leo-le
Goto Top

Https-Verbindung nur über Internet-Explorer

Hallo Zusammen,

bei der Erstellung eines Domänenzertifikats für eine interne Webseite, ist mir gerade aufgefallen, dass https nur über den Internet Explorer funktioniert.
Bei z.B Firefox kommt die Meldung:
Servername verwendet ein ungültiges Sicherheitszertifikat. Dem Zertifikat wird nicht vertraut, weil das Aussteller-Zertifikat unbekannt ist. Der Server sendet eventuell nicht die richtigen Zwischen-Zertifikate. Eventuell muss ein zusätzliches Stammzertifikat importiert werden. Fehlercode: SEC_ERROR_UNKNOWN_ISSUER

Das Zertifikat habe ich wie folgt eingerichtet:
1. Server 2016 IIS 10 Domänenzertifikat erstellen
2. Daten eingegeben ( Organisation...)
3. unsere Zertifizierungsstelle angegeben
4. Zertifkat der Site zugeordnet

Habe ich hier vielleicht eine Schritt vergessen?

Content-Key: 329071

Url: https://administrator.de/contentid/329071

Ausgedruckt am: 19.03.2024 um 08:03 Uhr

Mitglied: aqui
aqui 10.02.2017 um 18:33:48 Uhr
Goto Top
Mit einem simplen Mausklick kannst du aber Firefox und auch allen anderen Browsern eine Ausnahme erteilen das er das akzeptieren soll. Sofern du dem wirklich vertrauen kannst.
Das der IE das kritiklos ohne Fehler akzeptiert sollte dir mal schwer zu denken geben !
Mitglied: Leo-le
Leo-le 10.02.2017 um 18:59:09 Uhr
Goto Top
Hallo aqui und vielen Dank für die schnelle Antwort.
Insgesamt muss es aber doch möglich sein, innerhalb der Domain selbst einen website zu signieren, sodass zumindest die Mitarbeiter innerhalb der Firma keine Fehler angezeigt bekommen, oder??
Mitglied: BassFishFox
BassFishFox 10.02.2017 um 19:43:55 Uhr
Goto Top
Hallo,

Lies Dich mal hier schlau.

https://www.policypak.com/products/manage-mozilla-firefox-with-group-pol ...

Teste mal mit einem Chrome-Browser ob der euer selbst erstelltes Zertifikat klaglos akzeptiert. Chrome nutzt den gleichen Zertifikatsspeicher wie der IE.

BFF
Mitglied: Leo-le
Leo-le 10.02.2017 um 19:52:43 Uhr
Goto Top
Ich glaube eher, dass ich da einen Konfigurationsfehler habe. Chrome geht auch nicht, eben nur der Internet Explorer.
Mitglied: BassFishFox
BassFishFox 10.02.2017 um 20:00:08 Uhr
Goto Top
Dann weisst Du ja, was zu tun ist. face-smile

Fuer die Verteilung in der Domaene an den FF hast Du ja schon den Hinweis.

BFF
Mitglied: BassFishFox
BassFishFox 10.02.2017 um 20:39:44 Uhr
Goto Top
Mitglied: Leo-le
Leo-le 10.02.2017 um 21:16:55 Uhr
Goto Top
Verteilung per gpo habe ich schon durchgeführt, deshalb funkt das ja auch mit dem ie, aber eben nicht mit Chrome und Firefox.
Mitglied: BassFishFox
BassFishFox 10.02.2017 um 21:26:43 Uhr
Goto Top
Dann wird irgend etwas verkehrt sein.

Chrome nutzt den gleichen Zertifikatsspeicher wie der IE.

BFF
Mitglied: Leo-le
Leo-le 10.02.2017 aktualisiert um 22:15:42 Uhr
Goto Top
Genau deswegen fragte ich nochmal nach der genauen Vorgehensweiße bzw. ob meine richtig ist.
Mitglied: Dani
Dani 11.02.2017 aktualisiert um 11:33:11 Uhr
Goto Top
Moin
Chrome nutzt den gleichen Zertifikatsspeicher wie der IE.
wäre mir neu... Chrome hat wie Firefox einen eigenen Zertifikatsspeicher.
Findest du unter Einstellungen -> Einstellungen -> Erweiterte Einstellungen -> Zertifikate verwalten.

@aqui
Das der IE das kritiklos ohne Fehler akzeptiert sollte dir mal schwer zu denken geben !
Das Verhalten ist normal, da a) eine integrierte CA verwendet wird b) GPOs benutz werden c) der Client Mitglied der Domäne ist.


Gruß,
Dani
Mitglied: Leo-le
Leo-le 12.02.2017 um 10:32:51 Uhr
Goto Top
Zitat von @Dani:

Moin
Chrome nutzt den gleichen Zertifikatsspeicher wie der IE.
wäre mir neu... Chrome hat wie Firefox einen eigenen Zertifikatsspeicher.
Findest du unter Einstellungen -> Einstellungen -> Erweiterte Einstellungen -> Zertifikate verwalten.

Das Zertifikat habe ich händisch zum Test importiert
@aqui
Das der IE das kritiklos ohne Fehler akzeptiert sollte dir mal schwer zu denken geben !
Das Verhalten ist normal, da a) eine integrierte CA verwendet wird b) GPOs benutz werden c) der Client Mitglied der Domäne ist.

