7
CARoot Authority erstellen und Zertifikate verteilen
Hallo Zusammen,
ich habe für mein Intranet (myDom.intranet) eine CA-Root Authority erstellt.
Diese habe ich über GPO an alle WIN-Clients verteilt.
Diese sind auch im Zertifikatsspeicher "vertrauenswürdige Stammzertifizierungsstellen" angekommen.
Nun habe ich mit dieser besagten CA-Root weitere Zertifikate für verschiedene VM's (Apache etc..) erstellt und diese dort entsprechend eingebunden.
Wenn ich nun mit einem WIN-Client über den IE auf einen HTTPS-Dienst zugreife, wird wie erwartet eine korrekte verschlüsselte Verbindung angezeigt.
Soweit sogut ...
Wenn ich aber auf einem WIN-Client mit Chrome auf den HTTPS-Dienst zugreife, dann bekomme ich einen Warnhinweis, das die Zertifikatskette unterbrochen sei.
Da Chrome ja im Gegensatz zu z.B. Mozilla keinen eigenen Zertifikatsspeicher hat, sondern den nativen aus WIN verwendet, stelle ich mir nun die Frage, was ist da im Argen ?
Sicherlich kann ich auch ein intermediate-Cert erstellen, aber da die Zertifikate für die HTTPS-Dienste allesamt direkt mit der CA-Root erstellt wurden, dürfte es da nach meinem Verständnis keine Warnung bzgl. Zwischenzertifikat geben. Oder sehe ich da etwas falsch ?
Gruß,
JudgeDredd
ich habe für mein Intranet (myDom.intranet) eine CA-Root Authority erstellt.
Diese habe ich über GPO an alle WIN-Clients verteilt.
Diese sind auch im Zertifikatsspeicher "vertrauenswürdige Stammzertifizierungsstellen" angekommen.
Nun habe ich mit dieser besagten CA-Root weitere Zertifikate für verschiedene VM's (Apache etc..) erstellt und diese dort entsprechend eingebunden.
Wenn ich nun mit einem WIN-Client über den IE auf einen HTTPS-Dienst zugreife, wird wie erwartet eine korrekte verschlüsselte Verbindung angezeigt.
Soweit sogut ...
Wenn ich aber auf einem WIN-Client mit Chrome auf den HTTPS-Dienst zugreife, dann bekomme ich einen Warnhinweis, das die Zertifikatskette unterbrochen sei.
Da Chrome ja im Gegensatz zu z.B. Mozilla keinen eigenen Zertifikatsspeicher hat, sondern den nativen aus WIN verwendet, stelle ich mir nun die Frage, was ist da im Argen ?
Sicherlich kann ich auch ein intermediate-Cert erstellen, aber da die Zertifikate für die HTTPS-Dienste allesamt direkt mit der CA-Root erstellt wurden, dürfte es da nach meinem Verständnis keine Warnung bzgl. Zwischenzertifikat geben. Oder sehe ich da etwas falsch ?
Gruß,
JudgeDredd
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 347195
Url: https://administrator.de/contentid/347195
Printed on: April 25, 2024 at 08:04 o'clock
7 Comments
Latest comment
Hallo JudgeDredd
Chrome hat einen eigenen Zertifikatsspeicher und geht deshalb nicht über den Win. Zertifikatsspeicher.
Gruss
amdinst
Chrome hat einen eigenen Zertifikatsspeicher und geht deshalb nicht über den Win. Zertifikatsspeicher.
Gruss
amdinst
Chrome hat einen eigenen Zertifikatsspeicher und geht deshalb nicht über den Win. Zertifikatsspeicher.
OK, das war mir tatsächlich nicht bewusst.Heißt also, ich brauche die Google admx und schiebe die Root-CA dort hinein ?
Hallo JudgeDredd
Ja das ist in der Tat so.
Gruss
adminst
Ja das ist in der Tat so.
Gruss
adminst
Hi adminst,
super, dann vielen Dank.
Gruß,
JudgeDredd
super, dann vielen Dank.
Gruß,
JudgeDredd
Hallo Zusammen,
am Wochenende hatte ich mal Gelegenheit, mich nochmal der Zertifikatsthematik zu widmen.
