hegl 10 Geschrieben 22. Oktober 2015 Melden Teilen Geschrieben 22. Oktober 2015 Für HTTPS-Scanning auf einem Proxy-Server müssen wir 2 Zertifikate (xxx.cer) auf jeden Client (Win7 mit IE11) installieren. Dies wurde durch GPO gelöst.Leider wird im IE im entsprechenden Bereich (Vertrauenswürdige Stammzertifizierungsstellen) nur eins der beiden Zertifikate angezeigt, über die MMC sind beide zu sehen. Selbst wenn ich dann beide noch einmal lösche und anschließend manuell importiere (beides Mal positive Rückmeldung: Importvorgang erfolgreich) sehe ich die Zertifikate zwar über die Konsole, aber nur eins im IE. Dementsprechend gibt´s bei speziellen HTTPS-Requests zerstückelte Websites. Wo kann ich hier ansetzen? Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 22. Oktober 2015 Melden Teilen Geschrieben 22. Oktober 2015 Importiere doch das fehlende Zertifikat als Admin in die Vertrauenswürdigen Stammzertifizierungsstellen des Computers. Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 22. Oktober 2015 Autor Melden Teilen Geschrieben 22. Oktober 2015 Importiere doch das fehlende Zertifikat als Admin in die Vertrauenswürdigen Stammzertifizierungsstellen des Computers. Genau das habe ich doch manuell nachher gemacht: In der Konsole sichtbar, im IE11 nicht :-( Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 22. Oktober 2015 Melden Teilen Geschrieben 22. Oktober 2015 Hast du vielleicht im IE oben einen Filter gesetzt: "Beabsichtigter Zweck" - <Alle> blub Zitieren Link zu diesem Kommentar
g2sm 17 Geschrieben 22. Oktober 2015 Melden Teilen Geschrieben 22. Oktober 2015 Ken mich mit Zertifikaten jetzt nicht so aus, aber vor zwei Tagen hatte ich das selbe Problem. In der Konsole wurde es angezeigt im Browser nicht. Lag daran, dass ich den Privaten schlüssel nicht hatte. Darauf hin mit Private Key importiert und es ging. Vllt hilft das ja.. Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 22. Oktober 2015 Autor Melden Teilen Geschrieben 22. Oktober 2015 (bearbeitet) Hast du vielleicht im IE oben einen Filter gesetzt: "Beabsichtigter Zweck" - <Alle> blub Nein, steht auf "Alle" Ken mich mit Zertifikaten jetzt nicht so aus, aber vor zwei Tagen hatte ich das selbe Problem. In der Konsole wurde es angezeigt im Browser nicht. Lag daran, dass ich den Privaten schlüssel nicht hatte. Darauf hin mit Private Key importiert und es ging. Vllt hilft das ja.. Bin auch Rookie bei Zertifikaten, aber welchen privaten Schlüssel muss ich denn haben? Ich habe das Zertifikat des Proxy-Servers installiert und das funktioniert auch. Weiter benötige ich noch eins für die korrekte Anzeige von Fehlermeldungen. Dieses habe ich auf dem Proxy mit dem entsprechenden Namen erzeugt und versuche dies nun im IE zu importieren. Und genau dieses macht Probleme. Das Merkwürdige ist aber, dass das in der Testphase vor 2 Monaten wunderbar funktionierte, da haben wir auf 10 Clients in der AD beide Zertifikate problemlos installieren und deinstallieren können. Vielleicht ein MS-Update die Ursache? Ich habe nun auch einmal versucht beide Zertifikate im Firefox zu importieren. Auch hier macht das eine wieder Probleme: Unter Zertifikate\Server scheint er den Import zu machen, sehe aber auch nachher hier das Zertifikat nicht. Versuche ich den Import über Zertifikate\Ihre Zertifikate meckert er den von @g2sm genannten fehlenden privaten Schlüssel an. Nur, welcher ist das?? bearbeitet 22. Oktober 2015 von hegl Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 22. Oktober 2015 Melden Teilen Geschrieben 22. Oktober 2015 *.cer - kodierte Zertifikate haben keinen privaten Schlüssel. Hast du vielleicht ein pfx-Zertifikat nach *.cer umbenannt und bringst damit dein System durcheinander? Zitieren Link zu diesem Kommentar
