Browser Zertifikatswarnung lösen?

Hallo an alle,

ich benötige mal eure Hilfe, da ich mich mit dem Thema Zertifikate noch nicht gut auskenne. Ich komme gleich mal zum Punkt.

Kunde hat in seiner Microsoft Windows Server Umgebung eine PKI bekommen. Über diese habe ich bereits Zertifikate erstellt, funktioniert tadellos.

Er hat nun die Anfrage gestellt, dass alle internen Ziele welche über Browser (Edge, Chrome, Firefox) aufgerufen werden z.B. das vCenter, Switche, Firewalls etc. keine Zertifikatswarnungen mehr anzeigen sollen!

Jetzt bin ich mir nicht sicher, inwieweit das etwas mit der PKI zu tun hat oder wie die richtige Vorgehensweise ist.
Ich finde Tutorials wo via GPO das entsprechende Zertifikat zu den Stammzertifikaten hinzugefügt wird?

Ich frag aber lieber mal hier nach, seid nachsichtig :-P

LG

Content-Key: 1579042911

Url: https://administrator.de/contentid/1579042911

Ausgedruckt am: 28.01.2022 um 10:01 Uhr

Mitglied: Looser27
Looser27 02.12.2021 aktualisiert um 11:48:18 Uhr
Goto Top
Moin,

die Clients müssen natürlich die signierende CA kennen.

Zusätzlich muss in jedem Zertifikat für den Client der SubjectAlternateName (SAN) des Clients enthalten sein, soll die Fehlermeldung verschwinden.


Gruß

Looser
Mitglied: IT-heilt-NIE
IT-heilt-NIE 02.12.2021 um 12:10:01 Uhr
Goto Top
Sorry, aber ich kann leider nicht folgen 🤯

Ich stelle mir das im Prinzip so vor …
Ich erstelle über die PKI für z.B. das vCenter ein Zertifikat. Dieses exportiere ich und hinterlege dies auf dem vCenter.
Der Browser fragt nun nicht mehr das unbekannte vCenter Zertifikat ab, sondern das ausgestellte und vertrauenswürdige aus der Domain.

Kann aber auch sein ich habe da einen Denkfehler?
Mitglied: DerWoWusste
DerWoWusste 02.12.2021 um 12:22:30 Uhr
Goto Top
Du kannst eine Zertifikatsvertrauensliste erstellen, die diese Zertifikate als vertraut deklariert.
https://www.itprotoday.com/strategy/how-do-i-create-certificate-trust-li ... (leider ohne Screenshots)
Mitglied: 148848
148848 02.12.2021 um 12:28:00 Uhr
Goto Top
Hallo,

Der Browser fragt nun nicht mehr das unbekannte vCenter Zertifikat ab, sondern das ausgestellte und vertrauenswürdige aus der Domain.

Dann überleg doch mal warum dein Browser nun diesem Zertifikat vertrauen sollte.

Eine Zertifizierungsstelle ist nichts anderes als ein Notar. Ein Notar wird durch den Staat zertifiziert (Staatsexamen). In der IT ist das ähnlich. Damit ein Client dem Zertifikat vertrauen kann, muss er der Zertifizierungsstelle vertrauen.

Es gibt offizielle Zertifizierungstellen, dessen CA Zertifikat standardgemäß auf jedem Betriebsystem installiert sind und die mit Updates aktualisiert werden. Bei eigenen Zertifizierungsstellen ist das somit nicht mehr der Fall. Deshalb musst du das CA Zertifikat in den CA Store des Clients hinterlegen.

MfG
Mitglied: Looser27
Looser27 02.12.2021 um 13:03:41 Uhr
Goto Top
Nachtrag:

Bei einer internen CA kannst du das mit Firefox vergessen, soweit ich weiß. Der mosert bei uns im Netz immer, obwohl die Webseiten mit gültigen Certs ausgerüstet sind.
Chrome und Edge hingegen funktionieren problemlos.

Ich erstelle über die PKI für z.B. das vCenter ein Zertifikat.
Korrekt. Aber das Zertifikat MUSS zwingend den SAN enthalten. ansonsten kommt es immer noch zu einer Fehlermeldung.
Mitglied: 148848
148848 02.12.2021 aktualisiert um 13:15:02 Uhr
Goto Top
Bei einer internen CA kannst du das mit Firefox vergessen, soweit ich weiß. Der mosert bei uns im Netz immer, obwohl die Webseiten mit gültigen Certs ausgerüstet sind.

