Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Intermediate Certificate von Thawte funktioniert nicht

Frage Internet Server

Mitglied: agnostiker

agnostiker (Level 1) - Jetzt verbinden

04.08.2010 um 14:34 Uhr, 9378 Aufrufe, 5 Kommentare, 1 Danke

Wir haben von thawte ein 2048er SSL certificate erworben.
Da wir einen ISA 2006 vorschalten muss dieses lediglich dort installiert werden.

Soweit die Theorie.

Wenn ich den weblistener auf dem ISA 2006 mit dem Cert konfiguriere, und versuche dann auf die website zu connecten bekomme
ich die fehlermeldung das das cert untrusted ist. und tatsaechlich muss ich auf meinem client feststellen das die CA
so nicht in meinem windows7 CA cert cache nicht vorghanden ist.

thawte befragt, kommt die antwort ich muss nochd ie intermediate certs installieren.
dies habe icha uf dem isa server getan, das erbeniss ist dennoch das es nicht funktioniert.

mir ist auch keines wegs klar warum das funktionieren sollte.

der client hat seinen cert cache, der webserver hat sein certificate.

wenn der client die website aufruft dann wird beides gegeneinenr geprueft, fehlt dsa CA cert auf dem client gitbs eben diese fehlermeldung.
warum sollte denn die SERVERSEITIGE installation eines intermediate certs oder irgendeines anderen certs daran etwas aendern ?
der client weiss doch nicht was auf dem server im intermediate cache abgeht oder habe ich da etwas verpasst ?!?!
Mitglied: meinereiner
04.08.2010 um 14:52 Uhr
Wir hatten so ein Problem mit einer ASA und Firefox.
Da wurde das Problem genau so gelöst wie es Thawte beschreibt.

Wie es genau funktioniert kann ich dir leider auch nicht sagen. Nur das der Weg prinizpiell richtigs sein wird.
Vielleicht hilfts ja etwas weiter.
Bitte warten ..
Mitglied: filippg
04.08.2010 um 20:20 Uhr
Hallo,

das Endzertifikat C ist mit einem Zwischenzertifikat B unterschrieben, dieses mit einem Rootzertifikat A (kann auch mehrere Zwischenzertifikate geben).

Wenn auf dem Client nur A hinterlegt ist (als Trusted Root) und der Server nur C ausliefert, dann kann der Client C nicht validieren, die Zertifizierungskette ist unterbrochen.
Hat der Server aber auch B gespeichert, so kann er dieses bei HTTPS zusammen mit A ausliefern. Damit kann der Client B mit A und dann C mit B validieren und vertraut C somit.
Dazu muss B aber korrekt auf dem Server hinterlegt sein...

Gruß

Filipp
Bitte warten ..
Mitglied: agnostiker
05.08.2010 um 12:23 Uhr
Zitat von filippg:


Wenn auf dem Client nur A hinterlegt ist (als Trusted Root) und der Server nur C ausliefert, dann kann der Client C nicht
validieren, die Zertifizierungskette ist unterbrochen.

soweit alles verstanden. ist ja auch einleuchtend.

Hat der Server aber auch B gespeichert, so kann er dieses bei HTTPS zusammen mit A ausliefern.

und hier gehts los. ich dachte bis dato immer:

ich liefere rein gar nichts aus. auf dem isa wird einfach eine webpublishing rule erstellt und daran ein cert gebunden, das wars.
der client der die website aufruft erkennt das dort ein cert hinterlegt ist, prüft das gegen seine lokalen trusted roots. gibts ein match ists gut, gibts keins ist es schlecht.

der client bekommt doch von den certs auf dem server rein gar nichts mit. es gibt doch keinerlei kommunikation zwischen dem client und dem server certificate pool oder doch ? bitte genau erklaeren wenns geht wie das ablaeuft.

ich sehe ein das du recht hast aber erklaeren konnte mir bis dato noch keiner wie das exakt ablaeuft, warum oder wie es eine interaktion von dem client und dem webserver cert pool gibt...
Bitte warten ..
Mitglied: mic.wendt
31.08.2010 um 18:23 Uhr
leider habe ich für dein eigentliches problem keine lösung, da ich mich dem ISA-Server nichtr auskenne, habe allerdings das gleiche problem mit einem apacheserver.

alles was ich bisher dazu gefunden habe sagte aus, das zwischenzertifikat muss im webserver mit eingebunden werden und somit dem client mit angeboten werden. leider sind die beschreibungen hier widersprüchlich, einmal heißt das zwischenzertifikat als SSLCACertificateFile andere sagen als SSLCertificateChainFile einbinden.

ich werde das noch einmal durchtesten und hofffe, dass es dann geht.

Wie die Kommunikation zwischen Server und Client bei einer SSL-Verbindung funktioniert, habe ich auf folgender Webseite gefunden. Ich glaube, das ist dort ganz gut erklärt.

http://www.ssl.de/ssl.html

Gruß
Bitte warten ..
Mitglied: mic.wendt
03.09.2010 um 17:18 Uhr
Zitat von agnostiker:
ich liefere rein gar nichts aus. auf dem isa wird einfach eine webpublishing rule erstellt und daran ein cert gebunden, das wars.

und hier wird es erforderlich, nicht nur das Cert sondern auch das Zwischencert anzubinden. Hierdurch hat der Server wieder eine vollsttändige Zertifikatskette, die bis zum RootCA geht, welches dann gegen das beim Client geprüft werden kann.

der client bekommt doch von den certs auf dem server rein gar nichts mit. es gibt doch keinerlei kommunikation zwischen dem client

- der Browser prüft, ob das vom Webserver präsentierte Zertifikat gültig ist.
Verglichen wird mit dem lokalen Rechnerdatum und der lokalen Rechnerzeit.

- es wird geprüft, ob der Aussteller des Zertifikats dem Browser als vertrauensvoll bekannt gemacht wurde. Verglichen wird mit der lokalen Zertifikatsdatenbank des Browsers. Innerhalb der Aussteller oder der Zertifizierungsstellen werden die Aussteller- oder CA Zertifikate der Signatur-Instanz erwartet.

- es wird geprüft, ob das Zertifikat für die aufgerufene Webseite ausgestellt wurde.
Der Browser vergleicht, ob der in der Adresszeile des Browsers eingegebene Seitenname mit dem im DN des Zertifikats genannten Namen übereinstimmt.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(2)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
C und C++
gelöst IF Abfrage funktioniert nicht mehr (2)

Frage von pablovic zum Thema C und C ...

Router & Routing
Transparenter Proxy funktioniert nicht? (1)

Frage von mrserious73 zum Thema Router & Routing ...

Linux
LTSP: PXE Boot funktioniert nicht (23)

Frage von Fenris14 zum Thema Linux ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...