theonlybrand 0 Geschrieben 25. Januar 2017 Melden Geschrieben 25. Januar 2017 Hallo liebe Community, ich habe mittlerweile meine 2-Tier-PKI zum laufen gebracht, die zertifikatskette steht. Nun habe ich allerdings folgendes Problem: Wenn ich mich mit meiner VM, welche in der selben Domäne wie die Issuing CA sitzt, auf den Bereich https://pki.meinedomäne.de/certsrvverbinden will bringt er mir die Meldung: MOZILLA_PKIX_ERROR_CA_CERT_USED_AS_END_ENTITY Was genau mache ich falsch? Ich habe dem Client das Zertifikat der Issuing CA bereits in den Zertifikatspeicher der Vertrauenswürdigen Stammzertifizierungsstellen importiert, habe ich irgendwo einen Denkfehler?Danke für eure Hilfe theonlybrand Zitieren
Dukel 461 Geschrieben 25. Januar 2017 Melden Geschrieben 25. Januar 2017 Dort muss das Root Cert. hinein, nicht das der Issuing CA. Zitieren
NorbertFe 2.177 Geschrieben 25. Januar 2017 Melden Geschrieben 25. Januar 2017 Und das der Issuing CA muß in vertrauenswürdige Zwischenzertifizierungsstellen afaik Zitieren
Dukel 461 Geschrieben 25. Januar 2017 Melden Geschrieben 25. Januar 2017 Nicht unbedingt. Wenn das ausgestellte Zertifikat die ganze Kette mitbringt dann reicht das root-Cert. Zitieren
testperson 1.761 Geschrieben 25. Januar 2017 Melden Geschrieben 25. Januar 2017 Als Anmerkung noch: Der Firefox benutzt seinen eigenen Zertifikatsspeicher und nicht den des Betriebssystems. Zitieren
theonlybrand 0 Geschrieben 25. Januar 2017 Autor Melden Geschrieben 25. Januar 2017 Danke für eure Hilfe! Allerdings stehe ich jetzt vor einem neuen Problem: Scheinbar ist meine Zertifizierungsstelle ungültig und er hat ein Problem mit der Zertifizierungskette (net::ERR_CERT_AUTHORITY_INVALID). Wie kann das sein? Meine Zertifizierungskette erscheint als gültig wenn ich im Browser diese überprüfe, sonst würde er mir ja dann im Zertifizierungspfad anzeigen wenn er Probleme hat oder? Zitieren
Beste Lösung NorbertFe 2.177 Geschrieben 25. Januar 2017 Beste Lösung Melden Geschrieben 25. Januar 2017 Nicht unbedingt. Wenn das ausgestellte Zertifikat die ganze Kette mitbringt dann reicht das root-Cert. Ja aber dann müsste der Server sie immer ausliefern. Aber ich denke das wäre zu vernachlässigen. Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.