Dabinam 1 Geschrieben 17. August 2020 Melden Geschrieben 17. August 2020 Hallo, ich verteile per Gruppenrichtlinien ein Proxy Zertifikat an alle Clients (Win10). Das Zertifikat ist auch an der richtigen Stelle (Vertrauenswürdige Stammzertifizierungsstellen) in der MMC unter dem Computerkonto zu finden. Mache ich im Browser eine Webseite (https) auf, ist alles ok. Das Zertifikat für meinen Proxy (wegen HTTPS-Scan) beanstandet nichts. Öffne ich aber eine Link zur selben Webseite, welcher z.B. in einem Word Dokument hinterlegt ist, erschein eine Sicherheitswarnung „Das Sicherheitszertifikat wurde von einer Firma ausgestellt, die Sie nicht als Vertrauenswürdig eingestuft haben. …“ Lösche ich nun das Zertifikat über die MMC aus dem Speicher Vertrauenswürdige Stammzertifizierungsstellen und importiere (über MMC) das gleiche Zertifikat manuell, erscheint beim Öffnen (über Link in z.B. Word) einer HTTPS-Seite keine Fehlermeldung. Kurz zusammengefasst: Das gleiche Zertifikat über GPO verteilt verhält sich anders, als wenn ich es manuell über die MMC importiere. Hat jemand eine Idee woran das liegen könnte? Zitieren
Sunny61 829 Geschrieben 17. August 2020 Melden Geschrieben 17. August 2020 Bist Du sicher, dass Du das Zertifikat beim Reimport auch in den Computer Store importierst? Oder doch beim User? Zitieren
Dabinam 1 Geschrieben 17. August 2020 Autor Melden Geschrieben 17. August 2020 45 minutes ago, Sunny61 said: Bist Du sicher, dass Du das Zertifikat beim Reimport auch in den Computer Store importierst? Ja, ganz sicher in den Computer-Store. Zitieren
NilsK 3.019 Geschrieben 17. August 2020 Melden Geschrieben 17. August 2020 Moin, ein Zertifikat "verhält" sich nicht, weil es kein aktiver Code ist. Typischerweise liegen solche Phänomene daran, dass der automatische Import des Zertifikats nicht korrekt war. Du sprichst davon, dass du es als Stammzertifikat importierst. Ist es wirklich ein solches oder ist es ein abgeleitetes Zertifikat? Beim manuellen Import ist es oft so, dass man "stillschweigend" die ganze Zertifikatskette importiert, was beim GPO-Import so nicht der Fall ist. Gruß, Nils Zitieren
Dabinam 1 Geschrieben 17. August 2020 Autor Melden Geschrieben 17. August 2020 (bearbeitet) Es handelt sich um ein Sophos Zertifikat, welches ich mit dieser Sophos Anleitung ausgerollt habe. 2 hours ago, NilsK said: Ist es wirklich ein solches Da es laut Anleitung in den Trusted Root Certification Authority Speicher soll, gehe ich davon aus. Oder zählt Office zu Third-Party Programs? bearbeitet 17. August 2020 von Dabinam Zitieren
NilsK 3.019 Geschrieben 17. August 2020 Melden Geschrieben 17. August 2020 Moin, nein, Office dürfte an der Stelle nicht zu den Sonderfällen gehören. Gemeint ist hier sowas wie Firefox oder Thunderbird, die nicht den Zertifikats-Store des Betriebssystems verwenden. Dann würde es aber weder per GPO noch "manuell" gehen, sondern man müsste das Zertifikat eben innerhalb der Applikation einbinden. Auf die Schnelle kann ich auch grad nicht sagen, woran es scheitert. Nur ein Detail noch: Ein Zertifikat wird nicht dadurch ein Root-Zertifikat, dass es im Store an einer bestimmten Stelle liegt. Ein Root-Zertifikat ist von selbst ein solches, weil es von keinem anderen Zertifikat abgeleitet ist. Das kannst du dir in den Eigenschaften des Zertifikats im Register "Zertifizierungspfad" ansehen. Gruß, Nils Zitieren
zahni 582 Geschrieben 17. August 2020 Melden Geschrieben 17. August 2020 Und Du solltest prüfen, ob die SSL-Interception richtig funktioniert. Nicht dass da irgendetwas pro UserAgent anders arbeitet... Auch hier ist https://www.telerik.com/fiddler dein Freund. Damit kannst Du zusätzlich ein lokales SSL-Interception machen und prüfen, was vom Proxy so für Server-Zertifikate erzeugt werden. Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.