5
Intermediate Certificate von Thawte funktioniert nicht
Wir haben von thawte ein 2048er SSL certificate erworben.
Da wir einen ISA 2006 vorschalten muss dieses lediglich dort installiert werden.
Soweit die Theorie.
Wenn ich den weblistener auf dem ISA 2006 mit dem Cert konfiguriere, und versuche dann auf die website zu connecten bekomme
ich die fehlermeldung das das cert untrusted ist. und tatsaechlich muss ich auf meinem client feststellen das die CA
so nicht in meinem windows7 CA cert cache nicht vorghanden ist.
thawte befragt, kommt die antwort ich muss nochd ie intermediate certs installieren.
dies habe icha uf dem isa server getan, das erbeniss ist dennoch das es nicht funktioniert.
mir ist auch keines wegs klar warum das funktionieren sollte.
der client hat seinen cert cache, der webserver hat sein certificate.
wenn der client die website aufruft dann wird beides gegeneinenr geprueft, fehlt dsa CA cert auf dem client gitbs eben diese fehlermeldung.
warum sollte denn die SERVERSEITIGE installation eines intermediate certs oder irgendeines anderen certs daran etwas aendern ?
der client weiss doch nicht was auf dem server im intermediate cache abgeht oder habe ich da etwas verpasst ?!?!
Da wir einen ISA 2006 vorschalten muss dieses lediglich dort installiert werden.
Soweit die Theorie.
Wenn ich den weblistener auf dem ISA 2006 mit dem Cert konfiguriere, und versuche dann auf die website zu connecten bekomme
ich die fehlermeldung das das cert untrusted ist. und tatsaechlich muss ich auf meinem client feststellen das die CA
so nicht in meinem windows7 CA cert cache nicht vorghanden ist.
thawte befragt, kommt die antwort ich muss nochd ie intermediate certs installieren.
dies habe icha uf dem isa server getan, das erbeniss ist dennoch das es nicht funktioniert.
mir ist auch keines wegs klar warum das funktionieren sollte.
der client hat seinen cert cache, der webserver hat sein certificate.
wenn der client die website aufruft dann wird beides gegeneinenr geprueft, fehlt dsa CA cert auf dem client gitbs eben diese fehlermeldung.
warum sollte denn die SERVERSEITIGE installation eines intermediate certs oder irgendeines anderen certs daran etwas aendern ?
der client weiss doch nicht was auf dem server im intermediate cache abgeht oder habe ich da etwas verpasst ?!?!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 148324
Url: https://administrator.de/contentid/148324
Printed on: April 18, 2024 at 19:04 o'clock
5 Comments
Latest comment
Wir hatten so ein Problem mit einer ASA und Firefox.
Da wurde das Problem genau so gelöst wie es Thawte beschreibt.
Wie es genau funktioniert kann ich dir leider auch nicht sagen. Nur das der Weg prinizpiell richtigs sein wird.
Vielleicht hilfts ja etwas weiter.
Da wurde das Problem genau so gelöst wie es Thawte beschreibt.
Wie es genau funktioniert kann ich dir leider auch nicht sagen. Nur das der Weg prinizpiell richtigs sein wird.
Vielleicht hilfts ja etwas weiter.
Hallo,
das Endzertifikat C ist mit einem Zwischenzertifikat B unterschrieben, dieses mit einem Rootzertifikat A (kann auch mehrere Zwischenzertifikate geben).
Wenn auf dem Client nur A hinterlegt ist (als Trusted Root) und der Server nur C ausliefert, dann kann der Client C nicht validieren, die Zertifizierungskette ist unterbrochen.
Hat der Server aber auch B gespeichert, so kann er dieses bei HTTPS zusammen mit A ausliefern. Damit kann der Client B mit A und dann C mit B validieren und vertraut C somit.
Dazu muss B aber korrekt auf dem Server hinterlegt sein...
Gruß
Filipp
das Endzertifikat C ist mit einem Zwischenzertifikat B unterschrieben, dieses mit einem Rootzertifikat A (kann auch mehrere Zwischenzertifikate geben).
Wenn auf dem Client nur A hinterlegt ist (als Trusted Root) und der Server nur C ausliefert, dann kann der Client C nicht validieren, die Zertifizierungskette ist unterbrochen.
Hat der Server aber auch B gespeichert, so kann er dieses bei HTTPS zusammen mit A ausliefern. Damit kann der Client B mit A und dann C mit B validieren und vertraut C somit.
