Falsches Zertifikat bei Zugriff auf IIS der Issuing CA

[theonlybrand 0]

Hallo liebe Community,

 

ich habe mittlerweile meine 2-Tier-PKI zum laufen gebracht, die zertifikatskette steht. Nun habe ich allerdings folgendes Problem:

Wenn ich mich mit meiner VM, welche in der selben Domäne wie die Issuing CA sitzt,  auf den Bereich https://pki.meinedomäne.de/certsrvverbinden will bringt er mir die Meldung:

MOZILLA_PKIX_ERROR_CA_CERT_USED_AS_END_ENTITY

 

Was genau mache ich falsch? Ich habe dem Client das Zertifikat der Issuing CA bereits in den Zertifikatspeicher der Vertrauenswürdigen Stammzertifizierungsstellen importiert,

habe ich irgendwo einen Denkfehler?

Danke für eure Hilfe

 

theonlybrand

 

[Dukel 468]

Dort muss das Root Cert. hinein, nicht das der Issuing CA.

[NorbertFe 2.283]

Und das der Issuing CA muß in vertrauenswürdige Zwischenzertifizierungsstellen afaik

[Dukel 468]

Nicht unbedingt. Wenn das ausgestellte Zertifikat die ganze Kette mitbringt dann reicht das root-Cert.

[testperson 1.858]

Als Anmerkung noch: Der Firefox benutzt seinen eigenen Zertifikatsspeicher und nicht den des Betriebssystems.

[theonlybrand 0]

Danke für eure Hilfe!

Allerdings stehe ich jetzt vor einem neuen Problem: Scheinbar ist meine Zertifizierungsstelle ungültig und er hat ein Problem mit der Zertifizierungskette (net::ERR_CERT_AUTHORITY_INVALID).

Wie kann das sein? Meine Zertifizierungskette erscheint als gültig wenn ich im Browser diese überprüfe, sonst würde er mir ja dann im Zertifizierungspfad anzeigen wenn er Probleme hat oder?

[NorbertFe 2.283]

Nicht unbedingt. Wenn das ausgestellte Zertifikat die ganze Kette mitbringt dann reicht das root-Cert.

Ja aber dann müsste der Server sie immer ausliefern. Aber ich denke das wäre zu vernachlässigen.