Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Intermediate Certificate von Thawte funktioniert nicht

Frage Internet Server

Mitglied: agnostiker

agnostiker (Level 1) - Jetzt verbinden

04.08.2010 um 14:34 Uhr, 9581 Aufrufe, 5 Kommentare, 1 Danke

Wir haben von thawte ein 2048er SSL certificate erworben.
Da wir einen ISA 2006 vorschalten muss dieses lediglich dort installiert werden.

Soweit die Theorie.

Wenn ich den weblistener auf dem ISA 2006 mit dem Cert konfiguriere, und versuche dann auf die website zu connecten bekomme
ich die fehlermeldung das das cert untrusted ist. und tatsaechlich muss ich auf meinem client feststellen das die CA
so nicht in meinem windows7 CA cert cache nicht vorghanden ist.

thawte befragt, kommt die antwort ich muss nochd ie intermediate certs installieren.
dies habe icha uf dem isa server getan, das erbeniss ist dennoch das es nicht funktioniert.

mir ist auch keines wegs klar warum das funktionieren sollte.

der client hat seinen cert cache, der webserver hat sein certificate.

wenn der client die website aufruft dann wird beides gegeneinenr geprueft, fehlt dsa CA cert auf dem client gitbs eben diese fehlermeldung.
warum sollte denn die SERVERSEITIGE installation eines intermediate certs oder irgendeines anderen certs daran etwas aendern ?
der client weiss doch nicht was auf dem server im intermediate cache abgeht oder habe ich da etwas verpasst ?!?!
Mitglied: meinereiner
04.08.2010 um 14:52 Uhr
Wir hatten so ein Problem mit einer ASA und Firefox.
Da wurde das Problem genau so gelöst wie es Thawte beschreibt.

Wie es genau funktioniert kann ich dir leider auch nicht sagen. Nur das der Weg prinizpiell richtigs sein wird.
Vielleicht hilfts ja etwas weiter.
Bitte warten ..
Mitglied: filippg
04.08.2010 um 20:20 Uhr
Hallo,

das Endzertifikat C ist mit einem Zwischenzertifikat B unterschrieben, dieses mit einem Rootzertifikat A (kann auch mehrere Zwischenzertifikate geben).

Wenn auf dem Client nur A hinterlegt ist (als Trusted Root) und der Server nur C ausliefert, dann kann der Client C nicht validieren, die Zertifizierungskette ist unterbrochen.
Hat der Server aber auch B gespeichert, so kann er dieses bei HTTPS zusammen mit A ausliefern. Damit kann der Client B mit A und dann C mit B validieren und vertraut C somit.
Dazu muss B aber korrekt auf dem Server hinterlegt sein...

Gruß

Filipp
Bitte warten ..
Mitglied: agnostiker
05.08.2010 um 12:23 Uhr
Zitat von filippg:


Wenn auf dem Client nur A hinterlegt ist (als Trusted Root) und der Server nur C ausliefert, dann kann der Client C nicht
validieren, die Zertifizierungskette ist unterbrochen.

soweit alles verstanden. ist ja auch einleuchtend.

Hat der Server aber auch B gespeichert, so kann er dieses bei HTTPS zusammen mit A ausliefern.

und hier gehts los. ich dachte bis dato immer:

ich liefere rein gar nichts aus. auf dem isa wird einfach eine webpublishing rule erstellt und daran ein cert gebunden, das wars.
der client der die website aufruft erkennt das dort ein cert hinterlegt ist, prüft das gegen seine lokalen trusted roots. gibts ein match ists gut, gibts keins ist es schlecht.

der client bekommt doch von den certs auf dem server rein gar nichts mit. es gibt doch keinerlei kommunikation zwischen dem client und dem server certificate pool oder doch ? bitte genau erklaeren wenns geht wie das ablaeuft.

ich sehe ein das du recht hast aber erklaeren konnte mir bis dato noch keiner wie das exakt ablaeuft, warum oder wie es eine interaktion von dem client und dem webserver cert pool gibt...
Bitte warten ..
Mitglied: mic.we
31.08.2010 um 18:23 Uhr
leider habe ich für dein eigentliches problem keine lösung, da ich mich dem ISA-Server nichtr auskenne, habe allerdings das gleiche problem mit einem apacheserver.

alles was ich bisher dazu gefunden habe sagte aus, das zwischenzertifikat muss im webserver mit eingebunden werden und somit dem client mit angeboten werden. leider sind die beschreibungen hier widersprüchlich, einmal heißt das zwischenzertifikat als SSLCACertificateFile andere sagen als SSLCertificateChainFile einbinden.

ich werde das noch einmal durchtesten und hofffe, dass es dann geht.

