Doso 77 Geschrieben 24. Juni 2015 Melden Teilen Geschrieben 24. Juni 2015 Wir betreiben einen Exchange 2010 SP3, Rollup 8v2, Windows Server 2008R2. Ich habe mir mal die Mühe gemacht mit IISCrypto die SSL Einstellungen nach Best Practice auszurichten (TLS 1.2 an, SSLv3 aus etc.) und wir haben unser Zertifikat von SHA-1 auf SHA2 (SHA256) umgestellt, da Google Chrome und Co. angefangen bei Verwendung von OWA hier Browserwarnungen zu zeigen weil das ja ggf. unsicher ist. Klappt soweit gut, bei verschiedenen Tests wie Qualys SSL Labs kriege ich gute Noten. Leider kommt es irgendwie regelmäßig vor, das bei externen Zugriffen Google Chrome trotzdem nur ein gelbes Fähnchen zeigt. Eines der Zertifikate in der Zertifikatskette, eine Sub-CA, wird mit SHA-1 angezeigt. Ich bin so etwas am verzweifeln warum das so ist. Andere Browser wie der IE, Testtools und Chrome auf Rechnern im internen Netz zeigen dieses Zertifikat mit SHA256 an. Bei unseren Linux Apache Servern tritt das Problem nicht auf, hier ist aber auch die ganze Zertifikatskette auf den Servern installiert. Ist es sinnvoll die ganze Zertifikatskette auf dem Server zu installieren? Wenn ja, wie mache ich das? In Exchange habe ich dazu nix gefunden. Zitieren Link zu diesem Kommentar
testperson 1.680 Geschrieben 25. Juni 2015 Melden Teilen Geschrieben 25. Juni 2015 Hi, ja ist sinnvoll, der SSL Labs sollte das allerdings auch melden, dass die Zertifikatskette nicht vorhanden ist ;) Du besorgst dir vom Anbieter die gesamten Zertifikate und importierst sie dann in die entsprechenden Zertifikatsspeicher des Computers. Alternativ kannst du auch mit dem IE z.B. die Zertifikatsinfos anzeigen lassen und die entsprechenden Zertifikate aus der Kette in eine Datei speichern und dann entsprechend importieren. Gruß Jan Zitieren Link zu diesem Kommentar
Doso 77 Geschrieben 27. Juni 2015 Autor Melden Teilen Geschrieben 27. Juni 2015 Habe die Zertifikatskette installiert und hatte immer noch das "falsche" Zertifikat in Chrome. Habe nun entdeckt das bei diesen 2 Rechnern das entsprechende Zertifikat als SHA-1 Version im Zertifikatsspeicher des Benutzers in Windows gespeichert war. Scheinbar nimmt Chrome das dann bevorzugt. Nachdem ich nun das Zertifikat beim Nutzer und den Chrome Zertifikatscache gelöscht habe klappt es auch bei Chrome. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.