3
Muss ich eine Intermediate CA importieren?
Hallo zusammen,
ich habe meine eigene Root CA erstellt und meine Zertifikate damit signiert (OpenVPN, HTTPS, etc.).
Nun habe ich zuhause eine Sophos UTM 9.4 installiert und Web Protection (Zwangsproxy) inklusive HTTPS eingerichtet.
Hier kann man eine eigene CA importieren, um HTTPS Seiten zu filtern. Dazu selbige CA auch im Browser importiert werden.
Da ich nicht unbedingt meine Root CA importieren möchte, dachte ich mir, ich erstelle einfach eine Intermediate CA und importiere die.
Damit funktioniert es aber scheinbar nicht. Muss die Intermediate CA auch im Broser importiert werden? Weil eigentlich müsste es ja reichen, wenn die Root CA importiert ist, denn die Intermediate CA ist ja von der Root CA signiert worden und dieser (und allen von ihr ausgestellten Zertifikaten) sollte ja dann eigentlich vertraut werden.
Die Root CA, sämtliche Zertifikate sowie die Intermediate CA wurde mit Easy RSA 2.0 erstellt.
Danke schonmal für die Hilfe!
Grüße
Ketanest
ich habe meine eigene Root CA erstellt und meine Zertifikate damit signiert (OpenVPN, HTTPS, etc.).
Nun habe ich zuhause eine Sophos UTM 9.4 installiert und Web Protection (Zwangsproxy) inklusive HTTPS eingerichtet.
Hier kann man eine eigene CA importieren, um HTTPS Seiten zu filtern. Dazu selbige CA auch im Browser importiert werden.
Da ich nicht unbedingt meine Root CA importieren möchte, dachte ich mir, ich erstelle einfach eine Intermediate CA und importiere die.
Damit funktioniert es aber scheinbar nicht. Muss die Intermediate CA auch im Broser importiert werden? Weil eigentlich müsste es ja reichen, wenn die Root CA importiert ist, denn die Intermediate CA ist ja von der Root CA signiert worden und dieser (und allen von ihr ausgestellten Zertifikaten) sollte ja dann eigentlich vertraut werden.
Die Root CA, sämtliche Zertifikate sowie die Intermediate CA wurde mit Easy RSA 2.0 erstellt.
Danke schonmal für die Hilfe!
Grüße
Ketanest
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 320164
Url: https://administrator.de/contentid/320164
Printed on: April 24, 2024 at 19:04 o'clock
3 Comments
Latest comment
Hallo,
Du meinst den Prxoy als Transparenter Proxy.
Gruß,
Peter
Du meinst den Prxoy als Transparenter Proxy.
Hier kann man eine eigene CA importieren, um HTTPS Seiten zu filtern
Wessen HTTPS Seiten willst du denn Filtern? Deine oder die von Aldi?Gruß,
Peter
Ja transparenter Proxy ist ja quasi ein Zwangsproxy :D aber ja, den meine ich.
Sämtliche HTTPS Seiten. Das funktioniert wohl so, dass die Sophos sich die Seite holt (also als HTTPS Client), den Inhalt prüft und mit einem eigenen Zertifikat an den Client weiterreicht. Dazu muss aber die CA, mit der das "eigene" Zertifikat von der Sophos erstellt wurde auf dem Rechner installiert sein bzw. ihr muss vertraut werden (deshalb die Idee mit der Intermediate CA).
Wenn ich nun aber das Intermediate CA Zertifikat wiederum auf jedem Rechner installieren muss, damit das funktioniert, wähle ich lieber die Option, direkt die Root CA herzunehmen, da diese ohnehin auf meinen Clients installiert ist.
Grüße
Ketanest
Sämtliche HTTPS Seiten. Das funktioniert wohl so, dass die Sophos sich die Seite holt (also als HTTPS Client), den Inhalt prüft und mit einem eigenen Zertifikat an den Client weiterreicht. Dazu muss aber die CA, mit der das "eigene" Zertifikat von der Sophos erstellt wurde auf dem Rechner installiert sein bzw. ihr muss vertraut werden (deshalb die Idee mit der Intermediate CA).
Wenn ich nun aber das Intermediate CA Zertifikat wiederum auf jedem Rechner installieren muss, damit das funktioniert, wähle ich lieber die Option, direkt die Root CA herzunehmen, da diese ohnehin auf meinen Clients installiert ist.
Grüße
Ketanest
Ich hab nun noch ein bisschen recherchiert und herausgefunden, dass man Intermediate CAs genauso importieren muss wie die Root CA.
Aber dabei ist mir noch was anderes aufgefallen: Beim Import meiner Intermediate CA in Windows und dem Öffnen eines Test Zertifikats zeigt Windows die Richtige Hierarchie an: Root CA -> Intermediate CA -> Zertifikat. Importiere ich dieses Zertifikat allerdings in Firefox, wird hier die Root CA nicht mehr angezeigt: Intermediate CA -> Zertifikat, obwohl die Root CA auch importiert ist.
Der Seitenaufruf klappt zwar problemlos aber ich frage mich, warum die Hierarchie nicht richtig angezeigt wird.
Bei anderen Zertifizierungsstellen funktioniert es auch. Was mir hierbei auffällt ist, dass beim Kryptographie-Modul der Root CAs "Builtin Object Token" steht, bei mir jedoch "das Software-Sicherheitsmodul". Hat es evtl. etwas damit zu tun?
EDIT: An der Verschlüsselung bzw. dem Hash Algorithmus kann es auch nicht liegen, hab da schon diverses (auch Analog zu anderen Root CAs) ausprobiert.
Danke schonmal
Ketanest
Aber dabei ist mir noch was anderes aufgefallen: Beim Import meiner Intermediate CA in Windows und dem Öffnen eines Test Zertifikats zeigt Windows die Richtige Hierarchie an: Root CA -> Intermediate CA -> Zertifikat. Importiere ich dieses Zertifikat allerdings in Firefox, wird hier die Root CA nicht mehr angezeigt: Intermediate CA -> Zertifikat, obwohl die Root CA auch importiert ist.
Der Seitenaufruf klappt zwar problemlos aber ich frage mich, warum die Hierarchie nicht richtig angezeigt wird.
Bei anderen Zertifizierungsstellen funktioniert es auch. Was mir hierbei auffällt ist, dass beim Kryptographie-Modul der Root CAs "Builtin Object Token" steht, bei mir jedoch "das Software-Sicherheitsmodul". Hat es evtl. etwas damit zu tun?
EDIT: An der Verschlüsselung bzw. dem Hash Algorithmus kann es auch nicht liegen, hab da schon diverses (auch Analog zu anderen Root CAs) ausprobiert.
Danke schonmal
Ketanest
