none
Zertifikat nur teilweise vertrauenswürdig (IE / EDGE) RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Wir stellen im Unternehmen gerade von Windows 7 auf Windows 10 um und haben Probleme mit Zertifikaten. Ich will vorerst nur auf das meiner Meinung nach einfachste Problem zurück kommen.

    Für den Aufruf einer Website per TLS existiert ein selbst erstelltes Zertifikat. Der Webserver steht in unserem internen Netz. Das Zertifikat wird per GPO über "Vertrauenswürdige Stammzertifizierungsstellen" an alle Clients verteilt.

    Unter Windows 7 mit dem Internet Explorer und Chrome lässt sich die Website ohne Fehler aufrufen.

    Unter Windows 10 funktioniert der fehlerfreie Aufruf nur noch über Edge und Chrome. Das Zertifikat sei gültig. Der Internet Explorer sagt immer, dass die website nicht sicher ist "DLG_FLAGS_INVALID_CA". Wenn ich mir das Zertifikat über den Internet Explorer ansehe, sagte er "Dieses Zertifizierungsstellen-Stammzertifikat ist nicht vertrauenswürdig". Über die mmc sehe ich aber, dass das Zertifikat in den Vertrauenswürdigen Stammzertifizierungsstellen enthalten ist. Wenn ist das Zertifikat aus der Richtlinie raus nehme und manuell auf einem Client hinzufüge, funktioniert es auch mit dem Internet Explorer problemlos.

    Kennt jemand dieses Phänomen? Wie kann es sein, dass Edge und Internet Explorer sich auf dem selben Windows 10 Client so unterschiedlich verhalten? Der DC, welcher die Gruppenrichtlinien verwaltet ist ein Windows Server 2012 R2. Der Client ist Windows 10 Enterprise 1803.

    Dienstag, 16. Oktober 2018 07:32
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Moin,

    ja, habe es mal gesehen, war aber in dem konkreten Fall nicht wichtig, daher nicht weiterverfolgt.

    Wenn Du sagst, 1. "per GPO an alle Clients verteilt" und 2. "manuell auf dem Client hinzufüge", meinst Du in beiden Fällen den Machine Store oder ist das Zertifikat in einem der Fälle im User Store?

    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    In theory, there is no difference between theory and practice. In practice, there is.

    Dienstag, 16. Oktober 2018 08:20
    |
  • Question
    Anmelden
    0
    Anmelden

    Bei 1. im Machine Store. Taucht ja aber trotzdem im User Strore mit dem Status "R" (nur lesen) auf.

    Bei 2. im User Store, da der Nutzer nicht in den Machine Store schreiben kann.

    Dienstag, 16. Oktober 2018 09:58
    |
  • Question
    Anmelden
    0
    Anmelden

    Bei 1. im Machine Store. Taucht ja aber trotzdem im User Strore mit dem Status "R" (nur lesen) auf.

    Bei 2. im User Store, da der Nutzer nicht in den Machine Store schreiben kann.

    ...und wenn Du die Policy inaktiv lässt und das Zertifikat (als Admin) manuell in den Machine Store importierst?

    ...und weil es so schön ist: und wenn Du das Zertifikat per Policy auch in den User Store schießt?

    Und noch etwas: Womit ist das Zertifikat ursprünglich erstellt worden?

    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    In theory, there is no difference between theory and practice. In practice, there is.

    Dienstag, 16. Oktober 2018 10:45
    |
  • Question
    Anmelden
    0
    Anmelden

    Wenn ich die Policy inaktiv lasse funktioniert es weder bei Edge, IE oder Chrome. Füge das Zertifikat lokal als admin in den Machine Store, funktioniert es in allen 3 Browsern!
    Das Zertifikat tauch rein optisch genauso im User mit dem Status "R" auf, als wenn es per GPO zugewiesen wurde.

    Das Zertifikat per Policy in den User Strore zu schießen würde doch nur per certutil beim user login gehen oder? Das ist nicht wirklich das was ich will, würde aber sicher funktionieren.

    Dieses Zertifikat wurde per openssl auf einem Debian erzeugt und wird für eine Doku-Software verwendet.
    Wir haben das Problem aber beispielsweise auch mit dem Echange 2010 Zeritifikat das per GPO verteilt wird. Beim Aufruf der OWA Website funktioniert es im Edge, im IE nicht. Der Outlook 2016 Client auf Windows 10 meckert das Exchange Zertifikat ebenfalls an. Füge ich es lokal in den Machine Store als admin hinzu funktioniert es. Auf Windows 7 mit Outlook 2010 funktioniert alles ohne Probleme. Diese befinden sich in der selben Domäne.


