Gu4rdi4n 58 Geschrieben 11. Dezember 2013 Melden Teilen Geschrieben 11. Dezember 2013 Hallihallo, ich habe ein Zertifikat unserer Firewall. (Die Landingpage der Firewall zum Authentifizieren) Jetzt habe ich einen Versuch gestartet, diese Zertifikate Manuell erstmal bei einem Testsystem einzupflegen, was auch teilweise geklappt hat. Chrome und FF beschweren sich jetzt nichtmehr. Nur der leidige Internet Explorer behauptet immernochm dass die Webseite nicht mit dem Zertifikat übereinstimmt. Wieso will der IE nicht? So das war's zum Thema installieren und jetzt das Verteilen: Wie kann ich Zertifikate per GPO an Chrome und FF verteilen? Die haben ja alle einen eigenen Zertifikatsspeicher. Irgendwelche Vorschläge? Wäre euch sehr verbunden! 1 Zitieren Link zu diesem Kommentar
Dukel 454 Geschrieben 11. Dezember 2013 Melden Teilen Geschrieben 11. Dezember 2013 Im ersten Screenshot greifst du auf die IP zu. Kommt die Meldung noch, wenn du den DNS Namen nutzt? Zitieren Link zu diesem Kommentar
Gu4rdi4n 58 Geschrieben 11. Dezember 2013 Autor Melden Teilen Geschrieben 11. Dezember 2013 Nein, sie kommt nicht :) Allerdings wird automatisch, wenn ich z.B. google.de eingebe diese Seite mit der ip redirected! Vielleicht wenn ich das ändere :o Mal schauen! Danke! Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 11. Dezember 2013 Melden Teilen Geschrieben 11. Dezember 2013 Auf IP-Adressen stellt man keine Zertifikate aus. Die Zertifikate stammen am Besten von einer Windows-CA. Das notwendige Root-Zertifikat wird dann über das AD automatisch verteilt. Alternativ kann man das auch in einer Gruppenrichtlinie machen. Übrigens finde ich die Verwaltung der Zertifikate im Firefox ziemlich gaga. Das (und einige andere Dinge) disqualifizieren den für mich im Unternehmenseinsatz. 1 Zitieren Link zu diesem Kommentar
NeMiX 76 Geschrieben 11. Dezember 2013 Melden Teilen Geschrieben 11. Dezember 2013 Auf IP-Adressen stellt man keine Zertifikate aus. Die Zertifikate stammen am Besten von einer Windows-CA. Das notwendige Root-Zertifikat wird dann über das AD automatisch verteilt. Alternativ kann man das auch in einer Gruppenrichtlinie machen. Übrigens finde ich die Verwaltung der Zertifikate im Firefox ziemlich gaga. Das (und einige andere Dinge) disqualifizieren den für mich im Unternehmenseinsatz. Wenn mal alle Unternehmen so denken würden. Ich kenne 3 große Konzerne, wo man mit dem IE nicht ins Internet kommt, dafür aber mit dem FF (in teilweise sehr alten Versionen).... Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 12. Dezember 2013 Melden Teilen Geschrieben 12. Dezember 2013 Chrome und FF beschweren sich jetzt nichtmehr. Nur der leidige Internet Explorer behauptet immernochm dass die Webseite nicht mit dem Zertifikat übereinstimmt. Mark hat dazu einen Artikel geschrieben, evtl. hilft er dir ja: http://www.gruppenrichtlinien.de/artikel/zertifikate-verteilen/ 1 Zitieren Link zu diesem Kommentar
Gu4rdi4n 58 Geschrieben 12. Dezember 2013 Autor Melden Teilen Geschrieben 12. Dezember 2013 (bearbeitet) Auf IP-Adressen stellt man keine Zertifikate aus. Die Zertifikate stammen am Besten von einer Windows-CA. Das notwendige Root-Zertifikat wird dann über das AD automatisch verteilt. Alternativ kann man das auch in einer Gruppenrichtlinie machen. Übrigens finde ich die Verwaltung der Zertifikate im Firefox ziemlich gaga. Das (und einige andere Dinge) disqualifizieren den für mich im Unternehmenseinsatz. Ok, klingt plausibel! Ich hab nur das problem, dass die Landingpage automatisch auf die https://192.168.0.1 weiterleitet und nicht auf https://firewall Kann man im DNS irgendwo einen Eintrag setzen, dass automatisch alle aufrufe von https://192.168.0.1 auf https://firewall weitergeleitet werden? @ Sunny Danke! Hat geholfen! bearbeitet 12. Dezember 2013 von Gu4rdi4n Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 12. Dezember 2013 Melden Teilen Geschrieben 12. Dezember 2013 Wer generiert denn den Link auf die "Landing-Page" ? Im Zweifel die FW. Dann würde ich dort mal nachschauen oder den Hersteller fragen. Eventuell kann die FW auch SSO mit Kerberos, o.