Wie die Kommunikation zwischen Server und Client bei einer SSL-Verbindung funktioniert, habe ich auf folgender Webseite gefunden. Ich glaube, das ist dort ganz gut erklärt.

http://www.ssl.de/ssl.html

Gruß
Bitte warten ..
Mitglied: mic.we
03.09.2010 um 17:18 Uhr
Zitat von agnostiker:
ich liefere rein gar nichts aus. auf dem isa wird einfach eine webpublishing rule erstellt und daran ein cert gebunden, das wars.

und hier wird es erforderlich, nicht nur das Cert sondern auch das Zwischencert anzubinden. Hierdurch hat der Server wieder eine vollsttändige Zertifikatskette, die bis zum RootCA geht, welches dann gegen das beim Client geprüft werden kann.

der client bekommt doch von den certs auf dem server rein gar nichts mit. es gibt doch keinerlei kommunikation zwischen dem client

- der Browser prüft, ob das vom Webserver präsentierte Zertifikat gültig ist.
Verglichen wird mit dem lokalen Rechnerdatum und der lokalen Rechnerzeit.

- es wird geprüft, ob der Aussteller des Zertifikats dem Browser als vertrauensvoll bekannt gemacht wurde. Verglichen wird mit der lokalen Zertifikatsdatenbank des Browsers. Innerhalb der Aussteller oder der Zertifizierungsstellen werden die Aussteller- oder CA Zertifikate der Signatur-Instanz erwartet.

- es wird geprüft, ob das Zertifikat für die aufgerufene Webseite ausgestellt wurde.
Der Browser vergleicht, ob der in der Adresszeile des Browsers eingegebene Seitenname mit dem im DN des Zertifikats genannten Namen übereinstimmt.
Bitte warten ..
Ähnliche Inhalte
Verschlüsselung & Zertifikate
Muss ich eine Intermediate CA importieren? (3)

Frage von ketanest112 zum Thema Verschlüsselung & Zertifikate ...

Verschlüsselung & Zertifikate
Deprecation of SHA-1 for SSL/TLS Certificates in Microsoft Edge and Internet Explorer 11

Link von DerWoWusste zum Thema Verschlüsselung & Zertifikate ...

LAN, WAN, Wireless
WLAN EAP-TLS mit FreeRadius unsupported certificate (3)

Frage von Phill93 zum Thema LAN, WAN, Wireless ...

Neue Wissensbeiträge
Viren und Trojaner

CNC-Fräsen von MECANUMERIC werden (ggf.) mit Viren, Trojanern, Würmern ausgeliefert

(4)

Erfahrungsbericht von anteNope zum Thema Viren und Trojaner ...

Windows 10

Windows 10: Erste Anmeldung Animation deaktivieren

(3)

Anleitung von alemanne21 zum Thema Windows 10 ...

Exchange Server

Mittels Batch-Script Exchange-Logs sammeln und archivieren

Anleitung von beidermachtvongreyscull zum Thema Exchange Server ...

Heiß diskutierte Inhalte
Verschlüsselung & Zertifikate
SSL Zertifikat für HTTPS (29)

Frage von Hendrik2586 zum Thema Verschlüsselung & Zertifikate ...

Grafikkarten & Monitore
24" oder 27" mit Full HD oder doch mehr Auflösung? (21)

Frage von brutzler zum Thema Grafikkarten & Monitore ...

Netzwerke
Ip Adressenkonflikt bei Großfamilie (12)

Frage von gunter zum Thema Netzwerke ...