Abacus08 1 Geschrieben 3. März 2021 Melden Teilen Geschrieben 3. März 2021 (bearbeitet) Hallo Zusammen, ich habe das Problem, dass mein Webserver-Zertifikat (ausgestellt mit meiner WindowsCA) im Chrome nicht akzeptiert wird. Wenn ich nur den Servernamen wähle, erhalte ich die Meldung NET::ERR_CERT_WEAK_SIGNATURE_ALGORITHM. Wenn ich den Servernamen incl. Domäne angebe, dann erhalte ich die Meldung: NET::ERR_CERT_COMMON_NAME_INVALID. Nach Recherchen im Internet habe ich die Info gefunden, dass ich den DNS-Namen ins Zertifikat aufnehmen muss. Leider hat auch dies nicht zu einem besseren Ergebnis geführt. Ich vermute, dass die Meldung NET::ERR_CERT_WEAK_SIGNATURE_ALGORITHM generiert wird, da das ausgestellte ROOT-Zertifikat noch auf SHA1 ausgestellt wure. Leider wird das Zertifikat nicht auf SHA256 aktualisiert, obwohl ich bereits versucht habe, dass Zertifikat zu erneuern. Ich würde mich freuen, wenn Ihr mir einen Tipp geben könntet, wie ich das Problem lösen kann. Schönen Abend Willi bearbeitet 3. März 2021 von Abacus08 Zitieren Link zu diesem Kommentar
NilsK 2.968 Geschrieben 4. März 2021 Melden Teilen Geschrieben 4. März 2021 Mom, Du musst zuerst die ganze CA-Kette auf SHA-256 umstellen. Und dann musst du das Zertifikat korrekt ausstellen, sodass der Name drinsteht, der tatsächlich von Client verwendet wird. Gruß, Nils Zitieren Link zu diesem Kommentar
testperson 1.728 Geschrieben 4. März 2021 Melden Teilen Geschrieben 4. März 2021 Hi, ich bin mir bei Chrome nicht sicher und finde auf die Schnelle nichts Muss Chrome nicht noch "beigebracht" werden den "Enterprise Roots", also dem Windows Zertifikatsspeicher zu vertrauen, oder muss zumindest die RootCA in den Trust Store vom Chrome? Gruß Jan Zitieren Link zu diesem Kommentar
Dukel 457 Geschrieben 4. März 2021 Melden Teilen Geschrieben 4. März 2021 Nein, Chrome macht das von sich aus. Firefox muss man das beibringen. 1 Zitieren Link zu diesem Kommentar
Nobbyaushb 1.484 Geschrieben 4. März 2021 Melden Teilen Geschrieben 4. März 2021 vor 10 Stunden schrieb Abacus08: Leider wird das Zertifikat nicht auf SHA256 aktualisiert, obwohl ich bereits versucht habe, dass Zertifikat zu erneuern. Was geht nicht? Was wurde wie versucht? Zitieren Link zu diesem Kommentar
zahni 558 Geschrieben 4. März 2021 Melden Teilen Geschrieben 4. März 2021 Neben dem SHA256-Thema muss die das Zertifikat mit einem Common Name vom Typ DNS versehen werden werden. Zitieren Link zu diesem Kommentar
Abacus08 1 Geschrieben 4. März 2021 Autor Melden Teilen Geschrieben 4. März 2021 Hallo NilsK, könntest Du mir einen Tipp geben, wie ich die ganze CA-Kette auf SHA-256 umstellen kann? Gruß Willi vor 7 Stunden schrieb zahni: Neben dem SHA256-Thema muss die das Zertifikat mit einem Common Name vom Typ DNS versehen werden werden. Sowohl DNS als auch den Common Name habe ich eingepflegt. Das hat aber leider nicht dazu geführt, dass das Webzertifikat im Chromebrowser korrekt erkannt wird. Im IE funktioniert es ohne "Fehler". Deshalb gehe ich zur Zeit davon aus, dass NilsK recht hat und ich noch die ganze CA-Kette auf SHA-256 umstellen muss. Leider habe ich aber nichts gefunden, wie ich dies durchführen kann. Zitieren Link zu diesem Kommentar
NorbertFe 2.089 Geschrieben 4. März 2021 Melden Teilen Geschrieben 4. März 2021 vor 18 Minuten schrieb Abacus08: könntest Du mir einen Tipp geben, wie ich die ganze CA-Kette auf SHA-256 umstellen kann? Indem du deine CA entsprechend konfigurierst. Das Rootzert muss also auch SHA2 haben. Bspw: https://www.frankysweb.de/migration-stammzertifizierungsstelle-sha1-zu-sha256-hashalgorithmus/ Zitieren Link zu diesem Kommentar
