18
Browser Zertifikatswarnung lösen?
Hallo an alle,
ich benötige mal eure Hilfe, da ich mich mit dem Thema Zertifikate noch nicht gut auskenne. Ich komme gleich mal zum Punkt.
Kunde hat in seiner Microsoft Windows Server Umgebung eine PKI bekommen. Über diese habe ich bereits Zertifikate erstellt, funktioniert tadellos.
Er hat nun die Anfrage gestellt, dass alle internen Ziele welche über Browser (Edge, Chrome, Firefox) aufgerufen werden z.B. das vCenter, Switche, Firewalls etc. keine Zertifikatswarnungen mehr anzeigen sollen!
Jetzt bin ich mir nicht sicher, inwieweit das etwas mit der PKI zu tun hat oder wie die richtige Vorgehensweise ist.
Ich finde Tutorials wo via GPO das entsprechende Zertifikat zu den Stammzertifikaten hinzugefügt wird?
Ich frag aber lieber mal hier nach, seid nachsichtig :-P
LG
ich benötige mal eure Hilfe, da ich mich mit dem Thema Zertifikate noch nicht gut auskenne. Ich komme gleich mal zum Punkt.
Kunde hat in seiner Microsoft Windows Server Umgebung eine PKI bekommen. Über diese habe ich bereits Zertifikate erstellt, funktioniert tadellos.
Er hat nun die Anfrage gestellt, dass alle internen Ziele welche über Browser (Edge, Chrome, Firefox) aufgerufen werden z.B. das vCenter, Switche, Firewalls etc. keine Zertifikatswarnungen mehr anzeigen sollen!
Jetzt bin ich mir nicht sicher, inwieweit das etwas mit der PKI zu tun hat oder wie die richtige Vorgehensweise ist.
Ich finde Tutorials wo via GPO das entsprechende Zertifikat zu den Stammzertifikaten hinzugefügt wird?
Ich frag aber lieber mal hier nach, seid nachsichtig :-P
LG
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1579042911
Url: https://administrator.de/contentid/1579042911
Ausgedruckt am: 24.11.2024 um 17:11 Uhr
18 Kommentare
Neuester Kommentar
Moin,
die Clients müssen natürlich die signierende CA kennen.
Zusätzlich muss in jedem Zertifikat für den Client der SubjectAlternateName (SAN) des Clients enthalten sein, soll die Fehlermeldung verschwinden.
Gruß
Looser
die Clients müssen natürlich die signierende CA kennen.
Zusätzlich muss in jedem Zertifikat für den Client der SubjectAlternateName (SAN) des Clients enthalten sein, soll die Fehlermeldung verschwinden.
Gruß
Looser
Sorry, aber ich kann leider nicht folgen 🤯
Ich stelle mir das im Prinzip so vor …
Ich erstelle über die PKI für z.B. das vCenter ein Zertifikat. Dieses exportiere ich und hinterlege dies auf dem vCenter.
Der Browser fragt nun nicht mehr das unbekannte vCenter Zertifikat ab, sondern das ausgestellte und vertrauenswürdige aus der Domain.
Kann aber auch sein ich habe da einen Denkfehler?
Ich stelle mir das im Prinzip so vor …
Ich erstelle über die PKI für z.B. das vCenter ein Zertifikat. Dieses exportiere ich und hinterlege dies auf dem vCenter.
Der Browser fragt nun nicht mehr das unbekannte vCenter Zertifikat ab, sondern das ausgestellte und vertrauenswürdige aus der Domain.
Kann aber auch sein ich habe da einen Denkfehler?
Du kannst eine Zertifikatsvertrauensliste erstellen, die diese Zertifikate als vertraut deklariert.
https://www.itprotoday.com/strategy/how-do-i-create-certificate-trust-li ... (leider ohne Screenshots)
https://www.itprotoday.com/strategy/how-do-i-create-certificate-trust-li ... (leider ohne Screenshots)
Hallo,
Dann überleg doch mal warum dein Browser nun diesem Zertifikat vertrauen sollte.