Sorry aber das ist Quatsch. Das einzigste was man beim Firefox beachten muss, dass dieser NICHT auf den CA Store des Betriebsystems zugreift sondern seinen eigenen CA Store mitbringt. Kurz und knapp gesagt: das CA Zertifikat muss zusätzlich noch in Firefox importiert werden.

Eventuell liegt darin bei euch das Problem.
Mitglied: Looser27
Looser27 02.12.2021 aktualisiert um 13:33:43 Uhr
Goto Top
dass dieser NICHT auf den CA Store des Betriebsystems zugreift sondern seinen eigenen CA Store mitbringt.

Noch ein Grund den Firefox NICHT zu verwenden......

Nachtrag: Man muss anschließend im Cert-Store von Firefox noch eintragen, was das frisch importierte CA-Zertifikat denn verifizieren darf. Nicht besonders userfreundlich.
Mitglied: yoppi1
yoppi1 02.12.2021 um 15:06:07 Uhr
Goto Top
Browser, die auf Chrome oder Edge bzw. Internet Explorer basieren, nutzen den Zertifikatespeicher des Betriebssystems. Sowohl unter Windows als auch macOS.
Browser, die auf der Firefox-Engine basieren, haben ihren eigenen Zertifikatespeicher. Das kann manchmal Vorteile haben, weil man in Firefox ja auch unterschiedliche Profile anlegen kann. Für Endanwender ist das meistens doof, weil der Prozess, um Root- oder CA-Zertifikate zu installieren, eben nicht in die Hände von Endanwendern gehört.

Also: beim Firefox unter Options > Privacy & Security > View Certificates den "Cert Manager" starten und auf dem Tab "Authorities" das Root CA-Zertifikat importieren.
Mitglied: Looser27
Looser27 02.12.2021 um 15:09:16 Uhr
Goto Top
Also: beim Firefox unter Options > Privacy & Security > View Certificates den "Cert Manager" starten und auf dem Tab "Authorities" das Root CA-Zertifikat importieren

Reicht eben nicht. Siehe oben.
Mitglied: yoppi1
yoppi1 02.12.2021 um 15:12:55 Uhr
Goto Top
Bei uns in der Firma läuft das problemlos mit allen Browsern so.

Allerdings ist tatsächlich zu berücksichtigen, dass bei der Erstellung eines Zertifikats immer der DNS-Name als zusätzliches Attribut angegeben werden muss.
Mitglied: mininik
mininik 02.12.2021 um 18:10:46 Uhr
Goto Top
Sorry, aber das mit Firefox stimmt alles nicht.

Einfach per GPO konfigurieren, er soll den Windows Zertifikatsstore nutzen und fertig.

Oder about:config
security.enterprise_roots.enabled
auf true.
Mitglied: 148848
148848 02.12.2021 aktualisiert um 18:26:17 Uhr
Goto Top
Sorry, aber das mit Firefox stimmt alles nicht.

Warum soll das nicht stimmen? Standardgemäß nutzt der nur den eigenen CA Store.

Aber gut zu wissen, dass man das inzwischen einstellen kann. Wenn ich mir aber die Doku dazu ansehe, dann klingt das aber nicht so, dass der Firefox mit der oben genannten Einstellung oder GPO den CA Store des Betriebsystems nutzt, sondern dass er einfach die bestehenden CA Certs im CA Store des Betriebsystems in den CA Stores des Firefox importiert.

Dennoch danke für den Hinweis.
Mitglied: tech-flare
tech-flare 02.12.2021 um 22:42:10 Uhr
Goto Top
Zitat von @Looser27:

Nachtrag:

Bei einer internen CA kannst du das mit Firefox vergessen, soweit ich weiß. Der mosert bei uns im Netz immer, obwohl die Webseiten mit gültigen Certs ausgerüstet sind.
Das liegt daran, dass im Firefox eingestellt werden muss, dass dieser den Windows Cert Store verwenden soll. Ist problemlos per GPO möglich.


Ich erstelle über die PKI für z.B. das vCenter ein Zertifikat.
Korrekt. Aber das Zertifikat MUSS zwingend den SAN enthalten. ansonsten kommt es immer noch zu einer Fehlermeldung.

