netleon
Goto Top

Self Signed Zertifikate - Installieren Local

Guten Tag erstmal an alle,

derzeit erstelle ich Self Signed Zertifikate über einen Linux Server, und versuche die Local auf meinem Windows 10 PC zu installieren, damit sie als „Sicher/Trusted“ angezeigt werden. Ich habe mir schon mehrere YT Videos angeschaut/Blog Beiträge, aber weiterhin ohne Erfolg. Das Zertifikat in der Trusted Root zu installieren hat leider nicht geholfen, dies habe ich schon probiert. Ich versuche ein .crt zu installieren als Information nebenbei.

Außerdem habe ich versucht, über eine Zertifikatsanforderung über unsere Zertifikatsstelle eins anzufordern, was auch funktioniert hat, aber bedauerlicherweise war das Zertifikat trotzdem nicht Trusted.

Content-ID: 4352886171

Url: https://administrator.de/forum/self-signed-zertifikate-installieren-local-4352886171.html

Ausgedruckt am: 23.12.2024 um 19:12 Uhr

Mr-Gustav
Mr-Gustav 21.10.2022 um 09:07:46 Uhr
Goto Top
Geht es um Webseiten welche du per SSL ereichen willst ?
Falls ja bedenke das die Browser u.U. einen eigenen Cert Store haben den
Sie zum Überprüfen heranziehen. Es reicht also nicht immer aus das
ROOT CA der Zertifizierungsstelle nur in die Windows Zertifikate einzufügen.
Du musst die Root CA Certs. bei Computer / Stammzertifizierungsstellen hinzufügen
und ggf. auch bei User / Stammzert. + je nach Browser dort ebenfalls
137960
137960 21.10.2022 um 11:30:32 Uhr
Goto Top
In Ergänzung zu Mr-Gustav:

- Chrome, Internet Explodierer und Edge arbeiten mit dem System-Zertifikatespeicher (sowohl unter Windows als auch Unix/macOS). Dazu gehören auch alle Derivate davon, z.B. Vivaldi oder Brave.
- Alle Firefox-Browser und Thunderbird arbeiten mit einem eigenen Zertifikatespeicher. Muss man also für jede einzelne Anwendung extra was eingeben.
- Java-Anwendungen haben sowohl einen truststore im System (gebunden an die Java Runtime) als auch für jede App noch einmal einzeln und völlig frei konfigurierbar. Die Datei dazu nennt sich meist "cacerts" oder "jssecacaerts".
Crusher79
Crusher79 21.10.2022 aktualisiert um 12:00:53 Uhr
Goto Top
Über was für eine Stelle? Intern in der Domäne?

Für chocolatey hatte ich ähnliches mal angedacht und teils umgesetzt: Ubuntu Server mit Squid Cache Proxy. Der die Pakete halt zwischenhält. Habe einfach dann innerhalb der Domäne das Zertifikat angefordert und gut war es.

Oder versuchst via Extern und z.B. mit Let's Encrypt ?

Beschreib mal den Aufbau, wer, was, wo anfordert. In den Beispiel hier, muss natürlich der eig. Dienst - hier Squid - das Zertifikat nutzen.
4091525239
4091525239 21.10.2022 aktualisiert um 15:58:56 Uhr
Goto Top
Zitat von @137960:
- Alle Firefox-Browser und Thunderbird arbeiten mit einem eigenen Zertifikatespeicher. Muss man also für jede einzelne Anwendung extra was eingeben.
Oder man aktiviert dort über die about:config das dieser auch den Windows-CA Speicher nutzt dann ist das überflüssig.
security.enterprise_roots.enabled = true
tech-flare
tech-flare 22.10.2022 um 10:25:24 Uhr
Goto Top
Zitat von @4091525239:

Zitat von @137960:
- Alle Firefox-Browser und Thunderbird arbeiten mit einem eigenen Zertifikatespeicher. Muss man also für jede einzelne Anwendung extra was eingeben.
Oder man aktiviert dort über die about:config das dieser auch den Windows-CA Speicher nutzt dann ist das überflüssig.
security.enterprise_roots.enabled = true


Ebenfalls kann man dies via GPO mit einem ADMX Template für den FF aktivieren. Funktioniert problemlos
NETLeon
NETLeon 26.10.2022 um 20:59:17 Uhr
Goto Top
Wir haben intern Systeme die über HTTPS + Port angesprochen werden müssen, diese verwenden außerdem self signed Zertifikate. Ich möchte gerne das vereinfachen und einen Proxy dafür verwenden, damit man die lästigen Ports/IPs sich nicht immer merken muss. Die Self Signed Zertifikate will ich gerne dann auf allen Clients installieren, dass sie nicht die Meldung bekommen, dass die Seite unsicher wäre.

Ich habe bereits die Zertifikatsstelle unter Windows und unter Firefox ausprobiert, leider hatte ich kein Erfolg. Ich hatte mir auch weitere Blogbeiträge angeschaut, wo ich bedauerlicherweise wieder kein Erfolg hatte. Das kann doch nicht so schwer sein, oder vertue ich mich?
137960
Lösung 137960 27.10.2022 um 13:42:07 Uhr
Goto Top
Wahrscheinlich face-wink
Es reicht meistens nicht, das Zertifikat der Root-CA in die Webbrowser bzw. den Zertifikatespeicher des Betriebssystems zu packen. Wenn Du irgendwelche Server mit den selbst signierter Zertifikaten ausstattest, dann müssen die meistens auch noch von Deiner eigenen Root-CA wissen (speziell bei Java-Servern).
NETLeon
NETLeon 27.10.2022 um 14:26:02 Uhr
Goto Top
Das Zertifikat hatte ich auch über unsere CA ausgestellt, und dies wurde mir bei dem Zertifikat erfolgreich auch angezeigt. Dies hatte ich nämlich auch probiert, wobei ich dort leider auch kein Erfolg hatte, und die Zertifikate wurden weiterhin als nicht sicher angezeigt.