ä., dann müssen sich die User nicht mehr manuell anmelden. Zitieren Link zu diesem Kommentar
Gu4rdi4n 58 Geschrieben 12. Dezember 2013 Autor Melden Teilen Geschrieben 12. Dezember 2013 Ja SSo funktioniert auch tadellos! Es geht drum, dass User, deren SSO Client aus unerfindlichen gründen mal nicht funktioniert, auf die Firewallseite weitergeleitet werden. Wenn dann allerdings "Zertifikatfehler" oder dergleichen steht, schreckt das meine user (zum Glück!!!) ab auf weiter zu klicken! Allerdings werde ich dann immer angerufen mit der Meldung "MEIN INTERNET GEHT NICHT" ;) Die Landingpage kennt mittlerweile jeder, aber das mit dem Zertifikatfehler ist dennoch abschreckend. Hab mal ein Ticket bei gateprotect geöffnet, mal sehen was die so sagen! Wenn das nicht geht, dann bleibt mir nur den IE weitestgehend zu verbannen. Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 12. Dezember 2013 Melden Teilen Geschrieben 12. Dezember 2013 z.B. könnte das Konto Users in der Domäne aus irgendwelchen Gründen gesperrt sein. Dann geht SSO natürlich auch nicht. Ich glaube nicht, dass es am IE liegt. Zitieren Link zu diesem Kommentar
Gu4rdi4n 58 Geschrieben 12. Dezember 2013 Autor Melden Teilen Geschrieben 12. Dezember 2013 naja, wie gesagt, sollte der SSO client irgendwie mal ausfallen, dann solls über die Webseite gehen. FireFox und Chrome zeigen beide bei eingabe von https://192.168.0.1 ein gültiges Zertifikat an. Ebenso bei https://firewall Nur der IE macht wieder (wie so oft bei ziemlich allem) Probleme und zeigt bei https://192.168.0.1 ein ungültiges Zertifikat an, obwohl die IP eindeutig im Zertifikat vermerkt ist. Zitieren Link zu diesem Kommentar
Dukel 454 Geschrieben 12. Dezember 2013 Melden Teilen Geschrieben 12. Dezember 2013 Du musst doch irgendwo konfigurieren, dass du auf die Landing Page kommst. Dort trägst du statt der IP den DNS Namen ein. Zitieren Link zu diesem Kommentar
Gu4rdi4n 58 Geschrieben 12. Dezember 2013 Autor Melden Teilen Geschrieben 12. Dezember 2013 (bearbeitet) Leider nein. Mehr gibt's da nicht, mal sehen was der Support sagt. bearbeitet 12. Dezember 2013 von Gu4rdi4n Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 12. Dezember 2013 Melden Teilen Geschrieben 12. Dezember 2013 Wie geschrieben: die IE verhält sich korrekt und die anderen beiden Browser nicht. Zertifikate für IP-Adressen sind ungültig, da der "Eigentümer" einer IP-Adresse i.d.R. nicht verifiziert werden kann. Die "gehören" ISP's. Falls das ein Self-Signed Zertifikat ist, musst Du es per GPO im richtigen Truststore (k.a. welcher) verteilen. In deinem Fall scheint aber die FW mit seiner ausgedachten Root-CA ein Cert erstellt zu haben. Das würde ich nicht machen. Hier solltest Du eine richtige eigene CA bereistellen. Alternativ das Root-Zertifikat der FW per GPO in die vertrauenswürdigen Stammzertifizierungsstellen importieren Ich bin mir sicher, dass die genaue Vorgehensweise in der Doku der FW steht. Zitieren Link zu diesem Kommentar
Dukel 454 Geschrieben 12. Dezember 2013 Melden Teilen Geschrieben 12. Dezember 2013 Dann mach ein Ticket beim Hersteller auf. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.