none
Intranetseite per SSL ohne Zertifikat ... mit dem Internet Explorer ? RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo zusammen,

    ich versuche, eine Intranetseite aufzurufen, per SSL. Wir haben aber für die Site kein Zertifikat.

    Beim FF definiere ich beim ersten Aufruf, dass die Seite vertrauenswürdig ist.

    Beim IE habe ich das in den Sicherheitseinstellungen hinterlegt, aber der IE ignoriert das beim Aufruf.

    Was kann ich tun?

    Der IE ist Pflicht, da gibt es keinen Ausweg.

    Brauchen wir jetzt ein Zertifikat?

    Grüße

    TD

    Montag, 28. August 2017 07:45
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden

    Ja!
    SSL kann (eigentlich) nicht ohne Zertifikat funktionieren. Allerdings kann man sich auch selber ein Zertifakt ausstellen (da gibt es genug Tools für) und benötigt dafür keine kostenpflichtigen.
    Auftretende Warnungen können ja dann ignoriert bzw. als vertrauenswürdig eingestuft werden.
    https://www.google.de/search?client=firefox-b&q=zertifikat+selber+erstellen&oq=zertifikat+selber+&gs_l=psy-ab.3.0.0l2j0i22i30k1l2.8911.13336.0.14333.18.18.0.0.0.0.122.1240.17j1.18.0....0...1.1.64.psy-ab..0.18.1236...0i67k1j0i131k1.dbx9ff9Kd8c

    Montag, 28. August 2017 07:52
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Ja!
    SSL kann (eigentlich) nicht ohne Zertifikat funktionieren. Allerdings kann man sich auch selber ein Zertifakt ausstellen (da gibt es genug Tools für) und benötigt dafür keine kostenpflichtigen.
    Auftretende Warnungen können ja dann ignoriert bzw. als vertrauenswürdig eingestuft werden.
    https://www.google.de/search?client=firefox-b&q=zertifikat+selber+erstellen&oq=zertifikat+selber+&gs_l=psy-ab.3.0.0l2j0i22i30k1l2.8911.13336.0.14333.18.18.0.0.0.0.122.1240.17j1.18.0....0...1.1.64.psy-ab..0.18.1236...0i67k1j0i131k1.dbx9ff9Kd8c

    Montag, 28. August 2017 07:52
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    beim FF kann ich sagen, die Seite ist vertrauenswürdig, dann merkt sich das der Browser.

    Beim IE kann ich die Seite eintragen wo ich will (Intranet, Vertraueswürdige Sites), der Browser ignoriert das.

    Montag, 28. August 2017 08:08
    |
  • Question
    Anmelden
    0
    Anmelden

    Nun, wenn der IE Pflicht ist aber SSL ohne Zertifikat nicht unterstützt (was eigentlich Standard sein sollte), stellt sich doch die Frage nicht.

    Wenn man nach "SSL ohne Zertifikat" sucht, bekommt man fast ausschließlich Ergebnisse, wo das nicht geht. Vielleicht ist dein FF nicht aktuell oder es wird demnächst auch da gesperrt.

    Montag, 28. August 2017 08:19
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    beim IE geht es nicht um die "Vertrauenswürdigkeit der Seite" - das ist reine Klassifizierung der Adresse bzw. der DNS-Domäne, sondern um die Vertrauenswürdigkeit des verwendeten Zertifikats. Und da greift der IE auf den CertStore des Betriebssystem, ganz im Gegensatz zu FF, der dafür einen eigenen pflegt.

    Ich gehe davon aus, dass ein selbstsigniertes Zertifikat verwendet wird, also eines, das von keiner CA ausgestellt ist. Du musst bei IE auf "Zertifikat anzeigen" klicken und dann "Zertifikat installieren". Wenn Du das an mehrere Clients verteilen musst: Group Policy, das Zertifikat muss als "Vertrauenswürdige Stammzertifizierungsstelle" eingetragen werden.

    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> http://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    Montag, 28. August 2017 08:21
    |
  • Question
    Anmelden
    0
    Anmelden
    Ihr redet aneinander vorbei. Es ist nicht möglich, eine gesicherte Verbindung ohne Zertifikat zu betreiben. Punkt. Die Frage wurde falsch gestellt, wohl mangels Kenntnis. Die Frage hätte lauten müssen: Wie kann ich einem selbstsignierten Zertifikat mit dem IE vertrauen? Die Antwort darauf findet man ganz schnell per Google: durch Importieren des CA-Zertfikats (nicht des Webserver-Zertifikats). Das sollte schon von einem selbst erstellt worden sein und nicht das evtl. mitgelieferte des Open Source-Produkts, was da wohl benutzt wird, denn das lautet vermutlich auf Snake Oil-CA und ist *nicht* vertrauenswürdig, da nicht einziartig.

