Zum Inhalt wechseln


Foto

Falsches Zertifikat bei Zugriff auf IIS der Issuing CA

Active Directory IIS Lerngruppe

  • Bitte melde dich an um zu Antworten
6 Antworten in diesem Thema

#1 theonlybrand

theonlybrand

    Newbie

  • 45 Beiträge

 

Geschrieben 25. Januar 2017 - 11:05

Hallo liebe Community,

 

ich habe mittlerweile meine 2-Tier-PKI zum laufen gebracht, die zertifikatskette steht. Nun habe ich allerdings folgendes Problem:

Wenn ich mich mit meiner VM, welche in der selben Domäne wie die Issuing CA sitzt,  auf den Bereich https://pki.meinedomäne.de/certsrvverbinden will bringt er mir die Meldung:

MOZILLA_PKIX_ERROR_CA_CERT_USED_AS_END_ENTITY

 

Was genau mache ich falsch? Ich habe dem Client das Zertifikat der Issuing CA bereits in den Zertifikatspeicher der Vertrauenswürdigen Stammzertifizierungsstellen importiert,

habe ich irgendwo einen Denkfehler?

Danke für eure Hilfe

 

theonlybrand

 


Linux is like a tipi, no gates, no windows, and an apache inside


#2 Dukel

Dukel

    Board Veteran

  • 9.313 Beiträge

 

Geschrieben 25. Januar 2017 - 11:06

Dort muss das Root Cert. hinein, nicht das der Issuing CA.


Stop making stupid people famous.


#3 NorbertFe

NorbertFe

    Expert Member

  • 30.934 Beiträge

 

Geschrieben 25. Januar 2017 - 11:08

Und das der Issuing CA muß in vertrauenswürdige Zwischenzertifizierungsstellen afaik

Make something i***-proof and they will build a better i***.


#4 Dukel

Dukel

    Board Veteran

  • 9.313 Beiträge

 

Geschrieben 25. Januar 2017 - 11:12

Nicht unbedingt. Wenn das ausgestellte Zertifikat die ganze Kette mitbringt dann reicht das root-Cert.


Stop making stupid people famous.


#5 testperson

testperson

    Board Veteran

  • 4.652 Beiträge

 

Geschrieben 25. Januar 2017 - 11:35

Als Anmerkung noch: Der Firefox benutzt seinen eigenen Zertifikatsspeicher und nicht den des Betriebssystems.


Good morning, that's a nice TNETENNBA!

#6 theonlybrand

theonlybrand

    Newbie

  • 45 Beiträge

 

Geschrieben 25. Januar 2017 - 13:28

Danke für eure Hilfe!

Allerdings stehe ich jetzt vor einem neuen Problem: Scheinbar ist meine Zertifizierungsstelle ungültig und er hat ein Problem mit der Zertifizierungskette (net::ERR_CERT_AUTHORITY_INVALID).

Wie kann das sein? Meine Zertifizierungskette erscheint als gültig wenn ich im Browser diese überprüfe, sonst würde er mir ja dann im Zertifizierungspfad anzeigen wenn er Probleme hat oder?


Linux is like a tipi, no gates, no windows, and an apache inside


#7 NorbertFe

NorbertFe

    Expert Member

  • 30.934 Beiträge

 

Geschrieben 25. Januar 2017 - 14:38   Lösung

Nicht unbedingt. Wenn das ausgestellte Zertifikat die ganze Kette mitbringt dann reicht das root-Cert.


Ja aber dann müsste der Server sie immer ausliefern. Aber ich denke das wäre zu vernachlässigen.

Make something i***-proof and they will build a better i***.




Auch mit einem oder mehreren der folgenden Tags versehen: Active Directory, IIS, Lerngruppe