Apache Friends Support Forum

[oneil]

Hallo zusammen,

zuerst ich bin totaler Anfänger was SSL und Co betrifft, daher kommt sicher die ein oder andere
richtig dumme Frage.

Ich betreibe ein Xampp 1.8.3 und lasse da ein OS-Ticketsystem laufen.
Um die Logindaten nicht im Klartext zu übertragen (da AD Anbindung), habe ich nun alles auf HTTPS umgebogen und ein Zertifikat erstellt.

Wie kann ich es den hinbiegen, das dieses Zertifikat an allen Clients automatisch durchläuft?
Muss ich es per GPO verteilen?
Wieso meldet der IE mir immer Zertifikatsfehler? Liegt es daran das ich es selbst erstellt habe oder gibt es ein anderes Problem?

Hat den jemand nützliche Tipps zu dem Thema, ihr wisst ja nun was ich im vorhabe


Danke und Gruß

[WilliL]

Um die Logindaten nicht im Klartext zu übertragen (da AD Anbindung), habe ich nun alles auf HTTPS umgebogen und ein Zertifikat erstellt.
...
Wieso meldet der IE mir immer Zertifikatsfehler? Liegt es daran das ich es selbst erstellt habe oder gibt es ein anderes Problem?

hallo oneil,
jeder Browser meldet bei einem selbsterstellter Zertifikat einen Fehler, sofern es nicht von einer Zertifizierungsstelle gezeichnet ist.
http://www.startssl.com/?app=1 sieh dir das mal an

[glitzi85]

Prinzipiell gibt es bei einer Windows-Domäne die Möglichkeit eine eigene CA zu verwenden. Ist aber nur zu empfehlen wenn du dich damit einigermaßen auskennst, da Webserver-Zertifikate ausstellen leider nicht ohne spezielle Konfiguration geht.
Die ganzen öffentlichen CAs (kostenlos wären StartSSL wie von WilliL vorgeschlagen oder CACert, wobei du hier das RootCA-Cert per GPO verteilen müsstest) akzeptieren allerdings IMHO nur Public-Domains. Wenn du also einen internen Domänennamen hast (irgendwas.local oder so) kannst du dafür kein Zertifikat erstellen lassen.

Alternativ kannst du dir auch eins der vielen OpenSSL-Tutorials reinziehen. Wichtig ist nur dass du ein Root-Zertifikat hast mit dem du dein Webserver-Zertifikat signierst. Das Root-Zertifikat (und zwar nur das Zertifikat, nicht den Key!) kannst du dann per GPO verteilen.

[oneil]

moin, danke schonmal für die infos,

ich habe am wochenende abends rumgespielt und das zertifikat mit unserem eigenen ca signiert ... das klappt auch soweit super, nur meckert der firefox noch rum ...
jetzt habe ich aus meiner sicht 2 möglichkeiten

1. damit leben und den leuten ne anweißung schreiben
2. die kiste in die dmz, domain verpassen und ein zertifikat kaufen

eine extro gpo für firefox möchte ich ehr ungern machen um so das zertifikat auszurollen.
oder hat jemand noch eine idee zu dem thema?

danke und gruß

[glitzi85]

Tja, die Erfahrung hab ich auch schon leidvoll gemacht. Leider (oder zum Glück, je nachdem) verwendet Firefox seinen eigenen CertStore.
Wenn ich mich recht erinnere hab ich das damals mittels certutil im Login-Script gelöst.

Das ist einer der Gründe warum Firefox in Firmen nicht offiziell supported wird. Versuch mal Kerberos-SSO damit zu machen, dann wird's richtig lustig....