14
Selbstsigniertes Zertifikat über https "nicht vertrauenswürdig"
Hi,
Ich habe ein selbstsigniertes Zertifikat, welches ich nicht vertrauenswürdig bekomme.
glpi.technologie.local
Ich habe ein Inventory/Ticketsystem installiert - GLPI. Funktioniert über http und https.
Auf dem Linuxserver (Debian 12 64 Bit) Zertifikatsanfrage installiert /var/apache2/zertifikate/
openssl req -new -newkey rsa:2048 -nodes -keyout glpi.key -out glpi.csr
Die Anfrage kommt auf den AD. Dort läuft auch die Zertifizierungsstelle.
Über die Shell signiere ich das Zertifikat
certreq -attrib "CertificateTemplate:Webserver365Tage" -submit glpi.csr
Hier hatte ich ein Template gemacht für 1 Jahr Laufzeit.
Das daraus generierte Zertifikat --> glpi.crt dann noch als Base64 Codiertes Zertikat abgespeichert und im Apache hinterlegt.
Über Gruppenrichtlinie verteilt. Bei dem Client ist es im Zertifikatsspeicher vorhanden.
Ergebnis: Gemischt
--> Auf dem Windowserver mit IExplorer --> Geht fehlerfrei
--> Auf den Clients mit Edge: Zertifikat für diese Seite ist ungültig (Zertifikatscheck glpi.technologie.local steht drin)
--> Auf den Clients mit Firefox: SSL_ERROR_BAD_CERT_DOMAIN (Zertifikatscheck glpi.technologie.local steht drin)
Virenscanner auf Server: Trendmicro, Clients ESET
Über Anregung würde ich mich sehr freuen.
Grüße
Heinz
Ich habe ein selbstsigniertes Zertifikat, welches ich nicht vertrauenswürdig bekomme.
glpi.technologie.local
Ich habe ein Inventory/Ticketsystem installiert - GLPI. Funktioniert über http und https.
Auf dem Linuxserver (Debian 12 64 Bit) Zertifikatsanfrage installiert /var/apache2/zertifikate/
openssl req -new -newkey rsa:2048 -nodes -keyout glpi.key -out glpi.csr
Die Anfrage kommt auf den AD. Dort läuft auch die Zertifizierungsstelle.
Über die Shell signiere ich das Zertifikat
certreq -attrib "CertificateTemplate:Webserver365Tage" -submit glpi.csr
Hier hatte ich ein Template gemacht für 1 Jahr Laufzeit.
Das daraus generierte Zertifikat --> glpi.crt dann noch als Base64 Codiertes Zertikat abgespeichert und im Apache hinterlegt.
/etc/apache2/sites-availiable/glpi.conf
<VirtualHost *:443>
SSLEngine on
SSLCertificateFile /etc/apache2/zertifikate/glpi.crt
SSLCertificateKeyFile /etc/apache2/zertifikate/glpi.key
ServerName glpi.technologie.local
DocumentRoot /var/www/glpi/public
Alias "/glpi" "/var/www/glpi/public"
<Directory /var/www/glpi/public>
Require all granted
RewriteEngine On
RewriteCond %{REQUEST_FILENAME} !-f
RewriteRule ^(.*)$ index.php [QSA,L]
</Directory>
</VirtualHost>Ergebnis: Gemischt
--> Auf dem Windowserver mit IExplorer --> Geht fehlerfrei
--> Auf den Clients mit Edge: Zertifikat für diese Seite ist ungültig (Zertifikatscheck glpi.technologie.local steht drin)
--> Auf den Clients mit Firefox: SSL_ERROR_BAD_CERT_DOMAIN (Zertifikatscheck glpi.technologie.local steht drin)
Virenscanner auf Server: Trendmicro, Clients ESET
Über Anregung würde ich mich sehr freuen.
Grüße
Heinz
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 31609975035
Url: https://administrator.de/contentid/31609975035
Printed on: April 27, 2024 at 20:04 o'clock
14 Comments
Latest comment
Bei Firefox eventuell das Zertifikat über Einstellungen->Datenschutz&Sicherheit->Zertifikate anzeigen -> (manuell) importieren
Moin,
du mußt das Root Zertifikat deiner CA auf den Rechnern importieren.
/Thomas
du mußt das Root Zertifikat deiner CA auf den Rechnern importieren.
/Thomas
Das hier ist die Fehlermeldung des Firefox´
Sichere Kommunikation mit der Gegenstelle ist nicht möglich: Angeforderter Domainname stimmt nicht mit dem Zertifikat des Servers überein.
HTTP Strict Transport Security: false
HTTP Public Key Pinning: false
Sichere Kommunikation mit der Gegenstelle ist nicht möglich: Angeforderter Domainname stimmt nicht mit dem Zertifikat des Servers überein.
HTTP Strict Transport Security: false
HTTP Public Key Pinning: false
Moin,
Google hätte geholfen, innerhalb von Sekunden
Hier https://support.mozilla.org/en-US/questions/1379667 steht was genau mit deinem Zertifikat nicht stimmt. Gilt für FF und vermutlich auch für Edge/Chrome
lg,
Slainte
Google hätte geholfen, innerhalb von Sekunden
Hier https://support.mozilla.org/en-US/questions/1379667 steht was genau mit deinem Zertifikat nicht stimmt. Gilt für FF und vermutlich auch für Edge/Chrome
lg,
Slainte
Hi,
wo soll ich denn beim Zertifikatsgenerieren den SAN Eintrag reinnehmen?
wo soll ich denn beim Zertifikatsgenerieren den SAN Eintrag reinnehmen?
