Selbstsigniertes Zertifikat über https "nicht vertrauenswürdig"
Hi,
Ich habe ein selbstsigniertes Zertifikat, welches ich nicht vertrauenswürdig bekomme.
glpi.technologie.local
Ich habe ein Inventory/Ticketsystem installiert - GLPI. Funktioniert über http und https.
Auf dem Linuxserver (Debian 12 64 Bit) Zertifikatsanfrage installiert /var/apache2/zertifikate/
openssl req -new -newkey rsa:2048 -nodes -keyout glpi.key -out glpi.csr
Die Anfrage kommt auf den AD. Dort läuft auch die Zertifizierungsstelle.
Über die Shell signiere ich das Zertifikat
certreq -attrib "CertificateTemplate:Webserver365Tage" -submit glpi.csr
Hier hatte ich ein Template gemacht für 1 Jahr Laufzeit.
Das daraus generierte Zertifikat --> glpi.crt dann noch als Base64 Codiertes Zertikat abgespeichert und im Apache hinterlegt.
Über Gruppenrichtlinie verteilt. Bei dem Client ist es im Zertifikatsspeicher vorhanden.
Ergebnis: Gemischt
--> Auf dem Windowserver mit IExplorer --> Geht fehlerfrei
--> Auf den Clients mit Edge: Zertifikat für diese Seite ist ungültig (Zertifikatscheck glpi.technologie.local steht drin)
--> Auf den Clients mit Firefox: SSL_ERROR_BAD_CERT_DOMAIN (Zertifikatscheck glpi.technologie.local steht drin)
Virenscanner auf Server: Trendmicro, Clients ESET
Über Anregung würde ich mich sehr freuen.
Grüße
Heinz
Ich habe ein selbstsigniertes Zertifikat, welches ich nicht vertrauenswürdig bekomme.
glpi.technologie.local
Ich habe ein Inventory/Ticketsystem installiert - GLPI. Funktioniert über http und https.
Auf dem Linuxserver (Debian 12 64 Bit) Zertifikatsanfrage installiert /var/apache2/zertifikate/
openssl req -new -newkey rsa:2048 -nodes -keyout glpi.key -out glpi.csr
Die Anfrage kommt auf den AD. Dort läuft auch die Zertifizierungsstelle.
Über die Shell signiere ich das Zertifikat
certreq -attrib "CertificateTemplate:Webserver365Tage" -submit glpi.csr
Hier hatte ich ein Template gemacht für 1 Jahr Laufzeit.
Das daraus generierte Zertifikat --> glpi.crt dann noch als Base64 Codiertes Zertikat abgespeichert und im Apache hinterlegt.
/etc/apache2/sites-availiable/glpi.conf
<VirtualHost *:443>
SSLEngine on
SSLCertificateFile /etc/apache2/zertifikate/glpi.crt
SSLCertificateKeyFile /etc/apache2/zertifikate/glpi.key
ServerName glpi.technologie.local
DocumentRoot /var/www/glpi/public
Alias "/glpi" "/var/www/glpi/public"
<Directory /var/www/glpi/public>
Require all granted
RewriteEngine On
RewriteCond %{REQUEST_FILENAME} !-f
RewriteRule ^(.*)$ index.php [QSA,L]
</Directory>
</VirtualHost>
Ergebnis: Gemischt
--> Auf dem Windowserver mit IExplorer --> Geht fehlerfrei
--> Auf den Clients mit Edge: Zertifikat für diese Seite ist ungültig (Zertifikatscheck glpi.technologie.local steht drin)
--> Auf den Clients mit Firefox: SSL_ERROR_BAD_CERT_DOMAIN (Zertifikatscheck glpi.technologie.local steht drin)
Virenscanner auf Server: Trendmicro, Clients ESET
Über Anregung würde ich mich sehr freuen.
Grüße
Heinz
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 31609975035
Url: https://administrator.de/forum/selbstsigniertes-zertifikat-ueber-https-nicht-vertrauenswuerdig-31609975035.html
Ausgedruckt am: 22.12.2024 um 03:12 Uhr
14 Kommentare
Neuester Kommentar
Moin,
Google hätte geholfen, innerhalb von Sekunden
Hier https://support.mozilla.org/en-US/questions/1379667 steht was genau mit deinem Zertifikat nicht stimmt. Gilt für FF und vermutlich auch für Edge/Chrome
lg,
Slainte
Google hätte geholfen, innerhalb von Sekunden
Hier https://support.mozilla.org/en-US/questions/1379667 steht was genau mit deinem Zertifikat nicht stimmt. Gilt für FF und vermutlich auch für Edge/Chrome
lg,
Slainte
Hi.
Erstellt selbst signiertes Cert mit private Key und SAN in einem Rutsch.
Gruß Katrin
openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -nodes -sha256 -days 365 -subj "/C=DE/CN=glpi.technologie.local" -addext "subjectAltName = DNS:glpi.technologie.local" -addext "extendedKeyUsage = serverAuth,clientAuth" -addext "keyUsage = critical,keyEncipherment,digitalSignature,keyAgreement"
Gruß Katrin
Ja klar, sagen ja schon die Parameter das es kein Request ist sondern Key und Cert direkt ausgibt.
Die Einstellungen des genutztes Certificate-Template für's Signieren muss natürlich auch stimmen...
Ich schau mal, ob ich das auf dem AD importieren kann und dann über die Gruppenrichtline verteilen kann.
Wenn du nur einen Request für deine CA brauchst das geht natürlich auchopenssl req -new -newkey RSA:2048 -keyout private.key -out request.csr -nodes -subj "/C=DE/CN=glpi.technologie.local" -addext "keyUsage=critical,digitalSignature,keyEncipherment" -addext "extendedKeyUsage=serverAuth,clientAuth" -addext "subjectAltName=DNS:glpi.technologie.local"
Bedenke auch das etwa Firefox per Default seinen eigenen CA Speicher nutzt. Wenn der den Windows CA Speicher nutzen soll muss man ihm das per GPO sagen oder mittels about:config
security.enterprise_roots.enabled = true
Setting Up Certificate Authorities (CAs) in Firefox
security.enterprise_roots.enabled = true
Setting Up Certificate Authorities (CAs) in Firefox
Zitat von @hkrischeu:
Wie man dem Zertifikat noch die Einträge mitgeben, DE, Bayern, Firmenname, etc?
Im Subject Parameter (-subj) mit Slash (/) voneinander getrennt wie oben gezeigtWie man dem Zertifikat noch die Einträge mitgeben, DE, Bayern, Firmenname, etc?
-subj "/C=DE/O=Firma/S=State/OU=OrganizationalUnit/CN=glpi.technologie.local"
https://docs.oracle.com/cd/E24191_01/common/tutorials/authz_cert_attribu ...
Das klappt aber verständlicherweise nur wenn im Template deiner CA definiert ist das diese Felder auch mit ins Zertifikat übernommen werden.
Bitte dann noch als gelöst markieren nicht vergessen.👋