Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Intermediate Certificate von Thawte funktioniert nicht

Frage Internet Server

Mitglied: agnostiker

agnostiker (Level 1) - Jetzt verbinden

04.08.2010 um 14:34 Uhr, 9654 Aufrufe, 5 Kommentare, 1 Danke

Wir haben von thawte ein 2048er SSL certificate erworben.
Da wir einen ISA 2006 vorschalten muss dieses lediglich dort installiert werden.

Soweit die Theorie.

Wenn ich den weblistener auf dem ISA 2006 mit dem Cert konfiguriere, und versuche dann auf die website zu connecten bekomme
ich die fehlermeldung das das cert untrusted ist. und tatsaechlich muss ich auf meinem client feststellen das die CA
so nicht in meinem windows7 CA cert cache nicht vorghanden ist.

thawte befragt, kommt die antwort ich muss nochd ie intermediate certs installieren.
dies habe icha uf dem isa server getan, das erbeniss ist dennoch das es nicht funktioniert.

mir ist auch keines wegs klar warum das funktionieren sollte.

der client hat seinen cert cache, der webserver hat sein certificate.

wenn der client die website aufruft dann wird beides gegeneinenr geprueft, fehlt dsa CA cert auf dem client gitbs eben diese fehlermeldung.
warum sollte denn die SERVERSEITIGE installation eines intermediate certs oder irgendeines anderen certs daran etwas aendern ?
der client weiss doch nicht was auf dem server im intermediate cache abgeht oder habe ich da etwas verpasst ?!?!
Mitglied: meinereiner
04.08.2010 um 14:52 Uhr
Wir hatten so ein Problem mit einer ASA und Firefox.
Da wurde das Problem genau so gelöst wie es Thawte beschreibt.

Wie es genau funktioniert kann ich dir leider auch nicht sagen. Nur das der Weg prinizpiell richtigs sein wird.
Vielleicht hilfts ja etwas weiter.
Bitte warten ..
Mitglied: filippg
04.08.2010 um 20:20 Uhr
Hallo,

das Endzertifikat C ist mit einem Zwischenzertifikat B unterschrieben, dieses mit einem Rootzertifikat A (kann auch mehrere Zwischenzertifikate geben).

Wenn auf dem Client nur A hinterlegt ist (als Trusted Root) und der Server nur C ausliefert, dann kann der Client C nicht validieren, die Zertifizierungskette ist unterbrochen.
Hat der Server aber auch B gespeichert, so kann er dieses bei HTTPS zusammen mit A ausliefern. Damit kann der Client B mit A und dann C mit B validieren und vertraut C somit.
Dazu muss B aber korrekt auf dem Server hinterlegt sein...

Gruß

Filipp
Bitte warten ..
Mitglied: agnostiker
05.08.2010 um 12:23 Uhr
Zitat von filippg:


Wenn auf dem Client nur A hinterlegt ist (als Trusted Root) und der Server nur C ausliefert, dann kann der Client C nicht
validieren, die Zertifizierungskette ist unterbrochen.

soweit alles verstanden. ist ja auch einleuchtend.

Hat der Server aber auch B gespeichert, so kann er dieses bei HTTPS zusammen mit A ausliefern.

und hier gehts los. ich dachte bis dato immer:

ich liefere rein gar nichts aus. auf dem isa wird einfach eine webpublishing rule erstellt und daran ein cert gebunden, das wars.
der client der die website aufruft erkennt das dort ein cert hinterlegt ist, prüft das gegen seine lokalen trusted roots. gibts ein match ists gut, gibts keins ist es schlecht.

der client bekommt doch von den certs auf dem server rein gar nichts mit. es gibt doch keinerlei kommunikation zwischen dem client und dem server certificate pool oder doch ? bitte genau erklaeren wenns geht wie das ablaeuft.

ich sehe ein das du recht hast aber erklaeren konnte mir bis dato noch keiner wie das exakt ablaeuft, warum oder wie es eine interaktion von dem client und dem webserver cert pool gibt...
Bitte warten ..
Mitglied: mic.we
31.08.2010 um 18:23 Uhr
leider habe ich für dein eigentliches problem keine lösung, da ich mich dem ISA-Server nichtr auskenne, habe allerdings das gleiche problem mit einem apacheserver.

alles was ich bisher dazu gefunden habe sagte aus, das zwischenzertifikat muss im webserver mit eingebunden werden und somit dem client mit angeboten werden. leider sind die beschreibungen hier widersprüchlich, einmal heißt das zwischenzertifikat als SSLCACertificateFile andere sagen als SSLCertificateChainFile einbinden.

ich werde das noch einmal durchtesten und hofffe, dass es dann geht.

