Zertifikat(e) installieren und verteilen - IE, Chrome und FF

[Gu4rdi4n 58]

Hallihallo,

 

ich habe ein Zertifikat unserer Firewall.

(Die Landingpage der Firewall zum Authentifizieren)

 

Jetzt habe ich einen Versuch gestartet, diese Zertifikate Manuell erstmal bei einem Testsystem einzupflegen, was auch teilweise geklappt hat.

 

Chrome und FF beschweren sich jetzt nichtmehr. Nur der leidige Internet Explorer behauptet immernochm dass die Webseite nicht mit dem Zertifikat übereinstimmt.

 

 

Wieso will der IE nicht?

 

So das war's zum Thema installieren und jetzt das Verteilen:

 

Wie kann ich Zertifikate per GPO an Chrome und FF verteilen?

Die haben ja alle einen eigenen Zertifikatsspeicher.

Irgendwelche Vorschläge?

 

Wäre euch sehr verbunden!

[Dukel 454]

Im ersten Screenshot greifst du auf die IP zu. Kommt die Meldung noch, wenn du den DNS Namen nutzt?

[Gu4rdi4n 58]

Nein, sie kommt nicht :)

 

Allerdings wird automatisch, wenn ich z.B. google.de eingebe diese Seite mit der ip redirected!

 

Vielleicht wenn ich das ändere :o

Mal schauen! Danke!

[zahni 554]

Auf IP-Adressen stellt man keine Zertifikate aus.

Die Zertifikate stammen am Besten von einer Windows-CA. Das notwendige Root-Zertifikat wird dann über das AD automatisch verteilt.

Alternativ kann man das auch in einer Gruppenrichtlinie machen.

 

Übrigens finde ich die Verwaltung der Zertifikate im Firefox ziemlich gaga. Das (und einige andere Dinge) disqualifizieren den für mich im Unternehmenseinsatz.

[NeMiX 76]

Auf IP-Adressen stellt man keine Zertifikate aus.

Die Zertifikate stammen am Besten von einer Windows-CA. Das notwendige Root-Zertifikat wird dann über das AD automatisch verteilt.

Alternativ kann man das auch in einer Gruppenrichtlinie machen.

 

Übrigens finde ich die Verwaltung der Zertifikate im Firefox ziemlich gaga. Das (und einige andere Dinge) disqualifizieren den für mich im Unternehmenseinsatz.

 

Wenn mal alle Unternehmen so denken würden. Ich kenne 3 große Konzerne, wo man mit dem IE nicht ins Internet kommt, dafür aber mit dem FF (in teilweise sehr alten Versionen)....

[Sunny61 806]

Chrome und FF beschweren sich jetzt nichtmehr. Nur der leidige Internet Explorer behauptet immernochm dass die Webseite nicht mit dem Zertifikat übereinstimmt.

Mark hat dazu einen Artikel geschrieben, evtl. hilft er dir ja: http://www.gruppenrichtlinien.de/artikel/zertifikate-verteilen/

[Gu4rdi4n 58]

Auf IP-Adressen stellt man keine Zertifikate aus.

Die Zertifikate stammen am Besten von einer Windows-CA. Das notwendige Root-Zertifikat wird dann über das AD automatisch verteilt.

Alternativ kann man das auch in einer Gruppenrichtlinie machen.

 

Übrigens finde ich die Verwaltung der Zertifikate im Firefox ziemlich gaga. Das (und einige andere Dinge) disqualifizieren den für mich im Unternehmenseinsatz.

 

Ok, klingt plausibel!

 

Ich hab nur das problem, dass die Landingpage automatisch auf die https://192.168.0.1 weiterleitet und nicht auf https://firewall

 

Kann man im DNS irgendwo einen Eintrag setzen, dass automatisch alle aufrufe von https://192.168.0.1 auf https://firewall weitergeleitet werden?

 

 

@ Sunny

 

Danke! Hat geholfen!

bearbeitet 12. Dezember 2013 von Gu4rdi4n

[zahni 554]

Wer generiert denn den Link  auf  die "Landing-Page" ? Im Zweifel die FW. Dann  würde ich dort mal nachschauen oder den Hersteller fragen.

Eventuell kann die  FW auch SSO mit  Kerberos, o.ä., dann müssen sich die User  nicht mehr manuell anmelden.

[Gu4rdi4n 58]

Ja SSo funktioniert auch tadellos!

 

Es geht drum, dass User, deren SSO Client aus unerfindlichen gründen mal nicht funktioniert, auf die Firewallseite weitergeleitet werden.

 

Wenn dann allerdings "Zertifikatfehler" oder dergleichen steht, schreckt das meine user (zum Glück!!!) ab auf weiter zu klicken!

 

Allerdings werde ich dann immer angerufen mit der Meldung "MEIN INTERNET GEHT NICHT" ;)

 

Die Landingpage kennt mittlerweile jeder, aber das mit dem Zertifikatfehler ist dennoch abschreckend.

 

Hab mal ein Ticket bei gateprotect geöffnet, mal sehen was die so sagen!

 

Wenn das nicht geht, dann bleibt mir nur den IE weitestgehend zu verbannen.

[zahni 554]

z.B. könnte  das Konto Users in der  Domäne aus irgendwelchen Gründen gesperrt sein. Dann geht SSO natürlich auch nicht.

Ich glaube  nicht, dass es am IE liegt.

[Gu4rdi4n 58]

naja, wie gesagt, sollte der SSO client irgendwie mal ausfallen, dann solls über die Webseite gehen.

 

FireFox und Chrome zeigen beide bei eingabe von https://192.168.0.1 ein gültiges Zertifikat an.

Ebenso bei https://firewall

 

Nur der IE macht wieder (wie so oft bei ziemlich allem) Probleme und zeigt bei https://192.168.0.1 ein ungültiges Zertifikat an, obwohl die IP eindeutig im Zertifikat vermerkt ist.

[Dukel 454]

Du musst doch irgendwo konfigurieren, dass du auf die Landing Page kommst. Dort trägst du statt der IP den DNS Namen ein.

[Gu4rdi4n 58]

Leider nein.

 

 

Mehr gibt's da nicht,

 

mal sehen was der Support sagt.

bearbeitet 12. Dezember 2013 von Gu4rdi4n

[zahni 554]

Wie geschrieben: die IE verhält sich korrekt und die anderen beiden Browser nicht.

Zertifikate für IP-Adressen sind ungültig, da der "Eigentümer" einer IP-Adresse i.d.R. nicht verifiziert werden kann.

Die "gehören" ISP's.

 

Falls das ein Self-Signed Zertifikat ist, musst Du  es per GPO im richtigen Truststore (k.a. welcher) verteilen.

In deinem Fall scheint aber die FW mit seiner ausgedachten Root-CA ein Cert erstellt zu haben.

Das würde ich nicht machen. Hier solltest Du eine richtige eigene CA bereistellen.

Alternativ das Root-Zertifikat der FW per GPO in die vertrauenswürdigen Stammzertifizierungsstellen importieren

 

Ich bin mir sicher, dass die genaue Vorgehensweise in der Doku der  FW steht. 

[Dukel 454]

Dann mach ein Ticket beim Hersteller auf.