21
Https-Verbindung nur über Internet-Explorer
Hallo Zusammen,
bei der Erstellung eines Domänenzertifikats für eine interne Webseite, ist mir gerade aufgefallen, dass https nur über den Internet Explorer funktioniert.
Bei z.B Firefox kommt die Meldung:
Servername verwendet ein ungültiges Sicherheitszertifikat. Dem Zertifikat wird nicht vertraut, weil das Aussteller-Zertifikat unbekannt ist. Der Server sendet eventuell nicht die richtigen Zwischen-Zertifikate. Eventuell muss ein zusätzliches Stammzertifikat importiert werden. Fehlercode: SEC_ERROR_UNKNOWN_ISSUER
Das Zertifikat habe ich wie folgt eingerichtet:
1. Server 2016 IIS 10 Domänenzertifikat erstellen
2. Daten eingegeben ( Organisation...)
3. unsere Zertifizierungsstelle angegeben
4. Zertifkat der Site zugeordnet
Habe ich hier vielleicht eine Schritt vergessen?
bei der Erstellung eines Domänenzertifikats für eine interne Webseite, ist mir gerade aufgefallen, dass https nur über den Internet Explorer funktioniert.
Bei z.B Firefox kommt die Meldung:
Servername verwendet ein ungültiges Sicherheitszertifikat. Dem Zertifikat wird nicht vertraut, weil das Aussteller-Zertifikat unbekannt ist. Der Server sendet eventuell nicht die richtigen Zwischen-Zertifikate. Eventuell muss ein zusätzliches Stammzertifikat importiert werden. Fehlercode: SEC_ERROR_UNKNOWN_ISSUER
Das Zertifikat habe ich wie folgt eingerichtet:
1. Server 2016 IIS 10 Domänenzertifikat erstellen
2. Daten eingegeben ( Organisation...)
3. unsere Zertifizierungsstelle angegeben
4. Zertifkat der Site zugeordnet
Habe ich hier vielleicht eine Schritt vergessen?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 329071
Url: https://administrator.de/contentid/329071
Printed on: April 24, 2024 at 02:04 o'clock
21 Comments
Latest comment
Mit einem simplen Mausklick kannst du aber Firefox und auch allen anderen Browsern eine Ausnahme erteilen das er das akzeptieren soll. Sofern du dem wirklich vertrauen kannst.
Das der IE das kritiklos ohne Fehler akzeptiert sollte dir mal schwer zu denken geben !
Das der IE das kritiklos ohne Fehler akzeptiert sollte dir mal schwer zu denken geben !
Hallo aqui und vielen Dank für die schnelle Antwort.
Insgesamt muss es aber doch möglich sein, innerhalb der Domain selbst einen website zu signieren, sodass zumindest die Mitarbeiter innerhalb der Firma keine Fehler angezeigt bekommen, oder??
Insgesamt muss es aber doch möglich sein, innerhalb der Domain selbst einen website zu signieren, sodass zumindest die Mitarbeiter innerhalb der Firma keine Fehler angezeigt bekommen, oder??
Hallo,
Lies Dich mal hier schlau.
https://www.policypak.com/products/manage-mozilla-firefox-with-group-pol ...
Teste mal mit einem Chrome-Browser ob der euer selbst erstelltes Zertifikat klaglos akzeptiert. Chrome nutzt den gleichen Zertifikatsspeicher wie der IE.
BFF
Lies Dich mal hier schlau.
https://www.policypak.com/products/manage-mozilla-firefox-with-group-pol ...
Teste mal mit einem Chrome-Browser ob der euer selbst erstelltes Zertifikat klaglos akzeptiert. Chrome nutzt den gleichen Zertifikatsspeicher wie der IE.
BFF
Ich glaube eher, dass ich da einen Konfigurationsfehler habe. Chrome geht auch nicht, eben nur der Internet Explorer.
Dann weisst Du ja, was zu tun ist. 
Fuer die Verteilung in der Domaene an den FF hast Du ja schon den Hinweis.
BFF
Fuer die Verteilung in der Domaene an den FF hast Du ja schon den Hinweis.
BFF
Verteilung per gpo habe ich schon durchgeführt, deshalb funkt das ja auch mit dem ie, aber eben nicht mit Chrome und Firefox.
Dann wird irgend etwas verkehrt sein.
BFF
Chrome nutzt den gleichen Zertifikatsspeicher wie der IE.
BFF
Genau deswegen fragte ich nochmal nach der genauen Vorgehensweiße bzw. ob meine richtig ist.
Moin
Findest du unter Einstellungen -> Einstellungen -> Erweiterte Einstellungen -> Zertifikate verwalten.
@aqui
Gruß,
Dani
Chrome nutzt den gleichen Zertifikatsspeicher wie der IE.
wäre mir neu... Chrome hat wie Firefox einen eigenen Zertifikatsspeicher.Findest du unter Einstellungen -> Einstellungen -> Erweiterte Einstellungen -> Zertifikate verwalten.
@aqui
Das der IE das kritiklos ohne Fehler akzeptiert sollte dir mal schwer zu denken geben !
Das Verhalten ist normal, da a) eine integrierte CA verwendet wird b) GPOs benutz werden c) der Client Mitglied der Domäne ist.Gruß,
Dani
Zitat von @Dani:
Moin
Findest du unter Einstellungen -> Einstellungen -> Erweiterte Einstellungen -> Zertifikate verwalten.
Das Zertifikat habe ich händisch zum Test importiertMoin
Chrome nutzt den gleichen Zertifikatsspeicher wie der IE.
wäre mir neu... Chrome hat wie Firefox einen eigenen Zertifikatsspeicher.Findest du unter Einstellungen -> Einstellungen -> Erweiterte Einstellungen -> Zertifikate verwalten.