Abacus08 1 Geschrieben 4. März 2021 Autor Melden Teilen Geschrieben 4. März 2021 (bearbeitet) vor 1 Stunde schrieb NorbertFe: Indem du deine CA entsprechend konfigurierst. Das Rootzert muss also auch SHA2 haben. Bspw: https://www.frankysweb.de/migration-stammzertifizierungsstelle-sha1-zu-sha256-hashalgorithmus/ Hallo NorbertFe, den Hashalgorithmus der CA habe ich bereits auf SHA-256 geändert. Da aber bereits ausgestellte Zertifikate ihre Gültigkeit behalten, waren/sind die "alten" Zertifikaten noch immer auf SHA1 eingestellt. Auch nach "Erneuerung" des Zertifikats habe ich immer noch SHA1 und nicht SHA-256. Keine Ahnung, warum die "Erneuerung" die Änderung für das Rootzertifikat nicht "annimmt". bearbeitet 4. März 2021 von Abacus08 Zitieren Link zu diesem Kommentar
NilsK 2.968 Geschrieben 4. März 2021 Melden Teilen Geschrieben 4. März 2021 Moin, Spricht etwas dagegen, die CA ordentlich komplett neu zu machen? Geht oft schneller, als etwas Altes zu reparieren. Gruß, Nils Zitieren Link zu diesem Kommentar
NorbertFe 2.089 Geschrieben 4. März 2021 Melden Teilen Geschrieben 4. März 2021 vor 2 Stunden schrieb Abacus08: Keine Ahnung, warum die "Erneuerung" die Änderung für das Rootzertifikat nicht "annimmt". Naja mit den paar Infos hab ich auch keine Ahnung. ;) Zitieren Link zu diesem Kommentar
Abacus08 1 Geschrieben 10. März 2021 Autor Melden Teilen Geschrieben 10. März 2021 Am 4.3.2021 um 22:09 schrieb NilsK: Moin, Spricht etwas dagegen, die CA ordentlich komplett neu zu machen? Geht oft schneller, als etwas Altes zu reparieren. Gruß, Nils Hallo Nils, wir haben eine extrem hohe Anzahl von Entwicklerzertifikaten und deshalb wäre es sehr aufwändig, die Zertifikatsstelle neu einzurichten. Gruß Willi Zitieren Link zu diesem Kommentar
NilsK 2.968 Geschrieben 10. März 2021 Melden Teilen Geschrieben 10. März 2021 Moin, ich würde das trotzdem als Option nicht ausschließen. Bestehende Zertifikate kann man gut auf einer Alt-CA solange "laufen" lassen, wie sie noch gültig sind. Da braucht man ja eigentlich nur die Pflege der CRLs, neue Zertifikate stellt diese CA dann nicht mehr aus. Alles Neue lässt man dann von einer neuen, gut gemachten und aktuellen CA bedienen. Und igendwann ist die alte CA obsolet und man entfernt sie - meist eine Sache von Monaten, nicht von Jahren. Wieviel ist denn "extrem hohe Anzahl"? Gruß, Nils Zitieren Link zu diesem Kommentar
zahni 558 Geschrieben 10. März 2021 Melden Teilen Geschrieben 10. März 2021 Kurze Ergänzung: Soweit ich mich erinnere, muss der Hash-Algorithmus beim Root-Zertifikat nicht geändert werden, da von Root-Zertifikaten nur die Signatur verwendet wird. Wohl aber bei Intermediate-CA's. Wenn man bereits eine Intermediate-CA verwendet, zeigt es auch einen möglichen Migrationsweg: Für neue Zertifikate eine neue Intermediate-CA mit SHA2 aufsetzen. https://blog.ahasayen.com/how-to-migrate-your-certification-authority-hashing-algorithm-from-sha-1-to-sha-2/ Zitieren Link zu diesem Kommentar
NilsK 2.968 Geschrieben 10. März 2021 Melden Teilen Geschrieben 10. März 2021 Moin, vor 8 Minuten schrieb zahni: Für neue Zertifikate eine neue Intermediate-CA mit SHA2 aufsetzen naja, aber das ist ja das, wo der Aufwand liegt. Wenn ich dabei bin, kann ich doch besser die ganze PKI erneuern, die Root erzeugt ja nahezu keinen Mehraufwand. In bestehenden Umgebungen ist sie aber meist "schlecht" aufgesetzt, sodass man sie besser gleich neu macht. Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.