Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Webserver zertifikat in der Domäne wird in Browser Firefox und Chrome nicht akzeptiert

Mitglied: hmmToast

hmmToast (Level 1) - Jetzt verbinden

17.01.2020, aktualisiert 15:12 Uhr, 500 Aufrufe, 11 Kommentare

Hallo,

ich habe ein Problem mit Zertifikaten in meiner Domäne. Ich habe außerdem keine erfahrung mit zertifikaten.
Es ist eine Test-Umgebung aus 4 Windows Server 2016. Ein DC mit DNS UND CA. Ein Server, auf dem ein Webserver installiert werden soll und zwei normale Clients. Alle sind mitglied der lokalen Domäne.

Ich habe festegestellt, dass beim Domänenjoin das Root-zertifikat der CA automatisch in den Vertrauenswürdige Zertifizierungsstellenspeicher (local machine) installiert wurde. Ich habe dann in der CA das vorgefertigte Template für Webserver aktiviert und verfügbar gemacht. Auf dem Webserver habe ich dann ein Webserver Zertifikat angefordert(Common name=FQDN des webservers). Das wurde in den eigenen Speicher installiert und ist laut certlm.msc gültig.

Ich hab den Fingerprint von diesem Zertifikat genommen und das in der Installation von Windows Admin Center als Webserver zertifikat angegeben. Die website wird über denselben FQDN aufgerufen, auf den das zertifikat ausgestellt ist.
Leider sagt Firefox: SEC_ERROR_UNKNOWN_ISSUER . Die CRL(Certificate Revodcation List) ist in einem LDAP Pfad standardmäßig. ich habe nach Anleitung einen weiteren distribution point in der CA mithilfe von ADSI hinzugefügt. Der wird auch im Zertifikat mitgeliedert, aber es funktkioniert trotzdem nicht.

Was können wir machen, um das zu troubleshooten?

Danke
hmmToast
1 - Klicke auf das Bild, um es zu vergrößern
2 - Klicke auf das Bild, um es zu vergrößern
3 - Klicke auf das Bild, um es zu vergrößern
4 - Klicke auf das Bild, um es zu vergrößern
Mitglied: tikayevent
17.01.2020 um 14:58 Uhr
Firefox hat einen eigenen Zertifikatsspeicher. Entweder eine neue Firefox-Version nehmen, die das Fallback auf den Windows-Zertifikatsspeicher beherrscht, einen Browser nehmen, der auf den Windows-Zertifikatsspeicher zugreifen kann oder das CA-Zertifikat in den Firefox-Zertifikatsspeicher laden.
Bitte warten ..
Mitglied: hmmToast
17.01.2020, aktualisiert um 15:11 Uhr
Hmm, um das zu verifizieren habe ich den installierten Chrome 78 genommen. Dort kommt eine andere Fehlermeldung: NET::ERR_CERT_COMMON_NAME_INVALID
Aber es kommt trotzdem eine Fehlermeldung.

Der webserver heißt: WindowsAdminCenter.psstest.local
Die website wird bereitgestellt unter: https://windowsadmincenter.psstest.local
das Zertifikat Webserver ist asgestellt für CN=windowsadmincenter.psstest.local bzw. im Zertifikat steht das ohne "CN="
Bitte warten ..
Mitglied: Dani
LÖSUNG 18.01.2020 um 13:02 Uhr
Moin,
das sind zwei unabhängige Probleme.

