birdyb
Nov 17, 2023, updated at 08:59:58 (UTC)
view2002
view12
0
Goto Top

Self-Signed Zertifikat vertrauen

GermansolvedQuestionWindows 11
Hallo zusammen,

ich habe hier folgendes Problem:
Rechner mit Windows 11, sowie Edge und Chrome. Ich habe eine Seite mit einem selbstsignierten Zertifikat und möchte, dass beim Aufruf der Seite kein Fehler mehr erscheint.

Folgendes habe ich getan:
1. Zertifikat heruntergeladen
2. Zertifikat im Speicher für Vertrauenswürdige Stammzertifizierungsstellen hinzugefügt
3. In den Internetoptionen die Seite zu "Vertrauenswürdige Sites" hinzugefügt

Leider erhalte ich immer noch die Fehlermeldung, dass die Verbindung nicht sicher ist.

Habe ich etwas vergessen?

Danke und viele Grüße
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 71353385294

Url: https://administrator.de/contentid/71353385294

Printed on: April 27, 2024 at 09:04 o'clock

12 Comments
Latest comment
Goto Top
Member: aqui
aqui Nov 17, 2023 updated at 09:00:54 (UTC)
Goto Top
Schritt 2 ist falsch, denn dort gehört nicht das Server Zertifikat rein sondern wie der Name schon sagt das Stammzertifikat, also das Zertifikat der CA mit der das Server Zertifikat ausgestellt wurde.
Beachte auch das einige Browser eigene Stammzertifikatsspeicher haben wo der Gerätespeicher dann wenig hilft.
Lesenswert zu der Thematik: https://www.amazon.de/SSL-TLS-Under-Lock-Understanding-ebook/dp/B08R6J71 ...
heart1
Member: TK1987
TK1987 Nov 17, 2023 at 09:38:56 (UTC)
Goto Top
Moin,

Zitat von @BirdyB:
Ich habe eine Seite mit einem selbstsignierten Zertifikat
ist dies deine eigene Seite? Falls ja, stellt sich zudem auch die Frage, wieso mit einem selbstsignierten Zertifikat arbeiten?
Bei Let's Encrypt bekommst du kostenlos ein SSL/TLS-Zertifikat für deine Seite, welchem überall vertraut wird.

Gruß Thomas
Member: Visucius
Visucius Nov 17, 2023 at 10:03:47 (UTC)
Goto Top
wieso mit einem selbstsignierten Zertifikat arbeiten?
Weil man in so nem Fall die Laufzeit deutlich höher setzen kann.
Mitglied: 8030021182
8030021182 Nov 17, 2023 updated at 10:28:08 (UTC)
Goto Top
Zitat von @Visucius:

wieso mit einem selbstsignierten Zertifikat arbeiten?
Weil man in so nem Fall die Laufzeit deutlich höher setzen kann.

Wobei es aber bestimmt nicht mehr lange dauern wird, bis Zertifikate die länger gültig sind als 3-12 Monate von Browsern wieder als unsicher markiert werden.
Zur Zeit sind wir ja schon bei 398 Tagen ...
https://sematext.com/blog/ssl-certificate-error/#3-certificate-lifetime- ...
Insofern kein großartiger Gewinn. Wobei man Let's Encrypt ja meist eh automatisiert verwendet.
Starting from September 1st, 2020, all the major browsers (Google Chrome, Mozilla Firefox, and Apple Safari) will reject certificates issued after this date with a validity period of more than 398 days.
heart1
Member: Visucius
Visucius Nov 17, 2023 at 10:32:10 (UTC)
Goto Top
Wobei man Let's Encrypt ja meist eh automatisiert verwendet.
Das will ich nich bestreiten. Nur für Leute die mit Zertifikaten gerade "anfangen" ist das halt ne zusätzliche Hürde, die man sich - so denkt man - ersparten könnte.
Member: aqui
aqui Nov 17, 2023 at 10:59:09 (UTC)
Goto Top
Hatten wir ja auch gerade erst die ganze Thematik. Die Suchfunktion lässt grüßen... face-wink
Selbstsigniertes Zertifikat über https "nicht vertrauenswürdig"
Selbstsigniertes Zertifikat für iOS iPAD über Intunes
Selfsigned Zertifikatsanforderung bringt Fehler
Member: BirdyB
BirdyB Nov 22, 2023 at 10:33:06 (UTC)
Goto Top
Naja, so einfach ist es allerdings nicht.
Konkret geht es um ein internes SAP-System und ich kann das Zertifikat nur über den Browser herunterladen. Die Stamm-CA habe ich nicht vorliegen.
Irgendwie muss ich dem Rechner doch beibringen können, dass das Zertifikat so trotzdem okay ist...
Mitglied: 8030021182
8030021182 Nov 22, 2023 updated at 11:18:10 (UTC)
Goto Top
Zitat von @BirdyB:

Naja, so einfach ist es allerdings nicht.
Konkret geht es um ein internes SAP-System und ich kann das Zertifikat nur über den Browser herunterladen. Die Stamm-CA habe ich nicht vorliegen.
Doch hast du in der Regel immer, im Browser im Zertifikats-Viewer das Stamm-CA-Zertifikat auswählen (nicht das Server-Cert), abspeichern und in den Machine-RootStore importieren, fertig

Irgendwie muss ich dem Rechner doch beibringen können, dass das Zertifikat so trotzdem okay ist...
S.o. Always the same procedure ...
Member: BirdyB
BirdyB Nov 22, 2023 updated at 12:16:04 (UTC)
Goto Top
Also der Zertifikats-Viewer von Chrome zeigt mir das hier:
2023-11-22 13_13_33-anmeldung
Wo finde ich da jetzt das Stamm-CA-Zertifikat?
Member: Visucius
Solution Visucius Nov 22, 2023 updated at 12:19:36 (UTC)
Goto Top
Nicht, das Zertifikat, welches Dir der Browser "als Fehler" auswirft! Du musst das Stammzertifikat nehmen, welches im SAP-System irgendwo in der Systemverwaltung zum Download anbietet.

https://dcx.sap.com/sqla170/de/html/3bcc069d6c5f1014b123ba7ba047629d.htm ...
Member: BirdyB
BirdyB Nov 22, 2023 at 12:34:25 (UTC)
Goto Top
Das habe ich mir jetzt schicken lassen, damit klappt es auch...
Aber kann ich nirgends das "fehlerhafte" Zertifikat als Vertrauenswürdig kennzeichnen? (Beim Mac funktioniert das...)
Ich habe nicht bei jedem System die Möglichkeit die CA, bzw. die Chain herunterzuladen...
Mitglied: 8030021182
8030021182 Nov 22, 2023 updated at 13:44:00 (UTC)
Goto Top
Ein System was die Chain nicht komplett im Browser ausliefert kannst du eh in die Tonne kloppen, oder es wurde am System nicht die komplette Chain als PEM hinterlegt und der User der es hinterlegt hat hat da Mist gebaut.
Ich habe nicht bei jedem System die Möglichkeit die CA, bzw. die Chain herunterzuladen...
Ein CA Cert sollte man immer besorgen können, ein Public Key einer CA ist kein Geheimnis.

Wenn das Zertifikat das im Browser gezeigt wird selbstsigniert ist und keine CA hat, kann man auch das in den Root-Store importieren, denn ein selbstsigniertes Zertifikat wird in den basicConstraints des Certs immer als CA ausgewiesen weil es sich ja selbst signiert hat.
heart1
GermansolvedQuestionWindows 11