    IEFAQ: http://iefaq.info

    Montag, 28. August 2017 08:23
    |
  • Question
    Anmelden
    0
    Anmelden
    durch Importieren des CA-Zertfikats (nicht des Webserver-Zertifikats). 

    Moin,

    das ist bei einem selbstsignierten Zertifikat ein und dasselbe, wie der Name schon sagt. Und ja, ich bin mir sogar sehr sicher, dass "selbstsigniert" NICHT "von einer privaten sonstigen nicht auf der Microsoft Trusted Root List befindlichen CA erstellt" bedeutet ;-)

    Ganz ohne Zertifikat würde ein IIS gar nicht erst auf Port 443 antworten.,

    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> http://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com


    Montag, 28. August 2017 08:29
    |
  • Question
    Anmelden
    0
    Anmelden

    das ist bei einem selbstsignierten Zertifikat ein und dasselbe,

    Eigentlich nicht.

    IEFAQ: http://iefaq.info

    Montag, 28. August 2017 12:00
    |
  • Question
    Anmelden
    0
    Anmelden

    das ist bei einem selbstsignierten Zertifikat ein und dasselbe,

    Eigentlich nicht.

    Doch. ;-)

    Ich sage meinen Kindern zwar auch ständig, dass Wikipedia keine Quelle ist, aber in diesem Fall ist die Definition durchaus zutreffend:

    In cryptography and computer security, a self-signed certificate is an identity certificate that is signed by the same entity whose identity it certifies.

    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> http://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    Montag, 28. August 2017 12:12
    |
  • Question
    Anmelden
    0
    Anmelden

    Das sind Spitzfindigkeiten. Ein CA-Zertifikat ist üblicherweise nicht für Webserver-Authentifzierung geeignet. Du signierst also dein eigenes CA-Zertifikat mit sich selbst, richtig. Und dann ein oder mehrere Webserver-Zertifikate mit dieser CA. Und die Webserver-Zertifikate sind dann auch "selbst-signiert", nämlich von dir bzw. deiner CA. Als Unterscheidung zu einer öffentlichen, die in jedem Browser vorinstalliert ist.

    In den meisten Fällen bringt daher das Importieren des Webserver-Zertifikats exakt *nichts*, da es kein CA-Zertifikat ist.

    IEFAQ: http://iefaq.info

    Dienstag, 29. August 2017 12:17
    |
  • Question
    Anmelden
    0
    Anmelden

    Das sind Spitzfindigkeiten. Ein CA-Zertifikat ist üblicherweise nicht für Webserver-Authentifzierung geeignet. Du signierst also dein eigenes CA-Zertifikat mit sich selbst, richtig. Und dann ein oder mehrere Webserver-Zertifikate mit dieser CA. Und die Webserver-Zertifikate sind dann auch "selbst-signiert", nämlich von dir bzw. deiner CA. Als Unterscheidung zu einer öffentlichen, die in jedem Browser vorinstalliert ist.

    In den meisten Fällen bringt daher das Importieren des Webserver-Zertifikats exakt *nichts*, da es kein CA-Zertifikat ist.


    Sorry, aber das Missverständnis ist leider so weit verbreitet, dass ich wider besseres Wissen antworten muss.

    "Selbstsigniertes Zertifikat" ist ein wohldefinierter technischer Begriff, und dieser bedeutet NICHT "ein Zertifikat, das von einer CA signiert ist, welche man selbst betreibt"! "selbst" bezieht sich in diesem Fall auf das Zertifikat und nicht auf die Person, die es generiert.

    Ein selbstsigniertes Zertifikat ist aus EKU-Sicht kein CA-Zertifikat, das ist wahr. Es ist in der Regel ein Serverzertifikat. Damit kann man aber dennoch Zertifikate signieren, und genau das passiert auch. Es gibt in diesem Konstrukt nur ein einziges Zertifikat, und dieses ist widerwillig in die "Trusted Roots" zu importieren, auch wenn's kein "vollwertiges" CA-Zertifikat ist.

    Das, was Du meinst, ist ein ganz normales, von einer CA signiertes Serverzertifikat. Nur mit dem Unterschied, dass die Root CA der Trust Chain dieses Zertifikats nicht von vornherein im Browser (Firefox) bzw. im Betriebssystem (alle anderen) als vertrauenswürdig bekannt ist. Bei einem solchen Zertifikat ist natürlich das Root CA-Zertifikat in die Trusted Roots zu importieren. Aber es ist dann eben kein selbstsigniertes Zertifikat.

    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> http://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    Dienstag, 29. August 2017 13:17
    |