137431
Jul 20, 2021
6082
12
0
Browser kommen mit Zertifikaten von Domänen CA nicht klar
Hi,
wir nutzen eine interne CA. Diese CA ist auf den Clients im Zertifikatsspeicher unter "Vertrauenswürdige Stammzertifizierungsstellen". Chrome u.A. hat diese CA auch drin. Ein IIS hat von unserer CA ein Zertifikat ausgestellt bekommen ( host.domäne.com ). Rufe ich nun in einem beliebigem Browser host.domäne.com auf, wird mir das Zertifikat als ungültig gemeldet.
Jemand eine Idee wie ich das korrekt löse?
wir nutzen eine interne CA. Diese CA ist auf den Clients im Zertifikatsspeicher unter "Vertrauenswürdige Stammzertifizierungsstellen". Chrome u.A. hat diese CA auch drin. Ein IIS hat von unserer CA ein Zertifikat ausgestellt bekommen ( host.domäne.com ). Rufe ich nun in einem beliebigem Browser host.domäne.com auf, wird mir das Zertifikat als ungültig gemeldet.
Jemand eine Idee wie ich das korrekt löse?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1058078961
Url: https://administrator.de/contentid/1058078961
Printed on: April 20, 2024 at 05:04 o'clock
12 Comments
Latest comment
Hi
Der Browser meldet im Regelfall was er an dem Zertifikat nicht mag, die Fehlermeldung wäre hier interessant, ansonsten ist es nur Rätselraten.
Gruß
@clSchak
Der Browser meldet im Regelfall was er an dem Zertifikat nicht mag, die Fehlermeldung wäre hier interessant, ansonsten ist es nur Rätselraten.
Gruß
@clSchak
SAN vorhanden im Zertifikat?
Die Meldung lautet: NET::ERR_CERT_COMMON_NAME_INVALID
In der Zertifikatsanforderung hatte ich host.domäne.com als common name angeben. Liegt es evtl. daran, dass die Windows Hostname ein anderer, also z.B server1.domäne.com? Der URL Name unterscheidet sich vom tatsächlichen Hostnamen. Die Clients bei uns intern sollen eben diese einfachere URL aufrufen, anstatt des tatsächlichen Hostnamens
In der Zertifikatsanforderung hatte ich host.domäne.com als common name angeben. Liegt es evtl. daran, dass die Windows Hostname ein anderer, also z.B server1.domäne.com? Der URL Name unterscheidet sich vom tatsächlichen Hostnamen. Die Clients bei uns intern sollen eben diese einfachere URL aufrufen, anstatt des tatsächlichen Hostnamens
Zitat von @137431:
Die Meldung lautet: NET::ERR_CERT_COMMON_NAME_INVALID
In der Zertifikatsanforderung hatte ich host.domäne.com als common name angeben. Liegt es evtl. daran, dass die Windows Hostname ein anderer, also z.B server1.domäne.com? Der URL Name unterscheidet sich vom tatsächlichen Hostnamen. Die Clients bei uns intern sollen eben diese einfachere URL aufrufen, anstatt des tatsächlichen Hostnamens
Die Meldung lautet: NET::ERR_CERT_COMMON_NAME_INVALID
In der Zertifikatsanforderung hatte ich host.domäne.com als common name angeben. Liegt es evtl. daran, dass die Windows Hostname ein anderer, also z.B server1.domäne.com? Der URL Name unterscheidet sich vom tatsächlichen Hostnamen. Die Clients bei uns intern sollen eben diese einfachere URL aufrufen, anstatt des tatsächlichen Hostnamens
Moin
na wenn Dein Zertifikat für host.domain.de lautet, ist es für server1.domain.com nicht gültig weil nicht passend.
Dafür brauchst Du dann ein SAN-Zertifikat was mehrere Zertifikate enthält. Oder ein Wildcard-Zertifikat was für eine ganze Domäne gilt.
Stefan
PS: Umlaute in Zertifikaten sind fummelig
nicht ganz @StefanKittel Zertifikate müssen mittlerweile immer einen SAN (SubjectAlternateName / Alternativer Antragstellername) Eintrag haben damit es von den akuellen Browsern akzeptiert wird, diese kann auch einfach gleichlautend zu dem CN Eintrag sein.
@137431 bei der Erstellung des Zertifikats in der MMC musst du im unteren Bereich einen DNS Eintrag hinzufügen:
Dann erscheint die Meldung auch nicht mehr.
Du kannst hier auch weitere Namen eintragen, wie man halt möchte
- z.B. Hostnamen ohne den FQDN
Edit / Add: wenn man z.B. SingleDomain Cert bei den gängigen Anbieter registriert, setzen diese häufig den "www.meinedomain.de" als SAN, wenn man z.B. nur meinedomain.de bei dem CSR angibt. (sind jetzt meine Erfahrung).
@137431 bei der Erstellung des Zertifikats in der MMC musst du im unteren Bereich einen DNS Eintrag hinzufügen:
Dann erscheint die Meldung auch nicht mehr.
Du kannst hier auch weitere Namen eintragen, wie man halt möchte
- z.B. Hostnamen ohne den FQDNEdit / Add: wenn man z.B. SingleDomain Cert bei den gängigen Anbieter registriert, setzen diese häufig den "www.meinedomain.de" als SAN, wenn man z.B. nur meinedomain.de bei dem CSR angibt. (sind jetzt meine Erfahrung).
@clSchak
Das Zertifikat hatte ich im IIS als Domänenzertifikat requested. Wie komme ich denn an den request ran, den Du im Screenshot zeigts?.
Das Zertifikat hatte ich im IIS als Domänenzertifikat requested. Wie komme ich denn an den request ran, den Du im Screenshot zeigts?.
MMC?! ... 
Zertifikate -> Computerkonto -> eigene Zertifikate -> neues Zertifikat anfordern -> eines aus der Vorlage der CA auswählen das passt und dann ausfüllen mit den Infos die man benötigt.
Zertifikate -> Computerkonto -> eigene Zertifikate -> neues Zertifikat anfordern -> eines aus der Vorlage der CA auswählen das passt und dann ausfüllen mit den Infos die man benötigt.
Bekomme nur dies beim request zu sehen
und danach dies
und danach dies
Da fehlt die Vorlage Webserver. Am Besten machst du auf der CA eine Kopie der Webservervorlage, passt sie an deine Ansprüche an und gibst beim Request dann einen oder mehrere SAN Einträge an.
Ein neues Template hatte ich schon erstellt und es auch veröffentlicht, aber auf dem Webserver bekomme ich dann dies beim Erstellen des requests
So, jetzt wird das template angezeigt. Musste es nochmals veröffentlichen nach einer Änderung
Perfekt. Auch im Browser nun alles gut. Danke für die Hilfe
