none
CA Windows sin Directorio Activo emite certificados no válidos para Google Chrome RRS feed

  • Pregunta

  • Buenos días.

    Tengo instalada una PKI en un Windows Server 2012 R2.

    Mi problema es que emito certificados correctamente para asegurar sitios web que funcionan correctamente utilizando Internet Explorer. Pero si voy a Google Chrome me da un error "NET::ERR_CERT_COMMON_NAME_INVALID"

    Para limitar el ámbito del problema, tengo instalada la PKI en el mismo servidor en el que estoy probándolo todo y en el que tengo creado el sitio web https.

    ¿Cómo puedo corregir esta situación?. Google Chrome cada vez se pone mas estricto, pero me gustaría que aceptase ese certificado.

    Gracias y un saludo.

    viernes, 19 de enero de 2018 11:34

Respuestas

  • Es una pregunta más para el soporte de Google, que acá en el de Microsoft :)

    Pero revisa en la configuración de Chrome que está la opción para importar certificados

    Y si no se solucionara así, Chrome es amigo de Google :)

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    viernes, 19 de enero de 2018 17:14
    Moderador
  • Si tienes esa experiencia no tengo mucho para decirte, ya que entiendo que si has creado una PKI propia has distribuido correctamente los certificados

    Pero, igual que antes, si el problema se da con Chrome entonces hay que ver con el soporte del mismo

    Por si te sirve de pista, revisa en Chrome los certificados que tengas de "Intermediate Certification Authorities" y "Trusted Root Certification Authorties"

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    lunes, 22 de enero de 2018 21:08
    Moderador
  • Me alegro encontraras el problema y su posible solución

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 24 de enero de 2018 20:55
    Moderador

Todas las respuestas

  • Es una pregunta más para el soporte de Google, que acá en el de Microsoft :)

    Pero revisa en la configuración de Chrome que está la opción para importar certificados

    Y si no se solucionara así, Chrome es amigo de Google :)

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    viernes, 19 de enero de 2018 17:14
    Moderador
  • el problema no será sólo de google.

    No es que mi PKI esté mal instalada. Es que cualquier PKI que no es de directorio activo en Windows Server 2012 R2 emite certificados incorrectos para google Chrome.

    tengo que probarlo esta semana en un Directorio activo para ver si ocurre lo mismo.

    Vamos, que habré instalado 100 PKI en 100 windows server 2012 R2 y el funcionamiento siempre es el mismo. 

    Que sea un problema de Google??? no lo tengo claro. Quizás es que los certificados emitidos por la PKI ya no sean del todo seguros y entonces Google no confía en ellos. Por eso preguntaba por si había una solución razonable.

    Mis PKI utilizan SHA512... 

    Un saludo y gracias por la respuesta.

    lunes, 22 de enero de 2018 15:52
  • Si tienes esa experiencia no tengo mucho para decirte, ya que entiendo que si has creado una PKI propia has distribuido correctamente los certificados

    Pero, igual que antes, si el problema se da con Chrome entonces hay que ver con el soporte del mismo

    Por si te sirve de pista, revisa en Chrome los certificados que tengas de "Intermediate Certification Authorities" y "Trusted Root Certification Authorties"

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    lunes, 22 de enero de 2018 21:08
    Moderador
  • No creo que sea nada de eso que propones.

    Mis pruebas las estoy haciendo directamente en el servidor que tiene instalada la PKI. Luego el mismo no tiene problemas con sus certificados y estos están correctamente instalados en el "almacén de certificados raíz de confianza".

    Y por otra parte, tampoco puede ser que el Google Chrome tenga los certificados incorrectos. Google Chrome utiliza como almacén de certificados  los mismos certificados que el internet explorer y que el sistema operativo Windows. (Al contrario de lo que hace Firefox que tiene sus propios almacenes de certificados).

    Todo tiene que ver con que el google desde la versión 58 no acepta certificados sin "subjectAltName".

    Y Windows Server 2012 R2 los genera sin esa información.

    Me voy a leer este enlace y a probarlo para ver si me soluciona algo. Así a primera vista me ha dado bastante miedo.

    https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/ff625722(v=ws.10)

    Un saludo.

    miércoles, 24 de enero de 2018 17:47
  • Me alegro encontraras el problema y su posible solución

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 24 de enero de 2018 20:55
    Moderador