NET::ERR_CERT_COMMON_NAME_INVALID
Aber es kommt trotzdem eine Fehlermeldung.
Fehler: "Alternativer Name für den Zertifikatsinhaber fehlt" oder "NET::ERR_CERT_COMMON_NAME_INVALID" oder "Dies ist keine sichere Verbindung"


Gruß,
Dani
Bitte warten ..
Mitglied: tikayevent
18.01.2020 um 13:10 Uhr
Du zeigst auch nur, wie das Zertifikat im Zertifikatespeicher des Servers liegt, aber hast du im IIS auch die Bindung angepasst? Wenn du mal genau hinschaust, siehst du, dass da drei Zertifikate drin liegen. Woher soll der Server jetzt wissen, was er nehmen soll? Hätte man auch erkennen können, wenn man sich das Zertifikat im Browser anzeigen lässt, dass der CN nicht passt.
Bitte warten ..
Mitglied: wuebra
18.01.2020 um 22:09 Uhr
Chrome unterstützt keinen Self Zertifikate. Nie. Auch nicht mit einer eigenen internen CA.

Für Firefox gibt es einen gpo über die admx templates, worüber du den internen Zertifikats Speicher aktivieren kannst
Bitte warten ..
Mitglied: tikayevent
18.01.2020, aktualisiert um 22:43 Uhr
@wuebra: Stimmt doch gar nicht. Ich habe gerade eben auf einem Rechner, auf dem noch nie Chrome installiert war, die normale Endkundenversion von Google installiert und habe eine Seite aufgerufen, die TLS-verschlüsselt ist und ein Zertifikat einer internen Enterprise-CA nutzt. Keine Warnmeldung, kein Fehler, keine definierte Ausnahme, das Zertifikat ist gültig. Das notwendige Root-Zertifikat dieser CA verteilen wir per GPO an die Clients.

Wenn ich eine TLS-Seite mit einem Zertifikat unserer eigenen Enterprise-CA aufrufe, dann wird ein Fehler gemeldet, aber nur weil das Root-Zertifikat noch SHA1 ist. Im rein internen Betrieb kein Problem.

bsc-ca - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: wuebra
19.01.2020 um 23:10 Uhr
Zitat von tikayevent:

@wuebra: Stimmt doch gar nicht. Ich habe gerade eben auf einem Rechner, auf dem noch nie Chrome installiert war, die normale Endkundenversion von Google installiert und habe eine Seite aufgerufen, die TLS-verschlüsselt ist und ein Zertifikat einer internen Enterprise-CA nutzt. Keine Warnmeldung, kein Fehler, keine definierte Ausnahme, das Zertifikat ist gültig. Das notwendige Root-Zertifikat dieser CA verteilen wir per GPO an die Clients.

Ok...wusste ich nicht bzw. Bei mir erscheint der Fehler bei Chrome trotz interner CA. Verteilung des Root CERT auch bei GPO.

Welche Chrome Version ist installiert?
Bitte warten ..
Mitglied: tikayevent
19.01.2020 um 23:13 Uhr
Die aktuellste von gestern. Könnte die 79er sein.
Bitte warten ..
Mitglied: Dani
LÖSUNG 19.01.2020, aktualisiert um 23:15 Uhr
Moin,
Ok...wusste ich nicht bzw. Bei mir erscheint der Fehler bei Chrome trotz interner CA. Verteilung des Root CERT auch bei GPO.
könnte sein, dass mein Kommentar auch bei dir zutrifft?!

Welche Chrome Version ist installiert?
Aktuell noch 78.x


Gruß,
Dani
Bitte warten ..
Mitglied: hmmToast
20.01.2020 um 13:58 Uhr
Hallo, danke.
Das hat bei mir das Problem in Chrome gelöst. In Firefox dementsprechend nicht. Dort müsste ich dann wie ich gelesen habe noch über die ADMX-Templates die Zertifikate verfügbar machen. Als nächstes muss ich mich dann um die SSL-Zertifikate für WinRM kümmern.

Was eigentlich total beknackt von Microsoft ist, die Tatsache, dass man den Edge auf Windows Server nicht verwenden kann. Und der IE ist für Windows Admin Center nicht supported... Dafür aber der Chrome, wobei der neue Edge natürlich auch auf Chromium basiert. Trotzdem bescheuert.
Bitte warten ..
Mitglied: tikayevent
20.01.2020 um 17:50 Uhr
Edge war und ist bis zum Schluss immer eine Spielumgebung gewesen und war nie für den Unternehmenseinsatz gedacht.
Bitte warten ..
Ähnliche Inhalte
Outlook & Mail

Outlook 2007 akzeptiert neues Zertifikat nicht

gelöst Frage von honeybeeOutlook & Mail6 Kommentare

Hallo, ich musste auf dem Exchange-Server (Version 2010) das neue Zertifikat erneuern, weil das alte abgelaufen war. Da habe ...