Eventuell so?
certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
net stop certsvc
net start certsvc
certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
net stop certsvc
net start certsvc
Hi.
Erstellt selbst signiertes Cert mit private Key und SAN in einem Rutsch.
Gruß Katrin
openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -nodes -sha256 -days 365 -subj "/C=DE/CN=glpi.technologie.local" -addext "subjectAltName = DNS:glpi.technologie.local" -addext "extendedKeyUsage = serverAuth,clientAuth" -addext "keyUsage = critical,keyEncipherment,digitalSignature,keyAgreement" Gruß Katrin
Uh,
vielen Dank Katrin11.
Ich probier das mal aus. Mal sehen, ob das mit dem Template:Website auf dem Windowsserver signierbar ist.
vielen Dank Katrin11.
Ich probier das mal aus. Mal sehen, ob das mit dem Template:Website auf dem Windowsserver signierbar ist.
Hallo Katrin11,
certreq -attrib "CertificateTemplate:Webserver365Tage" -submit cert.pem
Das hab ich sonst immer auf dem AD gemacht ....
C:\temp\Zertifikatsanfrage>certreq -attrib "CertificateTemplate:Webserver365Tage" -submit cert.pem
Active Directory-Registrierungsrichtlinie
{CB1C98D0-23AE-4050-9A70-423C13BB87DA}
ldap:
Zertifikatanforderungsverarbeitung: Die Daten sind unzulässig. 0x8007000d (WIN32: 13 ERROR_INVALID_DATA)
cert.pem
certreq -attrib "CertificateTemplate:Webserver365Tage" -submit cert.pem
Das hab ich sonst immer auf dem AD gemacht ....
C:\temp\Zertifikatsanfrage>certreq -attrib "CertificateTemplate:Webserver365Tage" -submit cert.pem
Active Directory-Registrierungsrichtlinie
{CB1C98D0-23AE-4050-9A70-423C13BB87DA}
ldap:
Zertifikatanforderungsverarbeitung: Die Daten sind unzulässig. 0x8007000d (WIN32: 13 ERROR_INVALID_DATA)
cert.pem
Hm,
da ist ja schon alles drin ...
Ich schau mal, ob ich das auf dem AD importieren kann und dann über die Gruppenrichtline verteilen kann.
da ist ja schon alles drin ...
Ich schau mal, ob ich das auf dem AD importieren kann und dann über die Gruppenrichtline verteilen kann.
Ja klar, sagen ja schon die Parameter das es kein Request ist sondern Key und Cert direkt ausgibt.
Die Einstellungen des genutztes Certificate-Template für's Signieren muss natürlich auch stimmen...
Ich schau mal, ob ich das auf dem AD importieren kann und dann über die Gruppenrichtline verteilen kann.
Wenn du nur einen Request für deine CA brauchst das geht natürlich auchopenssl req -new -newkey RSA:2048 -keyout private.key -out request.csr -nodes -subj "/C=DE/CN=glpi.technologie.local" -addext "keyUsage=critical,digitalSignature,keyEncipherment" -addext "extendedKeyUsage=serverAuth,clientAuth" -addext "subjectAltName=DNS:glpi.technologie.local"
Bedenke auch das etwa Firefox per Default seinen eigenen CA Speicher nutzt. Wenn der den Windows CA Speicher nutzen soll muss man ihm das per GPO sagen oder mittels about:config
security.enterprise_roots.enabled = true
Setting Up Certificate Authorities (CAs) in Firefox
security.enterprise_roots.enabled = true
Setting Up Certificate Authorities (CAs) in Firefox
1
[Solved]
Hi Katrin11
Das hat funktioniert. Vielen Dank. Ich hab damit schon 1 Woche lang gekämpft.
Den Eintrag beim Firefox mußte ich nicht machen.
Wie man dem Zertifikat noch die Einträge mitgeben, DE, Bayern, Firmenname, etc? Bringt zwar erst mal nix, sieht aber einfach schöner aus.
Hi Katrin11
Das hat funktioniert. Vielen Dank. Ich hab damit schon 1 Woche lang gekämpft.
Den Eintrag beim Firefox mußte ich nicht machen.
Wie man dem Zertifikat noch die Einträge mitgeben, DE, Bayern, Firmenname, etc? Bringt zwar erst mal nix, sieht aber einfach schöner aus.
Zitat von @hkrischeu:
Wie man dem Zertifikat noch die Einträge mitgeben, DE, Bayern, Firmenname, etc?
Im Subject Parameter (-subj) mit Slash (/) voneinander getrennt wie oben gezeigtWie man dem Zertifikat noch die Einträge mitgeben, DE, Bayern, Firmenname, etc?
-subj "/C=DE/O=Firma/S=State/OU=OrganizationalUnit/CN=glpi.technologie.local" https://docs.oracle.com/cd/E24191_01/common/tutorials/authz_cert_attribu ...
Das klappt aber verständlicherweise nur wenn im Template deiner CA definiert ist das diese Felder auch mit ins Zertifikat übernommen werden.
Bitte dann noch als gelöst markieren nicht vergessen.👋