Genau darauf möchte ich hinaus. Leider hat Firefox und auch chrome sogar in meiner Testumgebung Probleme mit dem Zertifikat aus meiner CA klar zukommen. Das müsste aber doch eigentlich funktionieren oder sehe ich das falsch?

Gruß,
Dani
Mitglied: Dani
Dani 12.02.2017 um 18:35:26 Uhr
Goto Top
Moin,
Genau darauf möchte ich hinaus. Leider hat Firefox und auch chrome sogar in meiner Testumgebung Probleme mit dem Zertifikat aus meiner CA klar zukommen. Das müsste aber doch eigentlich funktionieren oder sehe ich das falsch?
dazu solltest du erstmal genau erläutern, wie sich der Fehler darstellt? Stellt deine CA z.B. die Zertifikate noch mit SHA1 könnte es Ärger geben.


Gruß,
Dani
Mitglied: Leo-le
Leo-le 12.02.2017 aktualisiert um 21:57:24 Uhr
Goto Top
Habe ich gerade geprüft und ja, stellt sie. Das müsste ich dann also zuerst umstellen. Diesen Befehl habe ich dazu im Netz gefunden "certutil -setreg ca\csp\CNGHashAlgorithm SHA256"

Seltsam ist nur, dass die Fehlermeldung von Firefox nicht direkt den SHA Algo anspricht, so wie ich es schon bei Chrome gesehen habe.
Mozilla zeigt folgendes an:
Servername verwendet ein ungültiges Sicherheitszertifikat. Dem Zertifikat wird nicht vertraut, weil das Aussteller-Zertifikat unbekannt ist. Der Server sendet eventuell nicht die richtigen Zwischen-Zertifikate. Eventuell muss ein zusätzliches Stammzertifikat importiert werden. Fehlercode: SEC_ERROR_UNKNOWN_ISSUER
Mitglied: SlainteMhath
Lösung SlainteMhath 13.02.2017 um 11:25:44 Uhr
Goto Top
Moin,

SEC_ERROR_UNKNOWN_ISSUER
Hast du denn das Cert deiner CA als Vertrauenswürdigen Herausgeber (oder wie das bei FF eben genannt wird) importiert? Der Browser muss die komplette Cert-Chain, also inkl. aller CAs und Sub-CAs validieren können, bevor der das Cert ohne Warnung akzeptiert.

lg,
Slainte
Mitglied: Leo-le
Leo-le 13.02.2017 um 12:26:26 Uhr
Goto Top
Die interne CA steht zumindest im FF unter Vertrauenwürde CAs drin, seltsamerweise funkt das bei Chrome auch nicht. Der IE bringt keine Fehler.
Wird denn die CA nicht sowieso in der Domain verteilt?
Mitglied: Leo-le
Leo-le 13.02.2017 um 12:51:00 Uhr
Goto Top
So, jetzt läuft es schon mal unter Firefox. Bei Chrome liegt noch irgendein anderes Problem vor.
Mitglied: SlainteMhath
SlainteMhath 13.02.2017 um 13:01:08 Uhr
Goto Top
So, jetzt läuft es schon mal unter Firefox.
Was war die Problemlösung?

Bei Chrome liegt noch irgendein anderes Problem vor.
Welche Fehlermeldung?
Mitglied: Leo-le
Leo-le 13.02.2017 aktualisiert um 13:29:21 Uhr
Goto Top
Die Fehlerbehebung lag darin, wie du sagtest erstmal die CA dem Firefox hinzuzufügen.
Chrome spuck eben gar keine Fehlermeldung aaus, außer dass die Seite unsicher ist und Https durchgestrichen ist.
Für die Verteilung der CA an Firefox, gibt es da zufällig eine kostenlose Möglichkeit?
Mitglied: SlainteMhath
SlainteMhath 13.02.2017 um 15:26:15 Uhr
Goto Top
Chrome spuck eben gar keine Fehlermeldung aau
In den Entwickler-Tools (F12) unter dem Security Tab steht i.d.R. sehr genau was Chrome an dem Cert nicht passt.

Für die Verteilung der CA an Firefox, gibt es da zufällig eine kostenlose Möglichkeit?
Ist dein Google kaputt? face-smile Guckst du hier
Mitglied: Leo-le
Leo-le 14.02.2017 um 16:38:56 Uhr
Goto Top
Zitat von @SlainteMhath:

Chrome spuck eben gar keine Fehlermeldung aau
In den Entwickler-Tools (F12) unter dem Security Tab steht i.d.R. sehr genau was Chrome an dem Cert nicht passt.

Genau das habe ich versucht und genau das habe ich auch vermutet. Hier geht es um den SHA1 Algo, Die CA habe ich schon umgestellt, wahrscheinlich muss ich aber das zertifikat dann nochmal neu austellen

Für die Verteilung der CA an Firefox, gibt es da zufällig eine kostenlose Möglichkeit?
Ist dein Google kaputt? face-smile Guckst du hier
das habe ich schon gefunden, aber Verteilung? Ich dachte da eher an eine gpo Verteilung?
Mitglied: Dani
Dani 18.02.2017 um 13:05:18 Uhr
Goto Top
Moin,
...wahrscheinlich muss ich aber das zertifikat dann nochmal neu austellen
Richtig.

das habe ich schon gefunden, aber Verteilung? Ich dachte da eher an eine gpo Verteilung?
Hmm... evtl. kann die Vorlage von FrontMotion dies bewerkstelligen.


Gruß,
Dani