    • Bearbeitet lau_mvl Dienstag, 16. Oktober 2018 11:31
    Dienstag, 16. Oktober 2018 11:30
    |
  • Question
    Anmelden
    0
    Anmelden

    " ein selbst erstelltes Zertifikat."

    Genau das ist das Problem.
    Zertifikate werden in den neueren Versionen aller Browser nur noch von öffentlichen und vertrauenswürdigen Zertifizierungsstellen als "Vertrauenswürdig" akzeptiert.
    Eine manuelle Übernahme solcher Zertifikate ist dann immer noch möglich.

    Zertifikate sind gar nicht so teuer (<100€/Jahr), wobei sie auch nach dem Ablauf weiter gültig bleiben, sie sind halt nur veraltet.

    "let's encrypt" ist ggf. noch eine Alternative.

    Dienstag, 16. Oktober 2018 14:05
    |
  • Question
    Anmelden
    0
    Anmelden

    " ein selbst erstelltes Zertifikat."

    Genau das ist das Problem.

    Nein :-) Wie der TO bereits schrieb, hat Chrome, also der Browser mit der striktesten Behandlung der Vertrauenswürdigkeit von Zertifikaten, eben *kein* Problem damit.

    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    In theory, there is no difference between theory and practice. In practice, there is.

    Dienstag, 16. Oktober 2018 14:35
    |
  • Question
    Anmelden
    0
    Anmelden

    Genau so ist es. Und warum sollte auch der IE11 strikter sein als Edge oder Chrome.

    Wir nutzen auch Zertifikate von öffentlichen Zertifizierungsstellen und zwar kostenpflichtige, als auch kostenlose. Das macht aber kein Sinn für Dienste die nicht nach außen zur Verfügung gestellt werden. Da sollten auch selbst erstellte Zertifikate reichen.

    Wahrscheinlich werden wir uns nun zwangsweise eine eigene PKI bauen. Trotzdem ist mir das erläuterte Verhalten völlig unverständlich. Könnte es irgend ein Berechtigungsproblem sein?

    Dienstag, 16. Oktober 2018 18:04
    |
  • Question
    Anmelden
    0
    Anmelden
    Die Vertrauenswürdigkeit wird durch den Inhalt des Zertifikats bestimmt und nicht, ob es intern oder extern geladen wird.
    Und jeder Browser implementiert dies eben etwas anders;-).
    Dienstag, 16. Oktober 2018 20:56
    |
  • Question
    Anmelden
    0
    Anmelden

    Ich denke der Inhalt meiner selbstserstellten Zertifikate ist nicht weniger Vertrauenswürdig. Und wenn ich als Admin in meiner Domäne ein Zertifikat veröffentliche, sollte es mindestens genauso vertrauenswürdig wie ein Zertifikat einer öffentlichen Zertifizierungsstelle sein. Aber Darum gehts auch jetzt gar nicht.

    Jemand vielleicht noch Ansätze was man probieren könnte?

    Mittwoch, 17. Oktober 2018 05:15
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    da es einen Unterschied zu geben scheint, je nachdem, ob das Zertifikat in den Machine Store per GPO oder per Admin-Hand reinkommt, könntest Du, falls noch nicht geschehen, das Zertifikat neu in die GPO einlesen oder vielleicht eine neue GPO machen mit nur diesem Zertifikat drin. Wegen Pferde, Apotheke und so.

    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    In theory, there is no difference between theory and practice. In practice, there is.

    Mittwoch, 17. Oktober 2018 05:44
    |
  • Question
    Anmelden
    0
    Anmelden

    Das hatte ich bereits gemacht. Eine GPO nur für die Zertifikatsverteilung erstellt und demzufolge die Zertifikate dort auch neu importiert.

    Eine Besonderheit gibt es noch. Wenn ich das Zertifikate per Policy in den Machine Store drücke und mich an dem Client als Nutzer mit lokalen Administratorrechten anmelde, funktioniert es auch im IE. Melde ich mich als Standardnutzer an der selben Maschine an, funktioniert es im IE nicht.
    Bei beiden Nutzern taucht das Zertifikat im Benutzer Zertifikatsspeicher auf mit dem Unterschied, dass bei dem Standardnutzer der Status "R" hinterm Zertifikat steht. Importiere ich das Zeritfikat wie weiter oben beschrieben als lokaler Admin in den Machine Store, steht beim Standardnutzer das "R" auch, aber es funktioniert mit dem IE. Echt verwirrend...

    Mittwoch, 17. Oktober 2018 07:56
    |