Leider funktioniert das nicht so wie vorgeschlagen.
In den Google/Chrome ADMX gibt es keine Einstellungen zu Zertifikatsauslieferungen.
Das Netz "behauptet" auch weiterhin, das Chrome keinen eigenen Zertifikatsspeicher hat, sondern den nativen von Windows nutzt.
Daher schildere ich nochmal kurz den Sachverhalt:
Wenn ich mit Chrome eine Webseite eines internen Servers (server01.myDom.intranet) aufrufe, erhalte ich eine Warnung zur unterbrochenen Zertifikatskette. Wenn ich in den Chrome-Einstellungen auf HTTPS-Zertifikate-verwalten gehen, wird mir die root-CA (myDom.intranet) unter Vertrauenswürde Stammzertifizierungsstellen angezeigt.
Die Zertifikatskette sieht in Chrome so aus:
Wie bereits erwähnt, mit dem IE funktioniert alles wie erwartet.
Vielleicht noch jemand mit einer guten Idee ?
Gruß,
Andreas
am Wochenende hatte ich mal Gelegenheit, mich nochmal der Zertifikatsthematik zu widmen.
Leider funktioniert das nicht so wie vorgeschlagen.
In den Google/Chrome ADMX gibt es keine Einstellungen zu Zertifikatsauslieferungen.
Das Netz "behauptet" auch weiterhin, das Chrome keinen eigenen Zertifikatsspeicher hat, sondern den nativen von Windows nutzt.
Daher schildere ich nochmal kurz den Sachverhalt:
Wenn ich mit Chrome eine Webseite eines internen Servers (server01.myDom.intranet) aufrufe, erhalte ich eine Warnung zur unterbrochenen Zertifikatskette. Wenn ich in den Chrome-Einstellungen auf HTTPS-Zertifikate-verwalten gehen, wird mir die root-CA (myDom.intranet) unter Vertrauenswürde Stammzertifizierungsstellen angezeigt.
Die Zertifikatskette sieht in Chrome so aus:
myDom.intranet
|
└ server01.myDom.intranetWie bereits erwähnt, mit dem IE funktioniert alles wie erwartet.
Vielleicht noch jemand mit einer guten Idee ?
Gruß,
Andreas
Hallo
Wie schon geschrieben hat Chrome einen eigenen Speicher. zu finden unter erweiterte Einstellungen, siehe auch https://www.bitblokes.de/selbst-signiertes-zertifikat-android-firefox-un ...
Gruss
adminst
Wie schon geschrieben hat Chrome einen eigenen Speicher. zu finden unter erweiterte Einstellungen, siehe auch https://www.bitblokes.de/selbst-signiertes-zertifikat-android-firefox-un ...
Gruss
adminst
Hallo adminst,
also grundsätzlich glaube ich Dir natürlich, wenn Du das behauptest, aber ich verstehe es irgendwie trotzdem nicht.
Nachdem ich das Root-CA auf dem Client ausgerollt habe und die HTTPS Verbindung im IE ohne Fehler funktioniert und
ich zu diesem Zeitpunkt im Chrome noch keinerlei Zertifikate importiert habe, wird dennoch in der Chrome Zertifikatsverwaltung mein Root-CA angezeigt.
Da frage ich mich dann natürlich, wenn Chrome seinen eigenen Zertifikatsspeicher hat, wieso wird dann mein Root-CA ohne weiteres zutun angezeigt ?
Gruß,
JudgeDredd
also grundsätzlich glaube ich Dir natürlich, wenn Du das behauptest, aber ich verstehe es irgendwie trotzdem nicht.
Nachdem ich das Root-CA auf dem Client ausgerollt habe und die HTTPS Verbindung im IE ohne Fehler funktioniert und
ich zu diesem Zeitpunkt im Chrome noch keinerlei Zertifikate importiert habe, wird dennoch in der Chrome Zertifikatsverwaltung mein Root-CA angezeigt.
Da frage ich mich dann natürlich, wenn Chrome seinen eigenen Zertifikatsspeicher hat, wieso wird dann mein Root-CA ohne weiteres zutun angezeigt ?
Gruß,
JudgeDredd
