Windows Server Zertifizierungsstelle

[HORIA]

Servus, 

Folgende Situation

Ich habe auf einer VM einen Windows Server 22 Aufgesetzt, dieser soll als reine Zertifizierungsstelle mit Weboberfläche dienen. Ich möchte keine AD auf der VM betrieben, da bereits eine Synology NAS mit AD im Betrieb ist und auf dieser soll das Root Zertifikat mittels einer Gruppenrichtlinie lediglich verteilt werden. 

Nun mein Problem

Ich Teste das Root Zertifikat auf meinem Client mit dem Edge und dem Chrome Browser, allerdings wird dem Zertifikat obwohl ich es in den Vertrauenswürdigen Stammzertifizierungsstellen hinterlegt habe nicht vertraut. 

 

Bei weiteren Fragen stehe ich zur Verfügung.

Mit Technischen Grüße

HORIA

[_n4p_]

 

Also das Zertifikat der Zertifizierungsstelle verteilst du mittels GPO von dem NAS aus?
Wie testest du das Root Zertifikat mit einem Browser?

Normalerweise sieht man was an dem Zertifikat nicht stimmt wenn man es anzeigen lässt.

 

 

[HORIA]

Die Fehlermeldung -> NET::ERR_CERT_COMMON_NAME_INVALID

 

[Meadril]

Klingt für mich danach das die Falsche domain/ip im Zertifikat hinterlegt ist.

[MagosDominus]

01110011 01101111 01101100 01101100 00100000 01100100 01101001 01100101 00100000 01010111 01100101 01100010 01110011 01100101 01101001 01110100 01100101 00100000 01110110 01101001 01100001 00100000 01001001 01010000 00100000 01100010 01100101 01110011 01110101 01100011 01101000 01110100 00100000 01110111 01100101 01110010 01100100 01100101 01101110 00100000 01101111 01100100 01100101 01110010 00100000 01110110 01101001 01100001 00100000 01000100 01001110 01010011 00100000 01110010 01100101 01100011 01101111 01110010 01100100 00111111

 

soll die Webseite via IP besucht werden oder via DNS record?

Bearbeitet 25. September von charmanta
Für Menschen konvertiert

[HORIA]

Habe nun das Zertifikat angepasst ich bekomme nun eine neu Fehlermeldung -> NET::ERR_CERT_AUTHORITY_INVALID

 

 

[MagosDominus]

 

Es sieht aus als ob die CA nicht als gültig akzeptiert wird.

Browser Cache lehren und Neustarten Pötte das problem beheben

 

Bearbeitet 25. September von charmanta
Für Menschen konvertiert

[MiaMuh]

vor 55 Minuten schrieb MagosDominus:

01000101 01110011 00100000 01110011 01101001 01100101 01101000 01110100 00100000 01100001 01110101 01110011 00100000 01100001 01101100 01110011 00100000 01101111 01100010 00100000 01100100 01101001 01100101 00100000 01000011 01000001 00100000 01101110 01101001 01100011 01101000 01110100 00100000 01100001 01101100 01110011 00100000 01100111 11000011 10111100 01101100 01110100 01101001 01100111 00100000 01100001 01101011 01111010 01100101 01110000 01110100 01101001 01100101 01110010 01110100 00100000 01110111 01101001 01110010 01100100 00101110 00001010 00001010 01000010 01110010 01101111 01110111 01110011 01100101 01110010 00100000 01000011 01100001 01100011 01101000 01100101 00100000 01101100 01100101 01101000 01110010 01100101 01101110 00100000 01110101 01101110 01100100 00100000 01001110 01100101 01110101 01110011 01110100 01100001 01110010 01110100 01100101 01101110 00100000 01010000 11000011 10110110 01110100 01110100 01100101 00100000 01100100 01100001 01110011 00100000 01110000 01110010 01101111 01100010 01101100 01100101 01101101 00100000 01100010 01100101 01101000 01100101 01100010 01100101 01101110

Wieso in Binär schreiben? Schreib doch normal. Muss ja nicht jeder deinen Text konvertieren um dich zu verstehen.

[charmanta]

@MagosDominus bitte lesbar oder gar nicht ....

[Tratos]

kommt natürlich drauf an wie das Cert erzeugt wurde, richtiges Format gewählt, hast dir ein Global Root Cert erstellt, mit dem du dann weiter unten liegende Certificate erstellst. Wir kennen weder deine Infrastruktur noch die IP-Range oder DNS namen die abgedeckt werden sollen.

Ist bisschen schwierig aus der Ferne hier Diagnosen zu stellen, aber Certificate ist schon nicht ohne, sollte das ganze wirklich im Professionellen Umfeld laufen, würde ich mir wenn ich es selber nicht weiß externe Partner ins Haus holen. Ein Admin der im Problemfall nicht weiß wie er reagieren muss, ist wenn es drauf an kommt vielleicht nicht die Idealbesetzung.

 

[MagosDominus]

 

vor 12 Minuten schrieb Tratos:

kommt natürlich drauf an wie das Cert erzeugt wurde, richtiges Format gewählt, hast dir ein Global Root Cert erstellt, mit dem du dann weiter unten liegende Certificate erstellst. Wir kennen weder deine Infrastruktur noch die IP-Range oder DNS namen die abgedeckt werden sollen.

Ist bisschen schwierig aus der Ferne hier Diagnosen zu stellen, aber Certificate ist schon nicht ohne, sollte das ganze wirklich im Professionellen Umfeld laufen, würde ich mir wenn ich es selber nicht weiß externe Partner ins Haus holen. Ein Admin der im Problemfall nicht weiß wie er reagieren muss, ist wenn es drauf an kommt vielleicht nicht die Idealbesetzung.

 

Keine Sorge es handelt sich um eine Übungsaufgabe im Rahmen der Ausbildung

Bearbeitet 26. September von MagosDominus