Kopie der Webservervorlage, passt sie an deine Ansprüche an und gibst beim Request dann einen oder mehrere SAN Einträge an.
Mitglied: toddehb
toddehb 20.07.2021 um 13:05:33 Uhr
Goto Top
Ein neues Template hatte ich schon erstellt und es auch veröffentlicht, aber auf dem Webserver bekomme ich dann dies beim Erstellen des requests

03

04
Mitglied: toddehb
toddehb 20.07.2021 um 13:12:17 Uhr
Goto Top
So, jetzt wird das template angezeigt. Musste es nochmals veröffentlichen nach einer Änderung
Mitglied: toddehb
toddehb 20.07.2021 um 13:13:20 Uhr
Goto Top
Perfekt. Auch im Browser nun alles gut. Danke für die Hilfe :-) face-smile
Heiß diskutierte Beiträge
general
Wirklichkeitsfremd: Wann eine Ransomware-Attacke gemeldet werden muss - EDSAStefanKittelVor 1 TagAllgemeinViren und Trojaner17 Kommentare

Hallo, in diesem Artikel geht es wieder mal um die Frage ob eine Ransomware-Attacke gemeldet werden muss. Warum ist das ein Problem? "Die Umsetzung der ...

question
Exchange direkt in das Internet?leon123Vor 1 TagFrageExchange Server20 Kommentare

Hi zusammen, darf euer Exchange direkt in das Internet? Unser Exchange ist hinter einem Webfilter, der die Server nur auf bestimmte Seiten raus lässt. Allerdings ...

question
LAN patchenNxtrexVor 1 TagFrageSwitche und Hubs9 Kommentare

Hallo, ich habe im Serverraum der Firma einen Router, dessen Signal per LAN an einen Serverschrank in der Halle geleitet werden soll. Der Switch in ...

question
ISOs von Microsoft - einheitlich oder nicht?DerWoWussteVor 1 TagFrageMicrosoft9 Kommentare

Ich grüße Euch. Wenn wir ISO-Dateien runterladen, dann nehmen wir sie aus dem VLSC. Da legt man Sprache fest, Architektur, Edition und natürlich auch den ...

question
Unifi VPN soll nicht den ganzen Traffic über das Lokale Netzwerk routen gelöst Dino47Vor 1 TagFrageNetzwerke34 Kommentare

Hallo, ich habe eine Frage bezüglich eines VPN Problems. Es bestehen sogar zwei Probleme, aber als erstes einmal einige Informationen: Wir haben eine VPN umstellung ...

question
PFSense HardwareBosnigelVor 1 TagFrageRouter & Routing29 Kommentare

Moin! Ich will mich in das Thema PFSense einarbeiten. Das Tutorial von aqui hab ich mir natürlich schon angeschaut. Danke aqui dafür. Nur die dort ...

question
PC zusammenbauen PC Zusammenstellung (IT Praktikant)nachgefragtVor 1 TagFrageHardware12 Kommentare

Guten Morgen Zusammen, die Tage bekommen wir einen Praktikanten, damit dieser mal das Innenleben einen PCs kennenlernt würde ich ihn gern mit Hilfe von YouTube ...

info
Ein böser Bube in freier Wildbahn (hier .IMG Datei)wolfbleVor 17 StundenInformationViren und Trojaner12 Kommentare

Moin Moin an alle Gestern bekam ich eine EMail mit irgendwelchen komischen Sepa Einzugsankündigungen die man angeblich der angehängten Datei entnehmen kann. Ging so um ...