Verschlüsselung & Zertifikate

Root Zertifikat in Firefox importieren

gelöst Frage von DarkScabsVerschlüsselung & Zertifikate6 Kommentare

Hallo Zusammen, wir müssen bei uns ein Root-Zertifikat in den Firefox importieren, um eine sichere Verbindung zu unserem internen ...

Windows Server

Firefox Zertifikat Probleme ungültige Signatur

Frage von WalkersWindows Server8 Kommentare

Servus Leute:) Heute stehe ich wieder vor einem Problem das ich mir nicht erklären kann. Das Netz hab ich ...

Windows Server

Zertifikat wird nicht akzeptiert, wenn RDP mittels rdp-Datei gestartet wird

gelöst Frage von erikroWindows Server3 Kommentare

Moin, ich bin einigermaßen am verzweifeln. Ich habe meine PKI eingerichtet. Die CA ist vertrauenswürdige Stammzertifizierungsstelle. Sie ist Vertrauenswürdiger ...

Neue Wissensbeiträge
Virtualisierung

VEEAM Instant VM Recovery Datenverlust möglich

Information von sabines vor 3 StundenVirtualisierung

Wer instant VM Recovery unter Veeam nutzt, sollte seine Installation überprüfen. In manchen Fällen könnte es zu Datenverlust kommen, ...

Administrator.de Feedback
Hinweise auf Dienstleister oder auf Suchmaschinen
Information von Frank vor 3 TagenAdministrator.de Feedback71 Kommentare

Lieber User, Admins und Moderatoren, aus gegebenen Anlass möchte ich zwei Dinge endgültig klarstellen und für die Nachwelt festhalten: ...

Router & Routing

PfSense 2.4 IPSec VPN mobile Clients Phase 2 wird plötzlich nicht mehr aufgebaut - So einfach war die Lösung

Tipp von the-buccaneer vor 4 TagenRouter & Routing9 Kommentare

Moinsen! Nachdem ich mir hierbei nen Wolf gesucht habe, möchte ich doch die Welt an dieser simplen Lösung teilhaben ...

Humor (lol)
Wählscheiben Telefon
Information von brammer vor 4 TagenHumor (lol)4 Kommentare

Hallo, Mal wirkliche eine nette Spielerei brammer

Heiß diskutierte Inhalte
Backup
VMware ESXi Cluster Backup
Frage von ADRNEXBackup23 Kommentare

Hallo zusammen, Ich habe eine vmware esxi cluster Umgebung mit ca. 20TB Daten, die auf einem SAN liegen. Es ...

Netzwerkmanagement
Softwareverteilung für kleines Unternehmen mit sehr gemixter Hardware
gelöst Frage von BavarianSysadNetzwerkmanagement20 Kommentare

Hallo zusammen^^, ich stehe vor dem Problem das wir im Unternehmen eine Softwareverteilung einführen soll, leider ist dies wie ...

Windows 10
Dell Optiplex 790 Installation Windows 10
gelöst Frage von Ghost108Windows 1016 Kommentare

Guten morgen zusammen, möchte gerne auf meinem Optiplex 790 Windows 10 installieren (Clean Install). Habe das BIOS von Legacy ...

Sicherheit
Windows 10 zusperren (Ähnlich Kiosk-Modus)
Frage von SignumV6Sicherheit12 Kommentare

Hallo werte Wissende, ich suche eine Möglichkeit (Software) Windows 10 so zuzudrehen das nur ein Programm + einen PDF-Reader ...