137431
Jul 20, 2021
6082
12
0
Browser kommen mit Zertifikaten von Domänen CA nicht klar
Hi,
wir nutzen eine interne CA. Diese CA ist auf den Clients im Zertifikatsspeicher unter "Vertrauenswürdige Stammzertifizierungsstellen". Chrome u.A. hat diese CA auch drin. Ein IIS hat von unserer CA ein Zertifikat ausgestellt bekommen ( host.domäne.com ). Rufe ich nun in einem beliebigem Browser host.domäne.com auf, wird mir das Zertifikat als ungültig gemeldet.
Jemand eine Idee wie ich das korrekt löse?
wir nutzen eine interne CA. Diese CA ist auf den Clients im Zertifikatsspeicher unter "Vertrauenswürdige Stammzertifizierungsstellen". Chrome u.A. hat diese CA auch drin. Ein IIS hat von unserer CA ein Zertifikat ausgestellt bekommen ( host.domäne.com ). Rufe ich nun in einem beliebigem Browser host.domäne.com auf, wird mir das Zertifikat als ungültig gemeldet.
Jemand eine Idee wie ich das korrekt löse?
Please also mark the comments that contributed to the solution of the article
Content-Key: 1058078961
Url: https://administrator.de/contentid/1058078961
Printed on: April 20, 2024 at 05:04 o'clock
12 Comments
Latest comment
Hi
Der Browser meldet im Regelfall was er an dem Zertifikat nicht mag, die Fehlermeldung wäre hier interessant, ansonsten ist es nur Rätselraten.
Gruß
@clSchak
Der Browser meldet im Regelfall was er an dem Zertifikat nicht mag, die Fehlermeldung wäre hier interessant, ansonsten ist es nur Rätselraten.
Gruß
@clSchak
Zitat von @137431:
Die Meldung lautet: NET::ERR_CERT_COMMON_NAME_INVALID
In der Zertifikatsanforderung hatte ich host.domäne.com als common name angeben. Liegt es evtl. daran, dass die Windows Hostname ein anderer, also z.B server1.domäne.com? Der URL Name unterscheidet sich vom tatsächlichen Hostnamen. Die Clients bei uns intern sollen eben diese einfachere URL aufrufen, anstatt des tatsächlichen Hostnamens
Die Meldung lautet: NET::ERR_CERT_COMMON_NAME_INVALID
In der Zertifikatsanforderung hatte ich host.domäne.com als common name angeben. Liegt es evtl. daran, dass die Windows Hostname ein anderer, also z.B server1.domäne.com? Der URL Name unterscheidet sich vom tatsächlichen Hostnamen. Die Clients bei uns intern sollen eben diese einfachere URL aufrufen, anstatt des tatsächlichen Hostnamens
Moin
na wenn Dein Zertifikat für host.domain.de lautet, ist es für server1.domain.com nicht gültig weil nicht passend.
Dafür brauchst Du dann ein SAN-Zertifikat was mehrere Zertifikate enthält. Oder ein Wildcard-Zertifikat was für eine ganze Domäne gilt.
Stefan
PS: Umlaute in Zertifikaten sind fummelig
nicht ganz @StefanKittel Zertifikate müssen mittlerweile immer einen SAN (SubjectAlternateName / Alternativer Antragstellername) Eintrag haben damit es von den akuellen Browsern akzeptiert wird, diese kann auch einfach gleichlautend zu dem CN Eintrag sein.
@137431 bei der Erstellung des Zertifikats in der MMC musst du im unteren Bereich einen DNS Eintrag hinzufügen:
Dann erscheint die Meldung auch nicht mehr.
Du kannst hier auch weitere Namen eintragen, wie man halt möchte - z.B. Hostnamen ohne den FQDN
Edit / Add: wenn man z.B. SingleDomain Cert bei den gängigen Anbieter registriert, setzen diese häufig den "www.meinedomain.de" als SAN, wenn man z.B. nur meinedomain.de bei dem CSR angibt. (sind jetzt meine Erfahrung).
@137431 bei der Erstellung des Zertifikats in der MMC musst du im unteren Bereich einen DNS Eintrag hinzufügen:
Dann erscheint die Meldung auch nicht mehr.
Du kannst hier auch weitere Namen eintragen, wie man halt möchte - z.B. Hostnamen ohne den FQDN
Edit / Add: wenn man z.B. SingleDomain Cert bei den gängigen Anbieter registriert, setzen diese häufig den "www.meinedomain.de" als SAN, wenn man z.B. nur meinedomain.de bei dem CSR angibt. (sind jetzt meine Erfahrung).