macewindu
Goto Top

Zertifikat verteilt, Edge meldet weiterhin "Nicht sicher"

Hallo,

Leidiges Thema Zertifikate...
Ein hausinterner Webentwickler hat eine Webseite für interne Verwendung erstellt und mir ein crt Zertifikat geschickt mit der Bitte um Verteilung im AD. Also GPO erstellt, die crt in "Computerkonfiguration => Windows-Einstellungen => Sicherheitseinstellungen => Richtlinien für öffentliche Schlüssel => Vertrauenswürdige Stammzertifizierungsstellen" importiert.

Das Zertifikat kommt am Client in den "vertrauenswürdigen Stammzertifizierungsstellen" an, jedoch meldet MS Edge (Chromium) weiterhin "Nicht sicher".

Kann das am Zertifikatsformat crt liegen?
Und ja, natürlich kann man ein öffentliches Zertifikat kaufen. Doch das muss doch gehen das man eine interne Website mit einem selbst erstellten Zertifikat ohne Fehlermeldung betreiben kann.

LG

Content-ID: 1117461369

Url: https://administrator.de/contentid/1117461369

Ausgedruckt am: 21.11.2024 um 22:11 Uhr

rana-mp
rana-mp 03.08.2021 um 09:19:50 Uhr
Goto Top
Moin,

was genau kommt da fuer eine Fehlermeldung?

"Nicht Sicher" kann alles moegliche sein, von falschen Ciphersuites, falscher Common Name, falsche oder fehlende SANs...

Ich habe selber noch keinen Edge verwendet, kenns aber vom Chrome: Der Common Name muss zwingend auch als SAN vorhanden sein. Das wird gerne vergessen.
MaceWindu
MaceWindu 03.08.2021, aktualisiert am 21.04.2022 um 16:57:47 Uhr
Goto Top
Hi. Die Meldung lautet "Ihre Verbindung ist nicht privat"

edge
Looser27
Lösung Looser27 03.08.2021 aktualisiert um 09:49:32 Uhr
Goto Top
Steht doch in der Fehlermeldung: Common_Name_invalid.

Das heißt Du mußt ein Zertifikat erzeugen, in dem der CN zusätzlich eingetragen ist.
Schau mal unter SAN (Subject Alternative Names).
rana-mp
Lösung rana-mp 03.08.2021 um 09:51:18 Uhr
Goto Top
Es wird der SAN (Subject Alternate Name) fehlen. Der Chrome haut dann auch die Fehlermeldung "Common Name Invalid" raus, wenn der Name im Common Name nicht auch in einem der SANs vorkommt.

Wenn du als Common Name "Blubb.intern" hast, *muss* mindestens einer der SANs auch "Blubb.intern" lauten.
MaceWindu
MaceWindu 03.08.2021 um 15:50:48 Uhr
Goto Top
Ja, klappt jetzt. Webdesigner hat das Zertifikat neu erstellt mit den SAN Informationen.
Vielen Dank!