Eigene SSL Zertifikate & Root CA

Debian macht sich hervorragend als Web- und Mailserver. Schau auch in den " Tipps und Tricks"-Bereich.
Antworten
KodaC
Beiträge: 15
Registriert: 11.12.2017 08:15:36

Eigene SSL Zertifikate & Root CA

Beitrag von KodaC » 11.12.2017 20:08:55

Guten Abend

Für einen localen Debianserver welcher diverse Domains mit einer fiktiven TLD verwalten soll möchte ich gerne eigene Zertifikate und ein Root CA erstellen welches ich für alle Zertifikate verwende. Es sollen immer Wildcard Zertifikate sein. Könnt ihr mir sagen was ich falsch mache? Die Zertifikate werden generiert, und auch im Browser verwendet. Wenn ich das root-ca.crt jedoch in Windows einfüge, ist die Seite trotzdem als unsicher Markiert (http://www.thewindowsclub.com/manage-tr ... es-windows).
Als Beispiel nehmen wir mal domain.local und als Firmenname verwende ich FirmenName

root-ca:
openssl genrsa -out /etc/ssl/root-ca.key 4096 -des3
openssl req -x509 -new -nodes -key /etc/ssl/root-ca.key -days 720 -out /etc/ssl/root-ca.crt (Unter Organization Name verwende ich FirmenName und bei FQDN ebenfalls FirmenName.)

Nun erstelle ich den Privatkey und das Zertifikat:
openssl genrsa -out /etc/ssl/local.domain.key 4096
openssl req -new -key /etc/ssl/local.domain.key -out /etc/ssl/local.domain.csr (Unter Organization Name verwende ich FirmenName und bei FQDN domain.local, habe aber auch schon FirmenName versucht. Passwort verwende ich keines.)

Vielleicht sieht jemand wo mein Überlegungsfehler ist, oder was ich falsch mache das ich nicht das root-ca in Windows importieren kann so das er die Seiten auf dem Debianserver als "sicher" kennzeichnet.

Gruss und Danke

Koda

Benutzeravatar
weshalb
Beiträge: 1265
Registriert: 16.05.2012 14:19:49

Re: Eigene SSL Zertifikate & Root CA

Beitrag von weshalb » 11.12.2017 20:17:52

Du musst die schon richtig in Windows importieren.

KodaC
Beiträge: 15
Registriert: 11.12.2017 08:15:36

Re: Eigene SSL Zertifikate & Root CA

Beitrag von KodaC » 11.12.2017 20:23:48

Also habe ich es nur in Windows falsch installiert? Ich habe das per rechtsklick installiert, und habe es auch im mmc bei den Vertrauenswürdigen Herausgebern importiert ohne erfolg

Benutzeravatar
weshalb
Beiträge: 1265
Registriert: 16.05.2012 14:19:49

Re: Eigene SSL Zertifikate & Root CA

Beitrag von weshalb » 11.12.2017 21:25:53

Schau mal unter Certmgr.msc >Vertrauenswürdige Stammzertifizierungsstellen> Zertifikate ob sich da dein Zertifikat befindet, ansonsten importieren.

KodaC
Beiträge: 15
Registriert: 11.12.2017 08:15:36

Re: Eigene SSL Zertifikate & Root CA

Beitrag von KodaC » 11.12.2017 21:33:54

Ja ist drin. Habe es wie oben beschrieben auch so eingefügt.

Benutzeravatar
spiralnebelverdreher
Beiträge: 1294
Registriert: 23.12.2005 22:29:03
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Frankfurt am Main

Re: Eigene SSL Zertifikate & Root CA

Beitrag von spiralnebelverdreher » 11.12.2017 22:09:48

KodaC hat geschrieben: ↑ zum Beitrag ↑
11.12.2017 20:08:55
Die Zertifikate werden generiert, und auch im Browser verwendet.
Bist du dir sicher, dass die im Browser auch verwendet werden? Meiner unzuverlässigen Erinnerung nach benutzen manche Browser eine eigene Zertifikatverwaltung und kümmern sich nicht um andere Quellen.

