Zertifikat Import
hallo zusammen,
ich habe folgendes Problem, ich habe ein selbsterstelltes Zertifikat für OWA ... damit die lästige Zertifikatsmeldung nicht mehr erscheint...
soweit so gut...
wenn ich das Zertifikat auf dem lokalen PC installieren will...
gehe ich über Systemsteuerung - > Internet > Zertifikate ... und da importiere ich es in vertrauenswürdige Stammzertifizierungsstellen... am Schluss kommt die Meldung: Der Importvorgang war erfolgreich...
dazu gehe ich in die MMC und Zertifikate und suche es... es ist einfach nie da... egal ob ich in vertrauenswürdige Stammzertifizierungsstellen oder in Eigene Zertifikate...
kann mir das jemand erklären?
vielen Dank und tschüss...
ich habe folgendes Problem, ich habe ein selbsterstelltes Zertifikat für OWA ... damit die lästige Zertifikatsmeldung nicht mehr erscheint...
soweit so gut...
wenn ich das Zertifikat auf dem lokalen PC installieren will...
gehe ich über Systemsteuerung - > Internet > Zertifikate ... und da importiere ich es in vertrauenswürdige Stammzertifizierungsstellen... am Schluss kommt die Meldung: Der Importvorgang war erfolgreich...
dazu gehe ich in die MMC und Zertifikate und suche es... es ist einfach nie da... egal ob ich in vertrauenswürdige Stammzertifizierungsstellen oder in Eigene Zertifikate...
kann mir das jemand erklären?
vielen Dank und tschüss...
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 181748
Url: https://administrator.de/contentid/181748
Ausgedruckt am: 05.11.2024 um 20:11 Uhr
15 Kommentare
Neuester Kommentar
Also ich impotiere Zertifikate immer per doppelklick auf das .cer und dann wähl ich den Speicher aus, aber ich nehm mal an das dass gerade keinen Unterschied macht!
In Welchen Zertifikatsspeicher impotierst du es denn?
Benutzerkonto?
Dienstkonto?
Compuiterkonto?
Suchst du auch im richtigen Zertifikatsspeicher nach deinem Zertifikat?
In Welchen Zertifikatsspeicher impotierst du es denn?
Benutzerkonto?
Dienstkonto?
Compuiterkonto?
Suchst du auch im richtigen Zertifikatsspeicher nach deinem Zertifikat?
Moin,
es bringt dir überhaupt nichts, wenn du das selbe Zertifikat dass du für OWA installiert hast auf deinem Rechner auch zu Hause installierst. Was diese "Lästige" (aber sinnvolle) Fehlermeldung beseitigt, ist die Installation des Zertifikats der Zertifizierungstelle. Somit kann der Browser das OWA Zertifkat verfizieren und bestätigen.
Grüße,
Dani
es bringt dir überhaupt nichts, wenn du das selbe Zertifikat dass du für OWA installiert hast auf deinem Rechner auch zu Hause installierst. Was diese "Lästige" (aber sinnvolle) Fehlermeldung beseitigt, ist die Installation des Zertifikats der Zertifizierungstelle. Somit kann der Browser das OWA Zertifkat verfizieren und bestätigen.
Grüße,
Dani
Der OWA Server hat ein Serverzertifikat, das irgendjemand ausgestellt hat.
Je nachdem, WER es ausgestellt hat, VERTRAUT dein Browser dem Zertifikat, oder eben nicht.
Die Entscheidung, WELCHEN Zertifikaten der zugreifende WEbbrowser vertraut, hängt davon ab, ob das STAMMZERTIFIKAT (Root Zertifikat) der AUSSTELLENDEN ZERTIFIZIERUNGSSTELLE in den "Vertrauenswürdigen Stammzertifizierungsstellen" drin ist.
Das ist auch der einzige Grund, warum Firmen Zertifikate z. B. von Verisign, Global Trust etc kaufen - weil die Root CA Zertifikate bereits im Browser drin sind und somit die lästigen, für Anwender eh nicht verständlichen Warnungen nicht angezeigt werden. Dass diese Firmen für sowas richtig Kohle verlangen ist meines Erachtens eine Frechheit - doch das ist ein anderes Thema.
