Dark_Wolf
Anmeldungsdatum: 12. August 2006
Beiträge: 2588
Wohnort: Linuxland
|
Hallo Leute, hab mir schon vor ca. nem halben Jahr, wie der ganze Zauber da mit Startssl.com war ne eigene Chain erstellt. Dort nur für die ganzen LDAPserver. Nun hab ich aber alle externen Certs mit Let's Enrcypt ersetzt, und die internen sollen das Eigenbau bekommen. Vor der Herangehensweise kein Problem. Zert auf auf Servern/Geräten installiert. Auf allen Clients das CA im Webbrowser installiert und das Schloss im Browser wird grün. Tja, nur im Firefox. In Google Chrome zur so halb grün. Fehlermeldung in Google-Chrome:
The certificate for this site does not contain a Subject Alternative Name extension containing a domain name or IP address.
There are issues with the site's certificate chain (net::ERR_CERT_COMMON_NAME_INVALID).
Was bedeutet das nun? Liegt es daran das ich mir ein Wildcardcert gebaut habe, naja, ganz ehrlich was anderes macht intern ja keinen Sinn. Oder muss ich beim Bauen auf was aufpassen? Wenns sein muss, mache ich das Cert nochmal neu, sind ja nicht so viele LDAPserver, na gut bei den Clienst muss ich halt das CA austauschen. BTW, kann man das CA auch so installieren das man es nicht in jedem Browser eintragen muss? Ein DEB ist ja schnell gebaut. Danke und lg
Dark Wolf
|
cosinus
Anmeldungsdatum: 11. Mai 2010
Beiträge: 1374
Wohnort: HB
|
Hi, das gelesen? –> https://stackoverflow.com/questions/27294589/creating-self-signed-certificate-for-domain-and-subdomains-neterr-cert-commo JEDER Browser warnt, wenn das Zertifikat ungültig/unsicher oder selbst unterschrieben ist. Ich versteh aber nicht ganz das Problem, klickst die Warnung bei Chrome einfach weg bzw bestätigst das und dann kommste doch auf die Seite...
|
Dark_Wolf
(Themenstarter)
Anmeldungsdatum: 12. August 2006
Beiträge: 2588
Wohnort: Linuxland
|
Da hast du natürlich Recht. Aber mein Ziel ist es das ganze schön zu haben. Also keine Warnung usw. Bei ner älteren Chromeversion war das noch kein Problem. Eigene Chain, CA und fertig. Ist aber jetzt auch schon wieder 2-3 Jahre her. Kann man da beim generieren schon was da hingegen machen? Oder ist das in Chrome jetzt einfach so. Danke! ☺
|
cosinus
Anmeldungsdatum: 11. Mai 2010
Beiträge: 1374
Wohnort: HB
|
Also das Problem ist, dass aktuelle Browser allein dann warnen, wenn das Cert selbst unterschrieben ist und nicht von einer offiziellen CA. Auch wenn wenn der commaon name richtig ist.
|
Dark_Wolf
(Themenstarter)
Anmeldungsdatum: 12. August 2006
Beiträge: 2588
Wohnort: Linuxland
|
cosinus schrieb: Also das Problem ist, dass aktuelle Browser allein dann warnen, wenn das Cert selbst unterschrieben ist und nicht von einer offiziellen CA. Auch wenn wenn der commaon name richtig ist.
