CARoot Authority erstellen und Zertifikate verteilen

Hallo Zusammen,

ich habe für mein Intranet (myDom.intranet) eine CA-Root Authority erstellt.
Diese habe ich über GPO an alle WIN-Clients verteilt.
Diese sind auch im Zertifikatsspeicher "vertrauenswürdige Stammzertifizierungsstellen" angekommen.

Nun habe ich mit dieser besagten CA-Root weitere Zertifikate für verschiedene VM's (Apache etc..) erstellt und diese dort entsprechend eingebunden.
Wenn ich nun mit einem WIN-Client über den IE auf einen HTTPS-Dienst zugreife, wird wie erwartet eine korrekte verschlüsselte Verbindung angezeigt.

Soweit sogut ...

Wenn ich aber auf einem WIN-Client mit Chrome auf den HTTPS-Dienst zugreife, dann bekomme ich einen Warnhinweis, das die Zertifikatskette unterbrochen sei.
Da Chrome ja im Gegensatz zu z.B. Mozilla keinen eigenen Zertifikatsspeicher hat, sondern den nativen aus WIN verwendet, stelle ich mir nun die Frage, was ist da im Argen ?

Sicherlich kann ich auch ein intermediate-Cert erstellen, aber da die Zertifikate für die HTTPS-Dienste allesamt direkt mit der CA-Root erstellt wurden, dürfte es da nach meinem Verständnis keine Warnung bzgl. Zwischenzertifikat geben. Oder sehe ich da etwas falsch ?

Gruß,
JudgeDredd

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 347195

Url: https://administrator.de/contentid/347195

Ausgedruckt am: 25.11.2024 um 07:11 Uhr

7 Kommentare

Neuester Kommentar

Hallo JudgeDredd
Chrome hat einen eigenen Zertifikatsspeicher und geht deshalb nicht über den Win. Zertifikatsspeicher.

Gruss
amdinst

Chrome hat einen eigenen Zertifikatsspeicher und geht deshalb nicht über den Win. Zertifikatsspeicher.

OK, das war mir tatsächlich nicht bewusst.

Heißt also, ich brauche die Google admx und schiebe die Root-CA dort hinein ?

Hallo JudgeDredd
Ja das ist in der Tat so.

Gruss
adminst

Hi adminst,

super, dann vielen Dank.

Gruß,
JudgeDredd

Hallo Zusammen,

am Wochenende hatte ich mal Gelegenheit, mich nochmal der Zertifikatsthematik zu widmen.
Leider funktioniert das nicht so wie vorgeschlagen.

In den Google/Chrome ADMX gibt es keine Einstellungen zu Zertifikatsauslieferungen.
Das Netz "behauptet" auch weiterhin, das Chrome keinen eigenen Zertifikatsspeicher hat, sondern den nativen von Windows nutzt.

Daher schildere ich nochmal kurz den Sachverhalt:
Wenn ich mit Chrome eine Webseite eines internen Servers (server01.myDom.intranet) aufrufe, erhalte ich eine Warnung zur unterbrochenen Zertifikatskette. Wenn ich in den Chrome-Einstellungen auf HTTPS-Zertifikate-verwalten gehen, wird mir die root-CA (myDom.intranet) unter Vertrauenswürde Stammzertifizierungsstellen angezeigt.

Die Zertifikatskette sieht in Chrome so aus:

myDom.intranet
    |
    └ server01.myDom.intranet

Wie bereits erwähnt, mit dem IE funktioniert alles wie erwartet.

Vielleicht noch jemand mit einer guten Idee ?

Gruß,
Andreas

Hallo
Wie schon geschrieben hat Chrome einen eigenen Speicher. zu finden unter erweiterte Einstellungen, siehe auch https://www.bitblokes.de/selbst-signiertes-zertifikat-android-firefox-un ...
Gruss
adminst

Hallo adminst,

also grundsätzlich glaube ich Dir natürlich, wenn Du das behauptest, aber ich verstehe es irgendwie trotzdem nicht.
Nachdem ich das Root-CA auf dem Client ausgerollt habe und die HTTPS Verbindung im IE ohne Fehler funktioniert und
ich zu diesem Zeitpunkt im Chrome noch keinerlei Zertifikate importiert habe, wird dennoch in der Chrome Zertifikatsverwaltung mein Root-CA angezeigt.
Da frage ich mich dann natürlich, wenn Chrome seinen eigenen Zertifikatsspeicher hat, wieso wird dann mein Root-CA ohne weiteres zutun angezeigt ?

Gruß,
JudgeDredd

Frage Sicherheit Verschlüsselung, Zertifikate

Mehr von JudgeDredd

Migration Hyper-V nach ProxmoxJudgeDredd - 6 Kommentare

Indirekte Variablen in der bashJudgeDredd - 2 Kommentare

PfSense (neue) Hardware beschaffenJudgeDredd - 18 Kommentare

PfSense(2.6.0) VPN(IPsec) Dualstack an ClientJudgeDredd

Heiß diskutiert