Wenn das OWA Serverzertifikat von einer eigenen CA ausgestellt / signiert wurde, muss nur das Stammzertifikat (Root CA Zertifikat) der eigenen, privaten CA auf dem Clientrechner installiert werden.
Da es da verschiedene Formate gibt ist das auch wieder bisschen verwirrend. In der Regel enthält ein .pfx Container die zusammengehörenden Zertifikate/Schlüssel.
Es gibt aber auch noch einige andere Formate wie .pem, .cer, was die Zertifikatsthematik für den Laien nicht grade verständlicher macht.
Je nachdem, WER es ausgestellt hat, VERTRAUT dein Browser dem Zertifikat, oder eben nicht.
Die Entscheidung, WELCHEN Zertifikaten der zugreifende WEbbrowser vertraut, hängt davon ab, ob das STAMMZERTIFIKAT (Root Zertifikat) der AUSSTELLENDEN ZERTIFIZIERUNGSSTELLE in den "Vertrauenswürdigen Stammzertifizierungsstellen" drin ist.
Das ist auch der einzige Grund, warum Firmen Zertifikate z. B. von Verisign, Global Trust etc kaufen - weil die Root CA Zertifikate bereits im Browser drin sind und somit die lästigen, für Anwender eh nicht verständlichen Warnungen nicht angezeigt werden. Dass diese Firmen für sowas richtig Kohle verlangen ist meines Erachtens eine Frechheit - doch das ist ein anderes Thema.
Wenn das OWA Serverzertifikat von einer eigenen CA ausgestellt / signiert wurde, muss nur das Stammzertifikat (Root CA Zertifikat) der eigenen, privaten CA auf dem Clientrechner installiert werden.
Da es da verschiedene Formate gibt ist das auch wieder bisschen verwirrend. In der Regel enthält ein .pfx Container die zusammengehörenden Zertifikate/Schlüssel.
Es gibt aber auch noch einige andere Formate wie .pem, .cer, was die Zertifikatsthematik für den Laien nicht grade verständlicher macht.
Zitat von @manu90:
ok, wenn ja die OWA Warnung kommt ich ich da sage Zertifikat importieren... dieses in Vertrauenswürdigen
Stammzertifizierungsstellen lege... kann ich ja nicht auswählen ob .cer oder .pfx etc...
Du musst auf dem Client das ROOT CA Zertifikat einspielen. Dies bekommst du von dem Server auf dem die Rolle installiert ist.ok, wenn ja die OWA Warnung kommt ich ich da sage Zertifikat importieren... dieses in Vertrauenswürdigen
Stammzertifizierungsstellen lege... kann ich ja nicht auswählen ob .cer oder .pfx etc...
Das Zertifikat von Exchangeserver spielt derweil keine Rolle!
Grüße,
Dani
Das Zertifikat des Exchangeservers (eventuell noch incl. private Key..hehe) auf den Clients zu installieren ist nicht nur sinnfrei, sondern sicherheitstechnisch gar total kontraproduktiv, genau genommen ist es grob fahrlässig.
Zu jedem Zertifikat gehört auch ein privater Schlüssel.
Das Zertifikat (das auch den public key enthält) wird beim Verbindungsaufbau zum Client geschickt.
Der Client verschlüsselt die Daten die er zum Server schickt mit dem public key das im Serverzertifikat enthalten ist.
Und nur der OwA Server kann die Daten wieder entschlüsseln, da nur er den passenden private Key dazu hat.
Wenn aber das OWA Server Schlüsselpaar wirr verteilt wird kann natürlich jeder, der denTraffic mitschneidet, und den private Key hat, die Daten entschlüsseln.
Der private key heisst nicht private key weil man ihn privat verteilen darf, sondern weil er unbedingt geschützt werden muss und nicht in falsche Hände geraten darf.
Das sind PKI Grundlagen.
