theonlybrand 0 Geschrieben 25. Januar 2017 Melden Teilen Geschrieben 25. Januar 2017 Hallo liebe Community, ich habe mittlerweile meine 2-Tier-PKI zum laufen gebracht, die zertifikatskette steht. Nun habe ich allerdings folgendes Problem: Wenn ich mich mit meiner VM, welche in der selben Domäne wie die Issuing CA sitzt, auf den Bereich https://pki.meinedomäne.de/certsrvverbinden will bringt er mir die Meldung: MOZILLA_PKIX_ERROR_CA_CERT_USED_AS_END_ENTITY Was genau mache ich falsch? Ich habe dem Client das Zertifikat der Issuing CA bereits in den Zertifikatspeicher der Vertrauenswürdigen Stammzertifizierungsstellen importiert, habe ich irgendwo einen Denkfehler?Danke für eure Hilfe theonlybrand Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 25. Januar 2017 Melden Teilen Geschrieben 25. Januar 2017 Dort muss das Root Cert. hinein, nicht das der Issuing CA. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 25. Januar 2017 Melden Teilen Geschrieben 25. Januar 2017 Und das der Issuing CA muß in vertrauenswürdige Zwischenzertifizierungsstellen afaik Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 25. Januar 2017 Melden Teilen Geschrieben 25. Januar 2017 Nicht unbedingt. Wenn das ausgestellte Zertifikat die ganze Kette mitbringt dann reicht das root-Cert. Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 25. Januar 2017 Melden Teilen Geschrieben 25. Januar 2017 Als Anmerkung noch: Der Firefox benutzt seinen eigenen Zertifikatsspeicher und nicht den des Betriebssystems. Zitieren Link zu diesem Kommentar
theonlybrand 0 Geschrieben 25. Januar 2017 Autor Melden Teilen Geschrieben 25. Januar 2017 Danke für eure Hilfe! Allerdings stehe ich jetzt vor einem neuen Problem: Scheinbar ist meine Zertifizierungsstelle ungültig und er hat ein Problem mit der Zertifizierungskette (net::ERR_CERT_AUTHORITY_INVALID). Wie kann das sein? Meine Zertifizierungskette erscheint als gültig wenn ich im Browser diese überprüfe, sonst würde er mir ja dann im Zertifizierungspfad anzeigen wenn er Probleme hat oder? Zitieren Link zu diesem Kommentar
Beste Lösung NorbertFe 2.061 Geschrieben 25. Januar 2017 Beste Lösung Melden Teilen Geschrieben 25. Januar 2017 Nicht unbedingt. Wenn das ausgestellte Zertifikat die ganze Kette mitbringt dann reicht das root-Cert. Ja aber dann müsste der Server sie immer ausliefern. Aber ich denke das wäre zu vernachlässigen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.