none
IIS Intermediate SSL Zertifikats-Problem RRS feed

  • Frage

  • Hallo, ich habe in einer Windows Server 2012 R2 Umgebung ein Problem mit einem SSL Zertifikat.

    Hier handelt es sich um ein Extended Validated SSL Zertifikat.

    Das Zertifikat habe ich im IIS eingebunden. Wenn ich die Webseite im IE aufrufe, dann habe ich auch eine grüne Adressleiste. Bis hier hin alles in Ordnung.

    Nur unter bestimmten Browsern oder mit einem SSL Tester erhalte ich die Meldung, dass das Zertifikat nicht ordnungsgemäß installiert ist, da das Intermediate / Chain fehlt.

    Ein paar Google Ergebnisse später bin ich darauf gestoßen, dass das Zertifikat noch in den lokalen Zertifikatsspeicher des Webservers muss unter dem Punkt Zwischenzertifizierungsstellen. Alles ausprobiert, jedoch ohne Erfolg.

    Nun bin ich mir mittlerweile nicht mehr sicher welches Zertifikat und an welche Stelle genau. Ich hoffe es kann mir Jemand helfen.

    Montag, 21. September 2015 18:22

Antworten

  • Danke. Hat alles funktioniert.

    Schuld war der Reverse Proxy, der die Zertifikate ausgeliefert hat...

    Sollte Jemand das Gleiche Szenario haben hier die Lösung:

    Webapplication Firewall öffnen, Zertifikatsmanagement öffnen, Certificate Authority das CA einspielen, anschließend läuft es. Das Hauptzertifikat muss natürlich unter dem Menupunkt Zertifikate eingespielt und den jeweiligen virtuellen Webserver zur Verfügung gestellt werden.

    Fall gelöst. Danke Alex für deine Mühen!

    • Als Antwort markiert SADFR Dienstag, 22. September 2015 18:30
    Dienstag, 22. September 2015 10:42

Alle Antworten

  • Hi,

    das Intermediate deines Anbieters muss in den Zwischenzertifizierungsstellen des Computerkontos- Stores. Zusätzlich kann es nötig sein, dass das Root CA Zert deines Anbieters deaktiviert wird.

    Also MMC -> Snap In Zertifikate-> Lokales Computerkonto. Dort Root CA Cert abschalten und Zwischen Zertifizierungsstellen Zertifikat installieren.

    Gruß Alex

    Montag, 21. September 2015 19:01
  • Hi Alex,

    das Intermediate bekomme ich sicher auch vom Anbieter, richtig?

    Und das Root CA im Zwischenzertifikatsspeicher deinstallieren oder wo?

    Montag, 21. September 2015 19:11
  • Das habe ich noch einmal von GlobalSign über dieses Thema gefunden:

    https://www.globalsign.com/en/support/intermediate/extendedssl_intermediate.php

    Würde bedeuten ich muss das Extended Validation Root CA & Cross Certificate von GlobalSign sowie die beiden per Email erhaltenden Zertifikate in den Zwischenzertifikatsspeicher installieren?

    Kannst du das so bestätigen? Werde es gerade mal probieren... Danke schon mal.

    Montag, 21. September 2015 19:29
  • Hi,

    genau das Intermediate bekommst du vom Anbieter. Ob du das Root Zertifikat deaktivieren musst wäre dabei noch zu klären.

    Je nach Anbieter halt. Vielleicht kannst du uns den Anbieter verraten, dann kann man besser helfen.

    Gruß Alex

    Montag, 21. September 2015 19:46
  • GlobalSign, siehe meinen letzten Post. Deinen Vorschlag habe ich probiert, jedoch ohne Erfolg.
    Montag, 21. September 2015 19:48
  • Hi,

    sry deinen letzten Post hatte ich noch nicht gesehen. Also GlobalSign sagt Root Zert bleibt. OK

    [Zitat]

    If you are installing an ExtendedSSL (EVSSL) you will also need to install the Cross Certificate, which can be found here with the appropriate Intermediate certificate: EVSSL Intermediate and Cross certificates. Both should be installed in the Intermediate Certification Authorities folder.

    Windows will normally have the GlobalSign Root certificate installed by default, but if you need to install the Root certificate, follow the instructions as above, but import the Root certificate into the Trusted root Certification Authorities folder in the MMC.