Wie dani sagt musst du das ROOT CA ZERTIFIKAT des CA Servers, der das Serverzertifikat signiert hat, auf den Cients installieren.
Das lässt sich auch verteilen via Active Directory Gruppenrichtlinien - http://technet.microsoft.com/de-de/library/cc770315%28WS.10%29.aspx
Dann vertrauen sie auch dem OWA Zertifikat - weil das Zertifikat des CA Servers auf dem Client bei den vertrauenswürdigen Zertifizierungsstellen hinterlegt ist.
Die PKI Geschichte gehört erfahrungsgemäss zu den am meisten missverstandenen Themen in der IT glaube ich...
Da geht es um Vertrauen, um Signieren, um Zertifikatsattribute, um Zertifikatsketten... ja dat is alles nit so einfach mit die Kompjuta!
Zu jedem Zertifikat gehört auch ein privater Schlüssel.
Das Zertifikat (das auch den public key enthält) wird beim Verbindungsaufbau zum Client geschickt.
Der Client verschlüsselt die Daten die er zum Server schickt mit dem public key das im Serverzertifikat enthalten ist.
Und nur der OwA Server kann die Daten wieder entschlüsseln, da nur er den passenden private Key dazu hat.
Wenn aber das OWA Server Schlüsselpaar wirr verteilt wird kann natürlich jeder, der denTraffic mitschneidet, und den private Key hat, die Daten entschlüsseln.
Der private key heisst nicht private key weil man ihn privat verteilen darf, sondern weil er unbedingt geschützt werden muss und nicht in falsche Hände geraten darf.
Das sind PKI Grundlagen.
Wie dani sagt musst du das ROOT CA ZERTIFIKAT des CA Servers, der das Serverzertifikat signiert hat, auf den Cients installieren.
Das lässt sich auch verteilen via Active Directory Gruppenrichtlinien - http://technet.microsoft.com/de-de/library/cc770315%28WS.10%29.aspx
Dann vertrauen sie auch dem OWA Zertifikat - weil das Zertifikat des CA Servers auf dem Client bei den vertrauenswürdigen Zertifizierungsstellen hinterlegt ist.
Die PKI Geschichte gehört erfahrungsgemäss zu den am meisten missverstandenen Themen in der IT glaube ich...
Da geht es um Vertrauen, um Signieren, um Zertifikatsattribute, um Zertifikatsketten... ja dat is alles nit so einfach mit die Kompjuta!
Das Zertifikat der Root CA, die das OWA Zertifikat ausgestellt hat.
Kannst das Root CA auch vom OWA Server exportieren und auf dem Client installieren.. Guggst du "Vertrauenswürdige Zertifikatsherausgeber" da sind ne ganze Menge, incl. der CA die du suchst..
Welche CA das ist - guggst du dir das owa zertifikat mal genau an da stehts..
Kannst das Root CA auch vom OWA Server exportieren und auf dem Client installieren.. Guggst du "Vertrauenswürdige Zertifikatsherausgeber" da sind ne ganze Menge, incl. der CA die du suchst..
Welche CA das ist - guggst du dir das owa zertifikat mal genau an da stehts..
Das war n Scherz zum Sonntag oder?! Es gibt nur eines und das hat deine Zertifizierungstelle selbst bzw. an alle Domänenclients verteilt.
Zitat von @Dani:
> Zitat von @manu90:
> ----
> hi dumme Frage... welches ist genau das Root CA ?
Das war n Scherz zum Sonntag oder?! Es gibt nur eines und das hat deine Zertifizierungstelle selbst bzw. an alle
Domänenclients verteilt.
> Zitat von @manu90:
> ----
> hi dumme Frage... welches ist genau das Root CA ?
Das war n Scherz zum Sonntag oder?! Es gibt nur eines und das hat deine Zertifizierungstelle selbst bzw. an alle
Domänenclients verteilt.
Müsste aber auch auf dem OWA Server installiert sein, damit er auch selber seinem eigenen Zertifikat vertraut üblicherweise.