jannis92
Goto Top

Zertifikatsprobleme

Moin Leute,
seit ca. zwei Monaten tritt bei uns sporadisch das Problem auf, dass manche Mitarbeiter nicht
mehr auf die Intranetseite zugreifen können. Im Browser erscheint die Meldung, dass es ein Problem mit dem
Zertifikat gebe. Schaut man sich die Meldung an, so sieht man, dass das Zertifikat von der
Firewall ausgestellt wurde. Korrekt wäre jedoch das Zertifikat von der Intranetseite.

Kennt jemand von euch dieses Verhalten/Problem?
Was ich bereits versucht habe:
• Zertifikat aus dem Speicher löschen
• Browser auf Werkseinstellung setzten.

Eine identische Meldung (Zertifikat wird nicht vertraut -> Aussteller: Firewall) gab es dann auch auf einem
anderen Rechner. Hier war allerdings der Java AutoUpdater die Ursache, weshalb diese Meldung erschien.

Hat jemand eine Idee zu dem Problem?
Vielen Dank face-smile.

Content-ID: 246296

Url: https://administrator.de/forum/zertifikatsprobleme-246296.html

Ausgedruckt am: 23.12.2024 um 03:12 Uhr

MasterBlaster88
MasterBlaster88 12.08.2014 aktualisiert um 16:30:50 Uhr
Goto Top
Hi.
Hast du eine Domänenumgebung? Normal brauchst du eine CA für Zertifikate die zur Authentifizierung dienen sollen. Bisschen komisch beschrieben, kannst du einen Screenshot des Fehlers und des Zertifikats posten (eventuell eigene Daten schwärzen)?
aqui
aqui 12.08.2014 aktualisiert um 17:10:29 Uhr
Goto Top
Vor allen Dingen was hat ein Firewall Zertifikat auf einem Webserver zu suchen ??
Jannis92
Jannis92 12.08.2014 um 18:45:10 Uhr
Goto Top
@MasterBlaster88:
Jops, der/die Rechner befinden sich in einer Domäne.

@aqui:
Das Zertifikat befindet sich nicht auf dem Webserver.
Das Intranet befindet sich außerhalb unseres Netzwerkes, daher die Firewall.


Hier einmal die Meldung vom IE (Version 9):
(Links logischerweise das Zertifikat, rechts die Meldung der Firewall -> Host not found)
4019ff87d99cd7f8436ac205cf574415

Auf allen anderen Clients funktioniert der Weg zum Intranet. Es ist lediglich wieder ein
Client, welcher das Problem hat. In den vergangenen Monaten hatten wir, wie erwähnt, auch noch weitere, die dieses,
oder ein ähnliches Verhalten, gezeigt haben.


Könnte es sein, dass der Zertifikatsspeicher durch Updates beschädigt wurde?
Für mich sieht es definitiv nach einem lokalen Problem aus.

Vielen Dank face-smile.
AndiEoh
AndiEoh 12.08.2014 um 22:38:04 Uhr
Goto Top
Hallo,

du könntest einfach die Firewall so einstellen das Sie keine Zertifikate ausstellt bzw. SSL MitM Proxy spielt?

Gruß

Andi
bastian42
bastian42 13.08.2014 um 08:37:58 Uhr
Goto Top
Schaut für mich eher so aus, als ob die Firewall hier eine klassische Man-in-the-Middle Aktion macht.
Warum und weshalb weiss natürlich nur der Firewalladmin.
DataJoe
DataJoe 14.08.2014 um 15:15:58 Uhr
Goto Top
Anscheinend ist auf der Firewall eingestellt das SSL gescannt werden sollen. Dadurch spielt die Firewall Man-in-the-Middle und ersetzt das Zertifikat durch sein eigenes
Jannis92
Jannis92 14.08.2014 um 15:27:14 Uhr
Goto Top
Möglich ;o
Werde ich einmal überprüfen. Aber wieso dann nur bei manchen Clients? ;o

Vielen Dank face-smile
bastian42
bastian42 14.08.2014 um 20:25:47 Uhr
Goto Top
Vielleicht nutzen nicht alle die Firewall als Proxy. Hast Du da schon nachgeschaut?
Was sagt die Firewall den? Was für eine Firewall ist das?
Jannis92
Jannis92 15.08.2014 um 09:13:54 Uhr
Goto Top
Hey bastian42,
intern verwenden alle Clients den Proxy. Dies wird über eine GPO für
den IE mitgegeben. Die Firewall macht für HTTPS "Nur URL-Filterung".

Ich habe gleich für ca. 2 Stunden das entsprechende Notebook bei mir auf dem Tisch
und werde noch ein paar Tests machen. Zudem werde ich dann einmal die Logs der Firewall durchsuchen.

Erstmal vielen Dank face-smile.
Jannis92
Jannis92 15.08.2014 um 10:34:27 Uhr
Goto Top
Also es scheint ein lokales Problem mit dem Interent Explorer zu sein.
Ich habe auf dem System nun den Firefox installiert und die proxy.pac hinterlegt.
Im Firefox kann die gleiche Seite ohne Zertifikatsfehler aufgerufen werden.

Noch eine Idee dazu?
Ich habe shon "SSL-Status löschen" ausgeführt, was allerdings auch nichts bringt face-sad.

Danke (=
Jannis92
Jannis92 15.08.2014 um 10:50:37 Uhr
Goto Top
Soooo...
Problem erkannt, Gefahr gebannt (oder so :D ).
Im IE war nebem der Proxy.pac noch der Proxy/Firewall fix als IP-Adresse eingetragen.
Diese habe ich zum Test herausgenommen und siehe dar, es funktioniert. Keine Zertifikatsmeldung.

Jetzt würde ich noch gerne verstehen, was da passiert.
Denn, die anderen clients haben Proxy.pac + Proxy-IP in der Config und es funktioniert.

Noch einer eine Idee dazu?
Vielen Dank an eure Hilfe face-smile
bastian42
bastian42 15.08.2014 um 11:51:25 Uhr
Goto Top
Hi,

warum proxy.pac und IP? Somit verwendest Du vielleicht unterschiedliche Dinge.
Ich würde entweder oder machen. Hast Du einen proxy, oder macht die Firewall
das mit?
Jannis92
Jannis92 15.08.2014 um 13:48:47 Uhr
Goto Top
Das übernimmt die Firewall mit :p
Warum es so via GPO konfiguriert wurde
Kann ich auch nicht sagen :p war schon zu Beginn meiner Ausbildung so xD.