7
Frage zu Windows CA und Extended Validation Zertifikat
Moin,
ich habe hier eine Testumgebung und mit Zertifikaten etwas experimentiert.
Das ist ein DC mit einem extra Server für eine zweistufige CA unter Server 2008 R2.
Dabei sind zwei Fragen aufgekommen.
Ich habe auf der SUB-CA in den Zertifikatvorlagen eine doppelte Vorlage ertellt. Dann habe ich ein "Extended Validation Zertifikat" ausgestellt. Dabei habe ich eine neue Ausstellungsrichtlinie erzeugt.
Die erste Frage ist, wie kann man die Ausstellerrichtlinien verwalten, also auch löschen? Da habe ich mehrere
Ausstellungsrichtlinien erzeugt und wollte dort einfach nur mal aufräumen.
Die Geschichte mit dem Internet-Explorer und dem EV-Zertifiakt funktioniert sehr gut. (grüner Adressbalken). Der Firefox zickt da noch etwas rum. Den Firefox habe ich dazu bewegt, dass er auch den Windows internen Zertifikatspeicher ausliest. Das funktioniert auch. Die interne https-Seite zeigt er auch ohne Nachfrage an. Nur die grüne Adresszeile will er nicht zeigen.
Gibt es da noch einen Ansatz, wie man das hinbekommen könnte? Ich weiß, das ist Spielerei. Aber vielleicht gehts ja trotzdem.
ich habe hier eine Testumgebung und mit Zertifikaten etwas experimentiert.
Das ist ein DC mit einem extra Server für eine zweistufige CA unter Server 2008 R2.
Dabei sind zwei Fragen aufgekommen.
Ich habe auf der SUB-CA in den Zertifikatvorlagen eine doppelte Vorlage ertellt. Dann habe ich ein "Extended Validation Zertifikat" ausgestellt. Dabei habe ich eine neue Ausstellungsrichtlinie erzeugt.
Die erste Frage ist, wie kann man die Ausstellerrichtlinien verwalten, also auch löschen? Da habe ich mehrere
Ausstellungsrichtlinien erzeugt und wollte dort einfach nur mal aufräumen.
Die Geschichte mit dem Internet-Explorer und dem EV-Zertifiakt funktioniert sehr gut. (grüner Adressbalken). Der Firefox zickt da noch etwas rum. Den Firefox habe ich dazu bewegt, dass er auch den Windows internen Zertifikatspeicher ausliest. Das funktioniert auch. Die interne https-Seite zeigt er auch ohne Nachfrage an. Nur die grüne Adresszeile will er nicht zeigen.
Gibt es da noch einen Ansatz, wie man das hinbekommen könnte? Ich weiß, das ist Spielerei. Aber vielleicht gehts ja trotzdem.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 372308
Url: https://administrator.de/contentid/372308
Ausgedruckt am: 24.11.2024 um 16:11 Uhr
7 Kommentare
Neuester Kommentar
Les mal den folgenden Abschnitt:
https://en.wikipedia.org/wiki/Extended_Validation_Certificate#Extended_V ...
Und
https://blog.mozilla.org/security/2015/11/03/updated-firefox-security-in ...
Dann sollte dir klar werden das das mit selbst signierten Certs nicht funktionieren kann, außer du lässt das von einer Stelle ausstellen dessen öffentliche OID der Browser kennt, dem Browser das Root-Cert bekannt zu machen hilft da nicht, der Browser gleicht die EV OID mit Online-Listen ab.
https://en.wikipedia.org/wiki/Extended_Validation_Certificate#Extended_V ...
Und
https://blog.mozilla.org/security/2015/11/03/updated-firefox-security-in ...
Dann sollte dir klar werden das das mit selbst signierten Certs nicht funktionieren kann, außer du lässt das von einer Stelle ausstellen dessen öffentliche OID der Browser kennt, dem Browser das Root-Cert bekannt zu machen hilft da nicht, der Browser gleicht die EV OID mit Online-Listen ab.
Erst mal Danke für die Info. Das war mir natürlich nicht so bewusst.
Jetzt bleibt nur noch die Frage offen, ob man die Ausstellungsrichtlien in der CA irgendwie aufräumen kann.
Jetzt bleibt nur noch die Frage offen, ob man die Ausstellungsrichtlien in der CA irgendwie aufräumen kann.
Zitat von @RalphT:
Jetzt bleibt nur noch die Frage offen, ob man die Ausstellungsrichtlien in der CA irgendwie aufräumen kann.
Zeig mal was du meinst.Jetzt bleibt nur noch die Frage offen, ob man die Ausstellungsrichtlien in der CA irgendwie aufräumen kann.
Kein Problem. Hier ist ein Screenshot, allerdings nicht von der gleichen CA.
Wenn an auf den NEU-Button klickt, erzeut man neue Richtlinien. Um die geht es. Was derzeit zu sehen ist, diese sind per default schon vorhanden.
Wenn an auf den NEU-Button klickt, erzeut man neue Richtlinien. Um die geht es. Was derzeit zu sehen ist, diese sind per default schon vorhanden.
Das kannst du in Active Directory Sites and Services erledigen.
Vorher den Rootknoten markieren und "Dienstknoten anzeigen" aktivieren
Dann hierhin navigieren , dort findest du die neu angelegten OIDs. Entsprechende OID raussuchen (Eigenschaften > Attribute hilft dir dabei) und Schlüssel löschen.
Achtung, die Template MMC muss danach neu geöffnet werden, sonst sind die Änderungen nicht sichtbar!
Vorher den Rootknoten markieren und "Dienstknoten anzeigen" aktivieren
Dann hierhin navigieren , dort findest du die neu angelegten OIDs. Entsprechende OID raussuchen (Eigenschaften > Attribute hilft dir dabei) und Schlüssel löschen.
Achtung, die Template MMC muss danach neu geöffnet werden, sonst sind die Änderungen nicht sichtbar!
Ja super. Dann ist da ja auch gelöst.
Ich bedanke mich nochmal!
Ich bedanke mich nochmal!
Immer gerne 
.
.
