Jump to content

Zertifikat(e) installieren und verteilen - IE, Chrome und FF


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallihallo,

 

ich habe ein Zertifikat unserer Firewall.

(Die Landingpage der Firewall zum Authentifizieren)

 

Jetzt habe ich einen Versuch gestartet, diese Zertifikate Manuell erstmal bei einem Testsystem einzupflegen, was auch teilweise geklappt hat.

 

Chrome und FF beschweren sich jetzt nichtmehr. Nur der leidige Internet Explorer behauptet immernochm dass die Webseite nicht mit dem Zertifikat übereinstimmt.

 

zstyTcU.pngHz0fZu9.png

 

Wieso will der IE nicht?

 

So das war's zum Thema installieren und jetzt das Verteilen:

 

Wie kann ich Zertifikate per GPO an Chrome und FF verteilen?

Die haben ja alle einen eigenen Zertifikatsspeicher.

Irgendwelche Vorschläge?

 

Wäre euch sehr verbunden!

Link zu diesem Kommentar

Auf IP-Adressen stellt man keine Zertifikate aus.

Die Zertifikate stammen am Besten von einer Windows-CA. Das notwendige Root-Zertifikat wird dann über das AD automatisch verteilt.

Alternativ kann man das auch in einer Gruppenrichtlinie machen.

 

Übrigens finde ich die Verwaltung der Zertifikate im Firefox ziemlich gaga. Das (und einige andere Dinge) disqualifizieren den für mich im Unternehmenseinsatz.

Link zu diesem Kommentar

Auf IP-Adressen stellt man keine Zertifikate aus.

Die Zertifikate stammen am Besten von einer Windows-CA. Das notwendige Root-Zertifikat wird dann über das AD automatisch verteilt.

Alternativ kann man das auch in einer Gruppenrichtlinie machen.

 

Übrigens finde ich die Verwaltung der Zertifikate im Firefox ziemlich gaga. Das (und einige andere Dinge) disqualifizieren den für mich im Unternehmenseinsatz.

 

Wenn mal alle Unternehmen so denken würden. Ich kenne 3 große Konzerne, wo man mit dem IE nicht ins Internet kommt, dafür aber mit dem FF (in teilweise sehr alten Versionen)....

Link zu diesem Kommentar

Auf IP-Adressen stellt man keine Zertifikate aus.

Die Zertifikate stammen am Besten von einer Windows-CA. Das notwendige Root-Zertifikat wird dann über das AD automatisch verteilt.

Alternativ kann man das auch in einer Gruppenrichtlinie machen.

 

Übrigens finde ich die Verwaltung der Zertifikate im Firefox ziemlich gaga. Das (und einige andere Dinge) disqualifizieren den für mich im Unternehmenseinsatz.

 

Ok, klingt plausibel!

 

Ich hab nur das problem, dass die Landingpage automatisch auf die https://192.168.0.1 weiterleitet und nicht auf https://firewall

 

Kann man im DNS irgendwo einen Eintrag setzen, dass automatisch alle aufrufe von https://192.168.0.1 auf https://firewall weitergeleitet werden?

 

 

@ Sunny

 

Danke! Hat geholfen!

bearbeitet von Gu4rdi4n
Link zu diesem Kommentar

Ja SSo funktioniert auch tadellos!

 

Es geht drum, dass User, deren SSO Client aus unerfindlichen gründen mal nicht funktioniert, auf die Firewallseite weitergeleitet werden.

 

Wenn dann allerdings "Zertifikatfehler" oder dergleichen steht, schreckt das meine user (zum Glück!!!) ab auf weiter zu klicken!

 

Allerdings werde ich dann immer angerufen mit der Meldung "MEIN INTERNET GEHT NICHT" ;)

 

Die Landingpage kennt mittlerweile jeder, aber das mit dem Zertifikatfehler ist dennoch abschreckend.

 

Hab mal ein Ticket bei gateprotect geöffnet, mal sehen was die so sagen!

 

Wenn das nicht geht, dann bleibt mir nur den IE weitestgehend zu verbannen.

Link zu diesem Kommentar

naja, wie gesagt, sollte der SSO client irgendwie mal ausfallen, dann solls über die Webseite gehen.

 

FireFox und Chrome zeigen beide bei eingabe von https://192.168.0.1 ein gültiges Zertifikat an.

Ebenso bei https://firewall

 

Nur der IE macht wieder (wie so oft bei ziemlich allem) Probleme und zeigt bei https://192.168.0.1 ein ungültiges Zertifikat an, obwohl die IP eindeutig im Zertifikat vermerkt ist.

Link zu diesem Kommentar

Wie geschrieben: die IE verhält sich korrekt und die anderen beiden Browser nicht.

Zertifikate für IP-Adressen sind ungültig, da der "Eigentümer" einer IP-Adresse i.d.R. nicht verifiziert werden kann.

Die "gehören" ISP's.

 

Falls das ein Self-Signed Zertifikat ist, musst Du  es per GPO im richtigen Truststore (k.a. welcher) verteilen.

In deinem Fall scheint aber die FW mit seiner ausgedachten Root-CA ein Cert erstellt zu haben.

Das würde ich nicht machen. Hier solltest Du eine richtige eigene CA bereistellen.

Alternativ das Root-Zertifikat der FW per GPO in die vertrauenswürdigen Stammzertifizierungsstellen importieren

 

Ich bin mir sicher, dass die genaue Vorgehensweise in der Doku der  FW steht. 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...