Eine Zertifizierungsstelle ist nichts anderes als ein Notar. Ein Notar wird durch den Staat zertifiziert (Staatsexamen). In der IT ist das ähnlich. Damit ein Client dem Zertifikat vertrauen kann, muss er der Zertifizierungsstelle vertrauen.
Es gibt offizielle Zertifizierungstellen, dessen CA Zertifikat standardgemäß auf jedem Betriebsystem installiert sind und die mit Updates aktualisiert werden. Bei eigenen Zertifizierungsstellen ist das somit nicht mehr der Fall. Deshalb musst du das CA Zertifikat in den CA Store des Clients hinterlegen.
MfG
Der Browser fragt nun nicht mehr das unbekannte vCenter Zertifikat ab, sondern das ausgestellte und vertrauenswürdige aus der Domain.
Dann überleg doch mal warum dein Browser nun diesem Zertifikat vertrauen sollte.
Eine Zertifizierungsstelle ist nichts anderes als ein Notar. Ein Notar wird durch den Staat zertifiziert (Staatsexamen). In der IT ist das ähnlich. Damit ein Client dem Zertifikat vertrauen kann, muss er der Zertifizierungsstelle vertrauen.
Es gibt offizielle Zertifizierungstellen, dessen CA Zertifikat standardgemäß auf jedem Betriebsystem installiert sind und die mit Updates aktualisiert werden. Bei eigenen Zertifizierungsstellen ist das somit nicht mehr der Fall. Deshalb musst du das CA Zertifikat in den CA Store des Clients hinterlegen.
MfG
Nachtrag:
Bei einer internen CA kannst du das mit Firefox vergessen, soweit ich weiß. Der mosert bei uns im Netz immer, obwohl die Webseiten mit gültigen Certs ausgerüstet sind.
Chrome und Edge hingegen funktionieren problemlos.
Bei einer internen CA kannst du das mit Firefox vergessen, soweit ich weiß. Der mosert bei uns im Netz immer, obwohl die Webseiten mit gültigen Certs ausgerüstet sind.
Chrome und Edge hingegen funktionieren problemlos.
Ich erstelle über die PKI für z.B. das vCenter ein Zertifikat.
Korrekt. Aber das Zertifikat MUSS zwingend den SAN enthalten. ansonsten kommt es immer noch zu einer Fehlermeldung.Bei einer internen CA kannst du das mit Firefox vergessen, soweit ich weiß. Der mosert bei uns im Netz immer, obwohl die Webseiten mit gültigen Certs ausgerüstet sind.
Sorry aber das ist Quatsch. Das einzigste was man beim Firefox beachten muss, dass dieser NICHT auf den CA Store des Betriebsystems zugreift sondern seinen eigenen CA Store mitbringt. Kurz und knapp gesagt: das CA Zertifikat muss zusätzlich noch in Firefox importiert werden.
Eventuell liegt darin bei euch das Problem.
dass dieser NICHT auf den CA Store des Betriebsystems zugreift sondern seinen eigenen CA Store mitbringt.
Noch ein Grund den Firefox NICHT zu verwenden......
Nachtrag: Man muss anschließend im Cert-Store von Firefox noch eintragen, was das frisch importierte CA-Zertifikat denn verifizieren darf. Nicht besonders userfreundlich.
Browser, die auf Chrome oder Edge bzw. Internet Explorer basieren, nutzen den Zertifikatespeicher des Betriebssystems. Sowohl unter Windows als auch macOS.
Browser, die auf der Firefox-Engine basieren, haben ihren eigenen Zertifikatespeicher. Das kann manchmal Vorteile haben, weil man in Firefox ja auch unterschiedliche Profile anlegen kann. Für Endanwender ist das meistens doof, weil der Prozess, um Root- oder CA-Zertifikate zu installieren, eben nicht in die Hände von Endanwendern gehört.
Also: beim Firefox unter Options > Privacy & Security > View Certificates den "Cert Manager" starten und auf dem Tab "Authorities" das Root CA-Zertifikat importieren.