Ok, verstehe, find ich blöd. Also muss man wohl damit rechnen das es bei Firefox auch mal so werden wird. Na gut. Event. wird ja der neue Falkon-Browser von KDE wieder so gut wie der Konqueror mal war... lg
Dark Wolf
|
cosinus
Anmeldungsdatum: 11. Mai 2010
Beiträge: 1374
Wohnort: HB
|
Also normalerweise warnt JEDER Browser wenn er selbstunterschriebenes Cert sieht!! Firefox macht das schon seit Ewigkeiten! Es kommt dann beim FF nachdem man auf erweitert geklickt hat zB sowas: | Dem Zertifikat wird nicht vertraut, weil es vom Aussteller selbst signiert wurde. Das Zertifikat gilt nur für .... Fehlercode: SEC_ERROR_UNKNOWN_ISSUER
|
|
Dark_Wolf
(Themenstarter)
Anmeldungsdatum: 12. August 2006
Beiträge: 2588
Wohnort: Linuxland
|
Nö, Firefox macht das nicht. Siehe Screenshot.
|
cosinus
Anmeldungsdatum: 11. Mai 2010
Beiträge: 1374
Wohnort: HB
|
Ich hab das doch bei mir selbst ausprobiert. Firefox 57 warnt wenn man eine https-Seite ansurft wenn sonst alles richtig ist, das Cert aber selbst unterschrieben ist. Alles andere macht ja auch keinen Sinn, sonst könnten Phisher Bankseiten nachbauen und als Erkennungsmerkmal sauberes SSL wäre dann hinfällig. Irgendwo ist deine Beobachtung falsch. Vllt hast du auch schon eine dauerhafte Ausnahme im FF. Teste doch nochmal mit einem neuen Profil.
|
Dark_Wolf
(Themenstarter)
Anmeldungsdatum: 12. August 2006
Beiträge: 2588
Wohnort: Linuxland
|
Naja Moment. Das CA musst schon im Browser importieren und trusten. Sonst kommt da auch die Fehlermeldung. BTW. Siehst meinen Anhang. Ich nämlich nicht. Ich werds in nem neuen Profil testen.
|
cosinus
Anmeldungsdatum: 11. Mai 2010
Beiträge: 1374
Wohnort: HB
|
Natürlich gehe ich davon aus, das man KEINE Ausnahme gesetzt hat. Ohne die kommt natürlich eine Warnung wenn irgendwas mit dem Cert ist. Egal welcher Browser.
|
Dark_Wolf
(Themenstarter)
Anmeldungsdatum: 12. August 2006
Beiträge: 2588
Wohnort: Linuxland
|
cosinus schrieb: ... Egal welcher Browser.
Ok, das ist ne Aussage. Ich versuch es mal über ein neues Benutzerprofil. Dann hats bei mir beim Chrome was.
|
sebix
Moderator, Webteam
Anmeldungsdatum: 14. April 2009
Beiträge: 5336
|
Das Problem ist nicht das Vertrauen, sondern dass Chrome den Common Name auch in den Subject Alternative Names haben will. Steht auch so in der Fehlermeldung drinnen.
|
Dark_Wolf
(Themenstarter)
Anmeldungsdatum: 12. August 2006
Beiträge: 2588
Wohnort: Linuxland
|
sebix schrieb: Das Problem ist nicht das Vertrauen, sondern dass Chrome den Common Name auch in den Subject Alternative Names haben will. Steht auch so in der Fehlermeldung drinnen.
Ah, ok danke. Jetzt weis ich endlich was das ist: https://en.wikipedia.org/wiki/Subject_Alternative_Name#/media/File:Ssl_com_ev_uc_certificate.jpg Gehe ich nun richtig in der Annahme das ich dort kein "*.osit.cc" verwenden darf sondern nur alles richtige FQDN?
|
sebix
Moderator, Webteam
Anmeldungsdatum: 14. April 2009
Beiträge: 5336
|
Dark_Wolf schrieb: das[sic!] ich dort kein "*.osit.cc" verwenden darf sondern nur alles richtige FQDN?
Wieso das denn?
|
cosinus
Anmeldungsdatum: 11. Mai 2010
Beiträge: 1374
Wohnort: HB
|
sebix schrieb: Das Problem ist nicht das Vertrauen, sondern dass Chrome den Common Name auch in den Subject Alternative Names haben will. Steht auch so in der Fehlermeldung drinnen.
Es warnt aber jeder Browser wenn schon ein kleines Ding im Cert nicht stimmt.
|