Benutzeravatar
weshalb
Beiträge: 1265
Registriert: 16.05.2012 14:19:49

Re: Eigene SSL Zertifikate & Root CA

Beitrag von weshalb » 11.12.2017 22:11:01

Muss man manchmal öfter machen und neustarten.
spiralnebelverdreher hat geschrieben: ↑ zum Beitrag ↑
11.12.2017 22:09:48
KodaC hat geschrieben: ↑ zum Beitrag ↑
11.12.2017 20:08:55
Die Zertifikate werden generiert, und auch im Browser verwendet.
Bist du dir sicher, dass die im Browser auch verwendet werden? Meiner unzuverlässigen Erinnerung nach benutzen manche Browser eine eigene Zertifikatverwaltung und kümmern sich nicht um andere Quellen.
Zumal, wenn man einmal eine Ausnahme im Browser definiert, sollte das auch erledigt sein.

Benutzeravatar
spiralnebelverdreher
Beiträge: 1294
Registriert: 23.12.2005 22:29:03
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Frankfurt am Main

Re: Eigene SSL Zertifikate & Root CA

Beitrag von spiralnebelverdreher » 11.12.2017 22:26:41

weshalb hat geschrieben: ↑ zum Beitrag ↑
11.12.2017 22:11:01
Muss man manchmal öfter machen und neustarten.
spiralnebelverdreher hat geschrieben: ↑ zum Beitrag ↑
11.12.2017 22:09:48
KodaC hat geschrieben: ↑ zum Beitrag ↑
11.12.2017 20:08:55
Die Zertifikate werden generiert, und auch im Browser verwendet.
Bist du dir sicher, dass die im Browser auch verwendet werden? Meiner unzuverlässigen Erinnerung nach benutzen manche Browser eine eigene Zertifikatverwaltung und kümmern sich nicht um andere Quellen.
Zumal, wenn man einmal eine Ausnahme im Browser definiert, sollte das auch erledigt sein.
Das ist richtig. Aber ist "in Windows importiert und installiert" automatisch gleichbedeutend mit "im Kontext des Browsers bekannt"?

Benutzeravatar
weshalb
Beiträge: 1265
Registriert: 16.05.2012 14:19:49

Re: Eigene SSL Zertifikate & Root CA

Beitrag von weshalb » 11.12.2017 23:48:46

spiralnebelverdreher hat geschrieben: ↑ zum Beitrag ↑
11.12.2017 22:26:41
weshalb hat geschrieben: ↑ zum Beitrag ↑
11.12.2017 22:11:01
Muss man manchmal öfter machen und neustarten.
spiralnebelverdreher hat geschrieben: ↑ zum Beitrag ↑
11.12.2017 22:09:48


Bist du dir sicher, dass die im Browser auch verwendet werden? Meiner unzuverlässigen Erinnerung nach benutzen manche Browser eine eigene Zertifikatverwaltung und kümmern sich nicht um andere Quellen.
Zumal, wenn man einmal eine Ausnahme im Browser definiert, sollte das auch erledigt sein.
Das ist richtig. Aber ist "in Windows importiert und installiert" automatisch gleichbedeutend mit "im Kontext des Browsers bekannt"?
Das ist wohl wahr. Im Browser sollte, falls er nichts anderes benutzt (bei mir wäre da noch Outlook), natürlich reichen. Hatte das überlesen.

Edit: "Der IE und Chrome benutzen den Windows Zertifikatsstore certmgr.msc, Firefox hingegen bringt seinen eigenen Zertifikatsstore mit. "

Sollte also, je nach verwendeten Browser, doch darüber einzustellen sein.

KodaC
Beiträge: 15
Registriert: 11.12.2017 08:15:36

Re: Eigene SSL Zertifikate & Root CA

Beitrag von KodaC » 12.12.2017 07:34:26

Vielen Dank an alle. Das Problem war das ich beim FQDN nur domain.local angegeben habe und nicht *.domain.local. Somit war die Domain nicht korrekt.

Antworten