myCSharp.de - DIE C# und .NET Community
Willkommen auf myCSharp.de! Anmelden | kostenlos registrieren
 
 | Suche | FAQ

» Hauptmenü
myCSharp.de
» Startseite
» Forum
» FAQ
» Artikel
» C#-Snippets
» Jobbörse
» Suche
» Regeln
» Wie poste ich richtig?
» Forum-FAQ

Mitglieder
» Liste / Suche
» Wer ist wo online?

Ressourcen
» openbook: Visual C#
» openbook: OO
» Microsoft Docs

Team
» Kontakt
» Übersicht
» Wir über uns

» myCSharp.de Diskussionsforum
Du befindest Dich hier: Community-Index » Diskussionsforum » Entwicklung » Rund um die Programmierung » IIS mit Zertifikat von Intranet-CA: Firefox hält Verbindung für unsicher
Letzter Beitrag | Erster ungelesener Beitrag Druckvorschau | Thema zu Favoriten hinzufügen

Antwort erstellen
Zum Ende der Seite springen  

IIS mit Zertifikat von Intranet-CA: Firefox hält Verbindung für unsicher

 
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »
emuuu
myCSharp.de-Mitglied

avatar-4078.jpg


Dabei seit: 04.02.2011
Beiträge: 221
Entwicklungsumgebung: VS 2017


emuuu ist offline

IIS mit Zertifikat von Intranet-CA: Firefox hält Verbindung für unsicher

Beitrag: beantworten | zitieren | editieren | melden/löschen       | Top

Guten Tag zusammen,

ich bin gerade dabei meine API & IdentityServer in einem Intranet zu testen. Beide sind via IIS gehostet, wobei ein Zertifikat von der Intranet-CA (welche auch die Active-Directory verwaltet) verwendet wird.

Chrome, IE und Edge haben damit überhaupt kein Problem: Die CA wird akzepziert, das Zertifikat gültig und die Verbindung sicher. Firefox (Quantum 57.0.1) ist allerdings anderer Meinung und sagt "Certificate Issuer Unkown".

Soweit klar, anscheinend hat FF ein Problem mit eigenen Zertifizierungsstellen. Da ich allerdings im Intranet bin kann ich schlecht eine der "offiziellen" CAs benutzen. Es ist auch überhaupt kein Problem, das Zertifikat der CA als Zertifizierungsstelle in FF zu importieren. Schon klappt alles.

Allerdings muss ich dann potenziell für jeden User an jeder Maschine diesen Import per Hand vornehmen, was mir rein vom Prinzip her nach einer schlechten Lösung klingt.

Hat da wer Erfahrungen, ob es da einen eleganteren Weg gibt? Ich mein ich werde ja nicht der erste sein, der eine gesicherte Verbindung im Intranet via Firefox aufrufen möchte. Kann mir darum nicht vorstellen, dass FF eine eigene CA grundsätzlich nur auf diesem Wege akzeptiert.

Vielen Dank und beste Grüße
emuuu
07.12.2017 17:18 E-Mail | Beiträge des Benutzers | zu Buddylist hinzufügen
Abt
myCSharp.de-Team

avatar-4119.png


Dabei seit: 20.07.2008
Beiträge: 12.902
Herkunft: Stuttgart/Stockholm


Abt ist offline

Beitrag: beantworten | zitieren | editieren | melden/löschen       | Top

Kein unbekanntes Thema beim FF.
Hättest Du gegoogelt, dann wärst Du schneller auf die Lösung gekommen als diesen Thread erstellt ;-)

Chrome und IE greifen auf die Zertifikatsverwaltung von Windows zu. Firefox (per default) nicht.
Firefox hat eine eigene, dem man das Zertifikat (oder die CA) hinzufügen muss.

Alternativ ist, dass man manuell die Settings bearbeitet, denn FF unterstützt AD CAs seit nen paar Versionen.
Setting dazu: security.enterprise_roots.enabled - ist default inaktiv.

Bestimmt gibt es jemand Schlauen im Netz, der das evtl. automatisiert für die EE gemacht hat, zB. mit certutil oder irgendeine Script.
Du findest sicher was.
07.12.2017 17:22 Beiträge des Benutzers | zu Buddylist hinzufügen
emuuu
myCSharp.de-Mitglied

avatar-4078.jpg


Dabei seit: 04.02.2011
Beiträge: 221
Entwicklungsumgebung: VS 2017

Themenstarter Thema begonnen von emuuu

emuuu ist offline

Beitrag: beantworten | zitieren | editieren | melden/löschen       | Top

Zitat von Abt:
Firefox hat eine eigene, dem man das Zertifikat (oder die CA) hinzufügen muss.

Genau an dem Punkt war ich durch googlen bereits gekommen :) Und das funktioniert soweit auch, nur leider eben per Hand und für jede Maschine und jeden Users einzeln.

Hatte/Habe aber die Hoffnung, dass vielleicht irgendwer einen Workaround hat der es mir erspart einem potenziellen DAU eine Anleitung zu schreiben wie er an seinem Arbeitsplatz die CA hinzufügt. (Ich rede hier von "Verknüpfung auf USB-Stick kopieren und sich dann beschweren, warum sich das nicht am anderen PC öffnen lässt")

Edith:
 How to: Firefox: Trust a Local Certificate Authority for All Users and Computers

Scheint auch aktuell noch zu funktionieren (mit etwas Anpassung), ist für meinen DAU-Anwendungsfall aber eher so mittel. Also doch die Anleitung..

Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von emuuu am 07.12.2017 17:32.

07.12.2017 17:27 E-Mail | Beiträge des Benutzers | zu Buddylist hinzufügen
Abt
myCSharp.de-Team

avatar-4119.png


Dabei seit: 20.07.2008
Beiträge: 12.902
Herkunft: Stuttgart/Stockholm


Abt ist offline

Beitrag: beantworten | zitieren | editieren | melden/löschen       | Top

Dann spiel ich den Ball zurück: im EE hat ein Firefox nichts zu suchen.
Firefox kann als einziger Browser bis heute nicht zentral über Group Policies verwaltet werden; außer man bastelt Scripte, die jeder Client bei jedem Logon ausführt.

Ansonsten siehe mein Hinweis (und Google!):

Zitat:
Bestimmt gibt es jemand Schlauen im Netz, der das evtl. automatisiert für die EE gemacht hat, zB. mit certutil oder irgendeine Script.
Du findest sicher was.
07.12.2017 17:30 Beiträge des Benutzers | zu Buddylist hinzufügen
Baumstruktur | Brettstruktur       | Top 
myCSharp.de | Forum Der Startbeitrag ist älter als ein Jahr.
Der letzte Beitrag ist älter als ein Jahr.
Antwort erstellen


© Copyright 2003-2019 myCSharp.de-Team | Impressum | Datenschutz | Alle Rechte vorbehalten. | Dieses Portal verwendet zum korrekten Betrieb Cookies. 19.08.2019 16:30