Wie die Kommunikation zwischen Server und Client bei einer SSL-Verbindung funktioniert, habe ich auf folgender Webseite gefunden. Ich glaube, das ist dort ganz gut erklärt.

http://www.ssl.de/ssl.html

Gruß
Bitte warten ..
Mitglied: mic.we
03.09.2010 um 17:18 Uhr
Zitat von agnostiker:
ich liefere rein gar nichts aus. auf dem isa wird einfach eine webpublishing rule erstellt und daran ein cert gebunden, das wars.

und hier wird es erforderlich, nicht nur das Cert sondern auch das Zwischencert anzubinden. Hierdurch hat der Server wieder eine vollsttändige Zertifikatskette, die bis zum RootCA geht, welches dann gegen das beim Client geprüft werden kann.

der client bekommt doch von den certs auf dem server rein gar nichts mit. es gibt doch keinerlei kommunikation zwischen dem client

- der Browser prüft, ob das vom Webserver präsentierte Zertifikat gültig ist.
Verglichen wird mit dem lokalen Rechnerdatum und der lokalen Rechnerzeit.

- es wird geprüft, ob der Aussteller des Zertifikats dem Browser als vertrauensvoll bekannt gemacht wurde. Verglichen wird mit der lokalen Zertifikatsdatenbank des Browsers. Innerhalb der Aussteller oder der Zertifizierungsstellen werden die Aussteller- oder CA Zertifikate der Signatur-Instanz erwartet.

- es wird geprüft, ob das Zertifikat für die aufgerufene Webseite ausgestellt wurde.
Der Browser vergleicht, ob der in der Adresszeile des Browsers eingegebene Seitenname mit dem im DN des Zertifikats genannten Namen übereinstimmt.
Bitte warten ..
Ähnliche Inhalte
Verschlüsselung & Zertifikate
Muss ich eine Intermediate CA importieren?
Frage von ketanest112Verschlüsselung & Zertifikate3 Kommentare

Hallo zusammen, ich habe meine eigene Root CA erstellt und meine Zertifikate damit signiert (OpenVPN, HTTPS, etc.). Nun habe ...

Voice over IP
SIP Certificate für VoIP Supporter
Frage von istike2Voice over IP2 Kommentare

Hallo, bei meinem aktuellen Job sieht es so aus, dass künftig VoIP (SIP) eine gewisse Prio haben wird. Da ...

Exchange Server
Exchange Certificate Subject Mismatch
Frage von griddiExchange Server2 Kommentare

Hallo Community, bei einem Kunden möchte ich TLS-Verschlüsselung beim SMTP-Relay einrichten. Folgende Infos für euch: - Exchange 2007 - ...

Windows Server
Certificate Revocation Problem
gelöst Frage von DurashWindows Server4 Kommentare

Hallo zusammen, ich habe folgendes Problem. Beschreibung der Umgebung: Terminal Serverfarm (2008 R2), welche über einen Proxy (BC) in ...

Neue Wissensbeiträge
Apple

IOS 11.2.1 stopft HomeKit-Remote-Lücke

Tipp von BassFishFox vor 1 TagApple

Das Update für iPhone, iPad und Apple TV soll die Fernsteuerung von Smart-Home-Geräten wieder in vollem Umfang ermöglichen. Apple ...

Windows 10

Windows 10 v1709 EN murkst bei den Regionseinstellungen

Tipp von DerWoWusste vor 1 TagWindows 10

Dieser kurze Tipp richtet sich an den kleinen Personenkreis, der Win10 v1709 EN-US frisch installiert und dabei die englische ...

Webbrowser

Kein Ton bei Firefox Quantum über RDP

Tipp von Moddry vor 1 TagWebbrowser

Hallo Kollegen! Hatte das Problem, dass der neue Firefox bei mir auf der Kiste keinen Ton hat, wenn ich ...

Internet

EU-DSGVO: WHOIS soll weniger Informationen liefern

Information von sabines vor 1 TagInternet4 Kommentare

Wegen der europäische Datenschutzgrundverordnung stehen die Prozesse um die Registrierung von Domains auf dem Prüfstand. Sollte die Forderungen umgesetzt ...

Heiß diskutierte Inhalte
Windows Server
RODC kann nicht aus Domäne entfernt werden
Frage von NilsvLehnWindows Server18 Kommentare

HAllo, ich arbeite in einem Universitätsnetzwerk mit 3 Standorten. Die Standorte haben alle ein ESXi Cluster und auf diesen ...

Hardware
Kein Bild mit nur einer bestimmten Grafikkarten - Mainboard Konfiguration
gelöst Frage von bestelittHardware18 Kommentare

Hallo zusammen, ich hatte schon einmal eine ähnliche Frage gestellt. Damals hatte ich genau das gleiche Problem. Allerdings lies ...

Netzwerkmanagement
Mehrere Netzwerkadapter in einem PC zu einem Switch zusammenfügen
Frage von prodriveNetzwerkmanagement16 Kommentare

Hallo zusammen Vorweg, ich konnte schon einige IT-Probleme mit Hilfe dieses Forums lösen. Wirklich klasse hier! Doch für das ...

Hardware
Links klick bei Maus funktioniert nicht
gelöst Frage von Pablu23Hardware16 Kommentare

Hallo erstmal. Ich habe ein Problem mit meiner relativ alten maus jedoch denke ich nicht das es an der ...