@aqui
Genau darauf möchte ich hinaus. Leider hat Firefox und auch chrome sogar in meiner Testumgebung Probleme mit dem Zertifikat aus meiner CA klar zukommen. Das müsste aber doch eigentlich funktionieren oder sehe ich das falsch? Das der IE das kritiklos ohne Fehler akzeptiert sollte dir mal schwer zu denken geben !
Das Verhalten ist normal, da a) eine integrierte CA verwendet wird b) GPOs benutz werden c) der Client Mitglied der Domäne ist.Gruß,
Dani
Moin,
Gruß,
Dani
Genau darauf möchte ich hinaus. Leider hat Firefox und auch chrome sogar in meiner Testumgebung Probleme mit dem Zertifikat aus meiner CA klar zukommen. Das müsste aber doch eigentlich funktionieren oder sehe ich das falsch?
dazu solltest du erstmal genau erläutern, wie sich der Fehler darstellt? Stellt deine CA z.B. die Zertifikate noch mit SHA1 könnte es Ärger geben.Gruß,
Dani
Habe ich gerade geprüft und ja, stellt sie. Das müsste ich dann also zuerst umstellen. Diesen Befehl habe ich dazu im Netz gefunden "certutil -setreg ca\csp\CNGHashAlgorithm SHA256"
Seltsam ist nur, dass die Fehlermeldung von Firefox nicht direkt den SHA Algo anspricht, so wie ich es schon bei Chrome gesehen habe.
Mozilla zeigt folgendes an:
Servername verwendet ein ungültiges Sicherheitszertifikat. Dem Zertifikat wird nicht vertraut, weil das Aussteller-Zertifikat unbekannt ist. Der Server sendet eventuell nicht die richtigen Zwischen-Zertifikate. Eventuell muss ein zusätzliches Stammzertifikat importiert werden. Fehlercode: SEC_ERROR_UNKNOWN_ISSUER
Seltsam ist nur, dass die Fehlermeldung von Firefox nicht direkt den SHA Algo anspricht, so wie ich es schon bei Chrome gesehen habe.
Mozilla zeigt folgendes an:
Servername verwendet ein ungültiges Sicherheitszertifikat. Dem Zertifikat wird nicht vertraut, weil das Aussteller-Zertifikat unbekannt ist. Der Server sendet eventuell nicht die richtigen Zwischen-Zertifikate. Eventuell muss ein zusätzliches Stammzertifikat importiert werden. Fehlercode: SEC_ERROR_UNKNOWN_ISSUER
Moin,
lg,
Slainte
SEC_ERROR_UNKNOWN_ISSUER
Hast du denn das Cert deiner CA als Vertrauenswürdigen Herausgeber (oder wie das bei FF eben genannt wird) importiert? Der Browser muss die komplette Cert-Chain, also inkl. aller CAs und Sub-CAs validieren können, bevor der das Cert ohne Warnung akzeptiert.lg,
Slainte
Die interne CA steht zumindest im FF unter Vertrauenwürde CAs drin, seltsamerweise funkt das bei Chrome auch nicht. Der IE bringt keine Fehler.
Wird denn die CA nicht sowieso in der Domain verteilt?
Wird denn die CA nicht sowieso in der Domain verteilt?
So, jetzt läuft es schon mal unter Firefox. Bei Chrome liegt noch irgendein anderes Problem vor.
So, jetzt läuft es schon mal unter Firefox.
Was war die Problemlösung?Bei Chrome liegt noch irgendein anderes Problem vor.
Welche Fehlermeldung?
Die Fehlerbehebung lag darin, wie du sagtest erstmal die CA dem Firefox hinzuzufügen.
Chrome spuck eben gar keine Fehlermeldung aaus, außer dass die Seite unsicher ist und Https durchgestrichen ist.
Für die Verteilung der CA an Firefox, gibt es da zufällig eine kostenlose Möglichkeit?
Chrome spuck eben gar keine Fehlermeldung aaus, außer dass die Seite unsicher ist und Https durchgestrichen ist.
Für die Verteilung der CA an Firefox, gibt es da zufällig eine kostenlose Möglichkeit?
Chrome spuck eben gar keine Fehlermeldung aau
In den Entwickler-Tools (F12) unter dem Security Tab steht i.d.R. sehr genau was Chrome an dem Cert nicht passt.Für die Verteilung der CA an Firefox, gibt es da zufällig eine kostenlose Möglichkeit?
Ist dein Google kaputt? Guckst du hierZitat von @SlainteMhath:
Genau das habe ich versucht und genau das habe ich auch vermutet. Hier geht es um den SHA1 Algo, Die CA habe ich schon umgestellt, wahrscheinlich muss ich aber das zertifikat dann nochmal neu austellenChrome spuck eben gar keine Fehlermeldung aau
In den Entwickler-Tools (F12) unter dem Security Tab steht i.d.R. sehr genau was Chrome an dem Cert nicht passt.Für die Verteilung der CA an Firefox, gibt es da zufällig eine kostenlose Möglichkeit?
Ist dein Google kaputt? Guckst du hier
Moin,
Gruß,
Dani
...wahrscheinlich muss ich aber das zertifikat dann nochmal neu austellen
Richtig.das habe ich schon gefunden, aber Verteilung? Ich dachte da eher an eine gpo Verteilung?
Hmm... evtl. kann die Vorlage von FrontMotion dies bewerkstelligen.Gruß,
Dani