    [Zitat Ende]

    Entnommen aus:

    https://www.globalsign.com/en/support/intermediate/intermediate_windows.php

    Dafür muss das Extended Validation Root CA und das Cross Certificate in die vertr. Zwischenzertifizierungsstellen.

    Die richtigen Zertifikate hast du ja schon gefunden. Wichtig ist, dass du das im Computerkonto machst.

    Gruß Alex

    Dienstag, 22. September 2015 04:55
  • Genau nach dieser Anleitung habe ich nun folgendes gemacht:

    Die vom Herausgeber per Mail erhaltenen Daten in 2 Dateien geschrieben und in den Zwischenzertifikatsspeicher installiert

    Die 2 von dir und mir beschriebenen Zertifikate ebenfalls in den Zwischenzertifikatsspeicher installiert

    Ohne sichtbaren Ergebnis. Server jedes Mal neu gestartet. Muss ich denn noch etwas in einen anderen lokalen Speicher installieren? Oder kann es Probleme machen, dass ich zuerst das Zertifikat im ISS eingebunden habe? 

    Dienstag, 22. September 2015 06:12
  • Hi,

    4 Zertifikate sind irgendwie 2 zuviel. Was hast du denn genau in der Email bekommen. ich vermute mal folgendes:

    1. Extended Validated SSL Zertifikat für deinen Host

    2.  Das GlobalSign Extended Validation CA Certificate

    Das Cross Zertifikat ist für ältere Systeme auf denen das Root 2 CA von GS nicht vorhanden ist. Mit welchen Browsern prüfst du denn. Welches Client OS wird dabei eingesetzt. Firefox hat  ja seinen eigenen Zertifikatsspeicher. Chrome nutzt die Ressourcen des OS.

    [Zitat]

    The GlobalSign Extended Validation Cross Certificate was put in place to ensure root ubiquity. Our EV certificates chain to Root-R2 by default. Back in 2006 when this certificate was first cut, many systems did not have the newer Root-R2. A cross certificate was cut to chain from the EV Intermediate to Root-R1 which was present on most devices at the time.

    Today the three GlobalSign Roots are widely distributed and the Cross Certificate should only be used if your company does business with a large number of legacy system users (E.g. Windows XP Service Pack 2 and older). If you have previously added the Cross certificate and wish to remove it, it is possible to do so by following the instructions here.

    [Zitat Ende]

    Somit sollte das GlobalSign Extended Validation CA - SHA256 - G2 reichen. 

    Hier eine Darstellung der CA Hierachie:

    Quelle:https://support.globalsign.com/customer/en/portal/articles/1217450-overview---intermediate-certificates

    Fassen wir also zusammen:

    Schritt 1) Lösche noch einmal alle Zertifikate, die du installiert hast raus.

    Schritt 2) Installation des Zertifikats in den IIS:

    Die Installation in den IIS hast du sicherlich wie hier von GS beschrieben getätigt.
    https://support.globalsign.com/customer/en/portal/articles/1226960-install-certificate---internet-information-services-iis-7

    Schritt 3) Installation des  GlobalSign Extended Validation CA - SHA256 - G2 in das Verzeichnis Vertrauenswürdige Zwischenzertifizierungsstellen

    Lass bitte unbedingt mal das Cross Zertifikat weg, denn das ist SHA 1 basierend. Laut GS kann es dabei zu Problemen kommen. Siehe hier 

    Die Reihenfolge der Installation ist aber im Grunde egal. 

    Hoffe jetzt klappt es.

    Gruß Alex

    Dienstag, 22. September 2015 07:47
  • Danke. Hat alles funktioniert.

    Schuld war der Reverse Proxy, der die Zertifikate ausgeliefert hat...

    Sollte Jemand das Gleiche Szenario haben hier die Lösung:

    Webapplication Firewall öffnen, Zertifikatsmanagement öffnen, Certificate Authority das CA einspielen, anschließend läuft es. Das Hauptzertifikat muss natürlich unter dem Menupunkt Zertifikate eingespielt und den jeweiligen virtuellen Webserver zur Verfügung gestellt werden.

    Fall gelöst. Danke Alex für deine Mühen!

    • Als Antwort markiert SADFR Dienstag, 22. September 2015 18:30
    Dienstag, 22. September 2015 10:42
  • Hi,

    das freut mich zu hören. Bitte markiere noch deinen eigenen Beitrag als Lösung.

    Gruß Alex

    Dienstag, 22. September 2015 16:21