4
Interne Zertifizierungsstelle von Außen (Internet) zugänglich machen
Hallo zusammen,
wenn ich selbstsignierte Zertifikate auf unserer internen Zertifizierungsstelle (Windows Server 2003 Zertifikatsdienst) ausstelle und diese für beispielsweise Outlook Web Access nutze, erscheint ja wenn man von extern auf die Webseite zugreift eine Zertifikatswarnung, da der Zertifikatsserver ja nicht bekannt ist. Gibt es eine Möglichkeit diesen irgendwie zu veröffentlichen bzw. zugäglich zu machen, damit diese Warnungen nicht erscheinen? Als Proxy Server nutzen wir einen ISA Server 2006. Zertifikate von öffentlichen Anbietern möchten wir nicht unbedingt kaufen.
Grüße
wenn ich selbstsignierte Zertifikate auf unserer internen Zertifizierungsstelle (Windows Server 2003 Zertifikatsdienst) ausstelle und diese für beispielsweise Outlook Web Access nutze, erscheint ja wenn man von extern auf die Webseite zugreift eine Zertifikatswarnung, da der Zertifikatsserver ja nicht bekannt ist. Gibt es eine Möglichkeit diesen irgendwie zu veröffentlichen bzw. zugäglich zu machen, damit diese Warnungen nicht erscheinen? Als Proxy Server nutzen wir einen ISA Server 2006. Zertifikate von öffentlichen Anbietern möchten wir nicht unbedingt kaufen.
Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 196913
Url: https://administrator.de/contentid/196913
Printed on: April 23, 2024 at 09:04 o'clock
4 Comments
Latest comment
Hallo
Nein, das geht so wie du dir das vorstellst nicht (zum Glück!)
Da es eher unwahrscheinlich ist, das du die diversen Browser Hersteller dazu bringst dein "Root" Zertifikat in ihre Produkte aufzunehmen bleiben dir 2 Möglichkeiten:
1. Wenn das immer die gleichen Clients sind kannst du das Zertifikat lokal installieren und dann sollte diese Meldung nicht mehr kommen (Achtung Browser abhängig!)
2. Zertifikate gibt es schon für wenig Geld...
Liebe Grüsse
Bluesky
Nein, das geht so wie du dir das vorstellst nicht (zum Glück!)
Da es eher unwahrscheinlich ist, das du die diversen Browser Hersteller dazu bringst dein "Root" Zertifikat in ihre Produkte aufzunehmen bleiben dir 2 Möglichkeiten:
1. Wenn das immer die gleichen Clients sind kannst du das Zertifikat lokal installieren und dann sollte diese Meldung nicht mehr kommen (Achtung Browser abhängig!)
2. Zertifikate gibt es schon für wenig Geld...
Liebe Grüsse
Bluesky
Hallo lukasj,
ist ganz einfach zu merken mit einer kleinen "Eselsbrücke"!
Selbst erstellte Zertifikate (intern) sollten man auch nur für interne Angelegenheiten nutzen!
Von außerhalb gekaufte (externe) Zertifikate sind auch für externe Angelegenheiten zu nutzen,
jedoch mit dem Unterschied das es dort mehrere Stufen oder Level der Authentifizierung (Beglaubigung) gibt.
Ist wirklich nur eine Eselsbrücke weil man sonst schnell Probleme bekommen kann oder einfach gewisse Sachen nicht mehr funktionieren wie sie sollen oder es gewünscht ist.
und diese Preise gerne bezahlt, aber wie mein Vorredner es schon angesprochen hat,
die gibt es wirklich schon für kleines Geld und kleine Ansprüche.
Gruß
Dobby
ist ganz einfach zu merken mit einer kleinen "Eselsbrücke"!
Selbst erstellte Zertifikate (intern) sollten man auch nur für interne Angelegenheiten nutzen!
Von außerhalb gekaufte (externe) Zertifikate sind auch für externe Angelegenheiten zu nutzen,
jedoch mit dem Unterschied das es dort mehrere Stufen oder Level der Authentifizierung (Beglaubigung) gibt.