Browser, die auf der Firefox-Engine basieren, haben ihren eigenen Zertifikatespeicher. Das kann manchmal Vorteile haben, weil man in Firefox ja auch unterschiedliche Profile anlegen kann. Für Endanwender ist das meistens doof, weil der Prozess, um Root- oder CA-Zertifikate zu installieren, eben nicht in die Hände von Endanwendern gehört.
Also: beim Firefox unter Options > Privacy & Security > View Certificates den "Cert Manager" starten und auf dem Tab "Authorities" das Root CA-Zertifikat importieren.
Also: beim Firefox unter Options > Privacy & Security > View Certificates den "Cert Manager" starten und auf dem Tab "Authorities" das Root CA-Zertifikat importieren
Reicht eben nicht. Siehe oben.
Bei uns in der Firma läuft das problemlos mit allen Browsern so.
Allerdings ist tatsächlich zu berücksichtigen, dass bei der Erstellung eines Zertifikats immer der DNS-Name als zusätzliches Attribut angegeben werden muss.
Allerdings ist tatsächlich zu berücksichtigen, dass bei der Erstellung eines Zertifikats immer der DNS-Name als zusätzliches Attribut angegeben werden muss.
1
Sorry, aber das mit Firefox stimmt alles nicht.
Einfach per GPO konfigurieren, er soll den Windows Zertifikatsstore nutzen und fertig.
Oder about:config
security.enterprise_roots.enabled
auf true.
Einfach per GPO konfigurieren, er soll den Windows Zertifikatsstore nutzen und fertig.
Oder about:config
security.enterprise_roots.enabled
auf true.
Sorry, aber das mit Firefox stimmt alles nicht.
Warum soll das nicht stimmen? Standardgemäß nutzt der nur den eigenen CA Store.
Aber gut zu wissen, dass man das inzwischen einstellen kann. Wenn ich mir aber die Doku dazu ansehe, dann klingt das aber nicht so, dass der Firefox mit der oben genannten Einstellung oder GPO den CA Store des Betriebsystems nutzt, sondern dass er einfach die bestehenden CA Certs im CA Store des Betriebsystems in den CA Stores des Firefox importiert.
Dennoch danke für den Hinweis.
Zitat von @Looser27:
Nachtrag:
Bei einer internen CA kannst du das mit Firefox vergessen, soweit ich weiß. Der mosert bei uns im Netz immer, obwohl die Webseiten mit gültigen Certs ausgerüstet sind.
Das liegt daran, dass im Firefox eingestellt werden muss, dass dieser den Windows Cert Store verwenden soll. Ist problemlos per GPO möglich.Nachtrag:
Bei einer internen CA kannst du das mit Firefox vergessen, soweit ich weiß. Der mosert bei uns im Netz immer, obwohl die Webseiten mit gültigen Certs ausgerüstet sind.
Ich erstelle über die PKI für z.B. das vCenter ein Zertifikat.
Korrekt. Aber das Zertifikat MUSS zwingend den SAN enthalten. ansonsten kommt es immer noch zu einer Fehlermeldung.Davon abgesehen wird empfohlen für das vCenter kein wildcard Zertifikat zu verwenden.
und die Zertifikate dürfen maximal 1 Jahr laufen. Ansonsten stuft Firefox die als "unwürdig" ein.
....und die Zertifikate dürfen maximal 1 Jahr laufen. Ansonsten stuft Firefox die als "unwürdig" ein.
Stimmt so nicht. Unsere Certs laufen 2 Jahre und werden vom Firefox anstandslos akzeptiert, so man denn das CA Cert im Firefox CertSpeicher entsprechend hinterlegt und berechtigt.
Das stimmt so nicht, dass das nicht so stimmt:
https://blog.mozilla.org/security/2020/07/09/reducing-tls-certificate-li ...
und
https://cabforum.org/2019/09/10/ballot-sc22-reduce-certificate-lifetimes ...
https://blog.mozilla.org/security/2020/07/09/reducing-tls-certificate-li ...
und
https://cabforum.org/2019/09/10/ballot-sc22-reduce-certificate-lifetimes ...
Das nennt man dann wohl eine inkonsequente Umsetzung.
Eher inkontinent als inkonsequent ;)