Dazu muss B aber korrekt auf dem Server hinterlegt sein...
Gruß
Filipp
Wenn auf dem Client nur A hinterlegt ist (als Trusted Root) und der Server nur C ausliefert, dann kann der Client C nicht
validieren, die Zertifizierungskette ist unterbrochen.
validieren, die Zertifizierungskette ist unterbrochen.
soweit alles verstanden. ist ja auch einleuchtend.
Hat der Server aber auch B gespeichert, so kann er dieses bei HTTPS zusammen mit A ausliefern.
und hier gehts los. ich dachte bis dato immer:
ich liefere rein gar nichts aus. auf dem isa wird einfach eine webpublishing rule erstellt und daran ein cert gebunden, das wars.
der client der die website aufruft erkennt das dort ein cert hinterlegt ist, prüft das gegen seine lokalen trusted roots. gibts ein match ists gut, gibts keins ist es schlecht.
der client bekommt doch von den certs auf dem server rein gar nichts mit. es gibt doch keinerlei kommunikation zwischen dem client und dem server certificate pool oder doch ? bitte genau erklaeren wenns geht wie das ablaeuft.
ich sehe ein das du recht hast aber erklaeren konnte mir bis dato noch keiner wie das exakt ablaeuft, warum oder wie es eine interaktion von dem client und dem webserver cert pool gibt...
leider habe ich für dein eigentliches problem keine lösung, da ich mich dem ISA-Server nichtr auskenne, habe allerdings das gleiche problem mit einem apacheserver.
alles was ich bisher dazu gefunden habe sagte aus, das zwischenzertifikat muss im webserver mit eingebunden werden und somit dem client mit angeboten werden. leider sind die beschreibungen hier widersprüchlich, einmal heißt das zwischenzertifikat als SSLCACertificateFile andere sagen als SSLCertificateChainFile einbinden.
ich werde das noch einmal durchtesten und hofffe, dass es dann geht.
Wie die Kommunikation zwischen Server und Client bei einer SSL-Verbindung funktioniert, habe ich auf folgender Webseite gefunden. Ich glaube, das ist dort ganz gut erklärt.
http://www.ssl.de/ssl.html
Gruß
alles was ich bisher dazu gefunden habe sagte aus, das zwischenzertifikat muss im webserver mit eingebunden werden und somit dem client mit angeboten werden. leider sind die beschreibungen hier widersprüchlich, einmal heißt das zwischenzertifikat als SSLCACertificateFile andere sagen als SSLCertificateChainFile einbinden.
ich werde das noch einmal durchtesten und hofffe, dass es dann geht.
Wie die Kommunikation zwischen Server und Client bei einer SSL-Verbindung funktioniert, habe ich auf folgender Webseite gefunden. Ich glaube, das ist dort ganz gut erklärt.
http://www.ssl.de/ssl.html
Gruß
Zitat von @agnostiker:
ich liefere rein gar nichts aus. auf dem isa wird einfach eine webpublishing rule erstellt und daran ein cert gebunden, das wars.
ich liefere rein gar nichts aus. auf dem isa wird einfach eine webpublishing rule erstellt und daran ein cert gebunden, das wars.
und hier wird es erforderlich, nicht nur das Cert sondern auch das Zwischencert anzubinden. Hierdurch hat der Server wieder eine vollsttändige Zertifikatskette, die bis zum RootCA geht, welches dann gegen das beim Client geprüft werden kann.
der client bekommt doch von den certs auf dem server rein gar nichts mit. es gibt doch keinerlei kommunikation zwischen dem client
- der Browser prüft, ob das vom Webserver präsentierte Zertifikat gültig ist.
Verglichen wird mit dem lokalen Rechnerdatum und der lokalen Rechnerzeit.
- es wird geprüft, ob der Aussteller des Zertifikats dem Browser als vertrauensvoll bekannt gemacht wurde. Verglichen wird mit der lokalen Zertifikatsdatenbank des Browsers. Innerhalb der Aussteller oder der Zertifizierungsstellen werden die Aussteller- oder CA Zertifikate der Signatur-Instanz erwartet.
- es wird geprüft, ob das Zertifikat für die aufgerufene Webseite ausgestellt wurde.
Der Browser vergleicht, ob der in der Adresszeile des Browsers eingegebene Seitenname mit dem im DN des Zertifikats genannten Namen übereinstimmt.