Ist wirklich nur eine Eselsbrücke weil man sonst schnell Probleme bekommen kann oder einfach gewisse Sachen nicht mehr funktionieren wie sie sollen oder es gewünscht ist.
Zertifikate von öffentlichen Anbietern möchten wir nicht unbedingt kaufen.
Wer will das schon von uns? Ich glaube ich kenne niemanden der das so toll findetund diese Preise gerne bezahlt, aber wie mein Vorredner es schon angesprochen hat,
die gibt es wirklich schon für kleines Geld und kleine Ansprüche.
Gruß
Dobby
Moin,
also im Gegensatz zu meinen Vorrednern vertrete ich eine anderen Meinung.
Grundsätzlich gilt: SSL is broken!
D.h. selbst signierte Zertifikate sind grundsätzlich sicherer als gekaufte. (Warum? Google mal nach "DigiNotar" und "TurkTrust").
Um ein Selbstsigniertes Zertifikat ohne Warnmeldung nutzen zu können, musst du das Zertifikat deiner ROOT-CA verfügbar machen. D.h. aus deiner CA als .pem oder .pfx exportieren (Bitte OHNE Private Key
) und das File dann zum Download bereitstellen (z.B. per Link auf der OWA Startsteite). Sobald das dann in Windows/im Browser installiert und als vertrauenswürdig gekennzeichnet ist, bleiben auch die Warnmeldungen aus.
lg,
Slainte
also im Gegensatz zu meinen Vorrednern vertrete ich eine anderen Meinung.
Grundsätzlich gilt: SSL is broken!
D.h. selbst signierte Zertifikate sind grundsätzlich sicherer als gekaufte. (Warum? Google mal nach "DigiNotar" und "TurkTrust").
Um ein Selbstsigniertes Zertifikat ohne Warnmeldung nutzen zu können, musst du das Zertifikat deiner ROOT-CA verfügbar machen. D.h. aus deiner CA als .pem oder .pfx exportieren (Bitte OHNE Private Key
) und das File dann zum Download bereitstellen (z.B. per Link auf der OWA Startsteite). Sobald das dann in Windows/im Browser installiert und als vertrauenswürdig gekennzeichnet ist, bleiben auch die Warnmeldungen aus.lg,
Slainte
Moin,
Wir geben daher lieben das Geld aus und haben die lästigen Fragen beim 1st Level Support nicht. Das ist eben auch eine Zeitfrage. Wie oft muss sich der Support mit den SSL Fragen rumschlagen und was könnte er dieser Zeit sonst machen...
DFN macht das das ganz geschickt. Die haben selber eine CA über die Telekom AG verifiziert und stellen jeder Uni wiederrum ein Stammzertifiakt für einen CA aus. Somit sind die SSL-Zertifikate der Unis alle gültig.
Grüße,
Dani
D.h. selbst signierte Zertifikate sind grundsätzlich sicherer als gekaufte. (Warum? Google mal nach "DigiNotar" und "TurkTrust").
Das kannst du machen, wenn du wenig Zugriff auf die Dienste hast. Aber bei einem Dienst wie OWA, wo wirklich die Benutzer evtl. in Deutschland / Europe verteilt sind und wahrscheinlich im Hotel sind, können das ROOT-CA nicht installieren. Es gibt genug Beispiele wo du ein echtes Problem hast.Wir geben daher lieben das Geld aus und haben die lästigen Fragen beim 1st Level Support nicht. Das ist eben auch eine Zeitfrage. Wie oft muss sich der Support mit den SSL Fragen rumschlagen und was könnte er dieser Zeit sonst machen...
DFN macht das das ganz geschickt. Die haben selber eine CA über die Telekom AG verifiziert und stellen jeder Uni wiederrum ein Stammzertifiakt für einen CA aus. Somit sind die SSL-Zertifikate der Unis alle gültig.
Grüße,
Dani
