Dabinam 1 Posted August 17, 2020 Report Posted August 17, 2020 Hallo, ich verteile per Gruppenrichtlinien ein Proxy Zertifikat an alle Clients (Win10). Das Zertifikat ist auch an der richtigen Stelle (Vertrauenswürdige Stammzertifizierungsstellen) in der MMC unter dem Computerkonto zu finden. Mache ich im Browser eine Webseite (https) auf, ist alles ok. Das Zertifikat für meinen Proxy (wegen HTTPS-Scan) beanstandet nichts. Öffne ich aber eine Link zur selben Webseite, welcher z.B. in einem Word Dokument hinterlegt ist, erschein eine Sicherheitswarnung „Das Sicherheitszertifikat wurde von einer Firma ausgestellt, die Sie nicht als Vertrauenswürdig eingestuft haben. …“ Lösche ich nun das Zertifikat über die MMC aus dem Speicher Vertrauenswürdige Stammzertifizierungsstellen und importiere (über MMC) das gleiche Zertifikat manuell, erscheint beim Öffnen (über Link in z.B. Word) einer HTTPS-Seite keine Fehlermeldung. Kurz zusammengefasst: Das gleiche Zertifikat über GPO verteilt verhält sich anders, als wenn ich es manuell über die MMC importiere. Hat jemand eine Idee woran das liegen könnte? Quote
Sunny61 828 Posted August 17, 2020 Report Posted August 17, 2020 Bist Du sicher, dass Du das Zertifikat beim Reimport auch in den Computer Store importierst? Oder doch beim User? Quote
Dabinam 1 Posted August 17, 2020 Author Report Posted August 17, 2020 45 minutes ago, Sunny61 said: Bist Du sicher, dass Du das Zertifikat beim Reimport auch in den Computer Store importierst? Ja, ganz sicher in den Computer-Store. Quote
NilsK 3,017 Posted August 17, 2020 Report Posted August 17, 2020 Moin, ein Zertifikat "verhält" sich nicht, weil es kein aktiver Code ist. Typischerweise liegen solche Phänomene daran, dass der automatische Import des Zertifikats nicht korrekt war. Du sprichst davon, dass du es als Stammzertifikat importierst. Ist es wirklich ein solches oder ist es ein abgeleitetes Zertifikat? Beim manuellen Import ist es oft so, dass man "stillschweigend" die ganze Zertifikatskette importiert, was beim GPO-Import so nicht der Fall ist. Gruß, Nils Quote
Dabinam 1 Posted August 17, 2020 Author Report Posted August 17, 2020 (edited) Es handelt sich um ein Sophos Zertifikat, welches ich mit dieser Sophos Anleitung ausgerollt habe. 2 hours ago, NilsK said: Ist es wirklich ein solches Da es laut Anleitung in den Trusted Root Certification Authority Speicher soll, gehe ich davon aus. Oder zählt Office zu Third-Party Programs? Edited August 17, 2020 by Dabinam Quote
NilsK 3,017 Posted August 17, 2020 Report Posted August 17, 2020 Moin, nein, Office dürfte an der Stelle nicht zu den Sonderfällen gehören. Gemeint ist hier sowas wie Firefox oder Thunderbird, die nicht den Zertifikats-Store des Betriebssystems verwenden. Dann würde es aber weder per GPO noch "manuell" gehen, sondern man müsste das Zertifikat eben innerhalb der Applikation einbinden. Auf die Schnelle kann ich auch grad nicht sagen, woran es scheitert. Nur ein Detail noch: Ein Zertifikat wird nicht dadurch ein Root-Zertifikat, dass es im Store an einer bestimmten Stelle liegt. Ein Root-Zertifikat ist von selbst ein solches, weil es von keinem anderen Zertifikat abgeleitet ist. Das kannst du dir in den Eigenschaften des Zertifikats im Register "Zertifizierungspfad" ansehen. Gruß, Nils Quote
zahni 579 Posted August 17, 2020 Report Posted August 17, 2020 Und Du solltest prüfen, ob die SSL-Interception richtig funktioniert. Nicht dass da irgendetwas pro UserAgent anders arbeitet... Auch hier ist https://www.telerik.com/fiddler dein Freund. Damit kannst Du zusätzlich ein lokales SSL-Interception machen und prüfen, was vom Proxy so für Server-Zertifikate erzeugt werden. Quote
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.