testperson 1.674 Geschrieben 22. Oktober 2015 Melden Teilen Geschrieben 22. Oktober 2015 Hi, um was für einen Proxy handelt es sich denn? Wer hat die Zertifikate denn ausgestellt? Es sollte vermutlich reichen, an den Clients die entsprechende Zertifikatskette zu importieren bzw. per GPO zu verteilen. Gruß Jan Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 22. Oktober 2015 Autor Melden Teilen Geschrieben 22. Oktober 2015 *.cer - kodierte Zertifikate haben keinen privaten Schlüssel. Hast du vielleicht ein pfx-Zertifikat nach *.cer umbenannt und bringst damit dein System durcheinander? Jepp. Bekanntes Problem? um was für einen Proxy handelt es sich denn? Wer hat die Zertifikate denn ausgestellt? Es sollte vermutlich reichen, an den Clients die entsprechende Zertifikatskette zu importieren bzw. per GPO zu verteilen. Sophos SGxxx Das Problem beim HTTPS-Scanning ist hier, dass Blockmeldungen nicht richtig dargestellt werden. Dazu erzeugt man dann auf dem System ein Zertifikat mit dem entsprechenden Namen, exportiert dieses, macht daraus ein .cer kodiertes Zertifikat und importiert das im Browser. Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 22. Oktober 2015 Melden Teilen Geschrieben 22. Oktober 2015 Jepp. Bekanntes Problem? pfx und cer sind verschiedene Codierstandards (pkcs11 und pkcs7). Du kannst das pfx-Zertifkat samt Passwort in dein Windows importieren und anschließend als DER-binary-File (ohne pw) wieder exportieren. Dann hast du ein korrektes *.cer Zitieren Link zu diesem Kommentar
testperson 1.674 Geschrieben 22. Oktober 2015 Melden Teilen Geschrieben 22. Oktober 2015 Hi, handelt es sich denn bei deinem Zertifikat (*.cer) um die RootCa oder welche Zertfikate verteilst du da? Siehe: https://www.sophos.com/en-us/support/knowledgebase/42153.aspx Gruß Jan Zitieren Link zu diesem Kommentar
zahni 550 Geschrieben 22. Oktober 2015 Melden Teilen Geschrieben 22. Oktober 2015 BTW: Der Ansatz mag zwar verständlich sein, bringt aber u.a. auch Datenschutz-Probleme mit sich, wenn man verschlüsselte Tunnel so aufbricht. Zumal das bei Webseiten, die Pinning verwenden, nicht funktionieren dürfte. Zumal User, z.B. bei Homebanking, den Zertifikaten vertrauen sollten, bzw den Fingerprint prüfen können. Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 22. Oktober 2015 Autor Melden Teilen Geschrieben 22. Oktober 2015 pfx und cer sind verschiedene Codierstandards (pkcs11 und pkcs7). Du kannst das pfx-Zertifkat samt Passwort in dein Windows importieren und anschließend als DER-binary-File (ohne pw) wieder exportieren. Dann hast du ein korrektes *.cer Das Zertifikat wird als *.pem exportiert und dann in *.cer umgewandelt - das hat ja vor ein paar Wochen funktioniert. Aber ich teste Deinen Vorschlag gerne. handelt es sich denn bei deinem Zertifikat (*.cer) um die RootCa oder welche Zertfikate verteilst du da? Nein, die "Sophos-Generated Certificate Authority" funktioniert ja. Es geht lediglich um das auf der Sophos selbst erzeugte Serverzertifikat mit einem bestimmten FQDN. BTW: Der Ansatz mag zwar verständlich sein, bringt aber u.a. auch Datenschutz-Probleme mit sich, wenn man verschlüsselte Tunnel so aufbricht. Zumal das bei Webseiten, die Pinning verwenden, nicht funktionieren dürfte. Die rechtliche Seite ist von entsprechender Stelle geprüft worden. Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 23. Oktober 2015 Autor Melden Teilen Geschrieben 23. Oktober 2015 pfx und cer sind verschiedene Codierstandards (pkcs11 und pkcs7). Du kannst das pfx-Zertifkat samt Passwort in dein Windows importieren und anschließend als DER-binary-File (ohne pw) wieder exportieren. Dann hast du ein korrektes *.cer Jepp, das funktioniert - dankeeeeeeeeeeeeeeeeeee !!! Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 23. Oktober 2015 Melden Teilen Geschrieben 23. Oktober 2015 freut mich :) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.