Davon abgesehen wird empfohlen für das vCenter kein wildcard Zertifikat zu verwenden.
Mitglied: yoppi1
yoppi1 07.12.2021 um 09:57:12 Uhr
Goto Top
....und die Zertifikate dürfen maximal 1 Jahr laufen. Ansonsten stuft Firefox die als "unwürdig" ein.
Mitglied: Looser27
Looser27 07.12.2021 um 10:07:36 Uhr
Goto Top
....und die Zertifikate dürfen maximal 1 Jahr laufen. Ansonsten stuft Firefox die als "unwürdig" ein.

Stimmt so nicht. Unsere Certs laufen 2 Jahre und werden vom Firefox anstandslos akzeptiert, so man denn das CA Cert im Firefox CertSpeicher entsprechend hinterlegt und berechtigt.
Mitglied: yoppi1
yoppi1 07.12.2021 um 10:12:39 Uhr
Goto Top
Mitglied: Looser27
Looser27 07.12.2021 um 10:21:43 Uhr
Goto Top
Das nennt man dann wohl eine inkonsequente Umsetzung.
Mitglied: yoppi1
yoppi1 14.12.2021 um 18:55:54 Uhr
Goto Top
Eher inkontinent als inkonsequent ;)
Heiß diskutierte Beiträge
general
Generator für endlose, kostenlose Energie? Ein gut gemachter Schwindel? gelöst beidermachtvongreyscullVor 1 TagAllgemeinOff Topic35 Kommentare

Mahlzeit Kollegen! Wenn ich mich strikt an physikalische Grundsätze halte, müsste ich sagen: Nein. Es ist nicht möglich. Ich stieß aber im Internet auf ein ...

general
FYI: In zwei Tagen zieht LetsEncrypt zahlreiche Zertifikate zurückipzipzapVor 1 TagAllgemeinVerschlüsselung & Zertifikate1 Kommentar

Hallo, zur Info, falls bei Euch übermorgen was knallt: Ruhiges Wochenende! ipzipzap ...

question
"minimale" Cloud-Telefonanlage gesuchtDatenreiseVor 1 TagFrageVoice over IP13 Kommentare

Hallo zusammen, ich bin auf der Suche nach einer Cloud-Telefonanlage, die sich für einen einzelnen Arbeitsplatz eignet und wollte hier fragen, ob jemand dazu einen ...

question
Abschätzung Nutzungsdauer von neuer Serverhardware gelöst lcer00Vor 22 StundenFrageHardware9 Kommentare

Hallo zusammen, bei uns stehen 2022 Neuanschaffungen an. Dabei geht es um einen Backupserver (das Cloud-Konzept überzeugt mich immer noch nicht vollständig ) und demnächst ...

tutorial
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry PiaquiVor 1 TagAnleitungLAN, WAN, Wireless1 Kommentar

Einleitung Das folgende Tutorial erhebt keinen Anspruch auf Vollständigkeit und ist ein einfaches Framework was die Funktion eines IPsec VPN Servers im groben Rahmen aufzeigt. ...

question
Vorkehrungen für einen StromausfallahussainVor 23 StundenFrageNetzwerke10 Kommentare

Hallo, wir betreiben ein Netzwerk mit 8 Clients, Router, Switches, IP-Telefonen, NAS und einem kleinen Anwendungsserver. Unsere einzige Vorkehrung gegen einen Stromausfall/Blackout ist aktuell eine ...

question
PfSense: nach 27-stündigem Ausfall der Deutschen Telekom streiken IPSec + OpenVPN gelöst vafk18Vor 1 TagFrageNetzwerke9 Kommentare

Einen Gruß aus der Eifel, nachdem wir wieder mal von einer großflächigen Störung der Telekom-Anschlüsse (Ausfall eines DSLAM mit mehreren Tausend Teilnehmern) heimgesucht wurden, deren ...

question
Backup Software für PostgreSQLDaniVor 1 TagFrageDatenbanken11 Kommentare

Moin, für eine Anwendung kommt PostgreSQL 13.5 zum Einsatz. Leider nicht unter Linux, sondern läuft unter Windows Server 2019. Nun gibt es für jeden Kollegen ...