Eigenes SSL Zertifikat ungültig

Die wilde Inge · 11. Juli 2015

Hallo,

ich habe mir ein NAS zusammen gebaut und die Möglichkeit geschaffen per Internet darauf zu zugreifen, das klappt auch ohne Probleme. Ich habe das mit dem IIS-Manager von Windows eingerichtet. Nun besteht dort die Möglichkeit ein eigenes SSL Zertifikat zu generieren welches man dann verteilen kann. Um eben eine ftps Verbindung zu erzwingen. Das Problem ist, dass das Zertifikat welches ich selber erstellt habe am Ende auf dem Fremd-PC als ungültig angezeigt wird. Ich versuche mich zu verbinden und kriege dann die Fehlermeldung, dass das ZErtifikat ungültig ist. Eine Ausnahmeregel kann ich nicht hinzufügen. Das manuelle Installieren in den "vertrauenswürdige Stammzertifikate" hat keine Abhilfe geschaffen.

Hat irgendjemand ne Ahnung wieso mein eigenes Zertifikat nicht funktioniert?

Im ISS ist es für die ftp-Site entsprechend eingestellt.

Nutze Win8.1

Yuuri · 11. Juli 2015

Es steht halt keine CA dahinter, die das ausgestellt hat. Lies dich da ein, dann weißt du warum. Prinzipiell ist es vollkommen egal.

miac · 11. Juli 2015

Hier ist eine Anleitung, zwar für ein anderes Produkt, aber das sollte egal sein.
http://www.intra2net.com/de/support/manual/administrator/base-ssl-encryption-certinstall.php

Nilson · 11. Juli 2015

Weil du es ausgestellt hast und keine offizielle Stelle. Bei StartSSL kannst du ein offizielles Zertifikat erstellen ,dass auch von Browsern akzeptiert wird.

miac · 11. Juli 2015

Ein eigenes ausgestelltes Zertifikat geht auch, habe ich auch schon gemacht. Muß man aber auf allen beteiligten Rechnern selber installieren.

Nilson · 11. Juli 2015

Ja klar, ist aber aufwendiger und geht dann auch nur auf Rechnern auf denen es installiert ist. Für den Zugriff über das Internet ist das meist nicht der Fall. Da ist so ein Kategorie 1 Zertifikat schon recht praktisch.

Dasun · 11. Juli 2015

Du kannst es dir beispielhaft so vorstellen:

Ein SSL Zertifikat ist so etwas wie eine Verschlüsselung inkl Personalausweis.

Wenn jetzt jemand zu dir kommt und fragt: Bist du Arnold Schwarzenegger und du sagst, ja, das habe ich selbst auf meinen Personalausweis gelesen und kann das bestätigen. Dann muss er es dir glauben, aber es ist nicht nachgewiesen.

Und das in etwa hast du gemacht, du hast deine eigene Identität selbst bestätigt.

Bei offiziellen Zertifikaten meldet man sich bei einer vertrauenswürdigen stelle, welche einem die angegebene Identität verifizieren:

Das ist als wenn du zur Polizei hin gehst, deinen Perso zeigst und die anderen bestätigen, ja dass ist Herr Mustermann, wir haben das überprüft.

Wieso der ganze Prozess:

Ganz einfach, wenn jeder seine eigene Identität bestätigen könnte, dann könnte man beispielhaft daherkommen und behaupten, man sei Microsoft, Adobe, Avira, ... , immerhin habe man es sich selber bewiesen. Du verstehst sicher, dass dies nicht gut wäre.

Das ist dann auch die Meldung, welche du bekommst. Das Zertifikat ist zwar echt, aber die im angegebene Zertifikat genannte Person/ juristische Person ist nicht von einer glaubhaften stelle bestätigt worden.

Die wilde Inge · 11. Juli 2015

Danke für die vielen Antworten. Wie ein SSL Zertifikat funktioniert, weiß ich natürlich aber trotzdem für die gute Erklärung.

~~~~

Das hier trifft es auf den Kopf, leider hast du nur mein Problem noch mal beschrieben, aber nicht die Lösung

miac schrieb:
Ein eigenes ausgestelltes Zertifikat geht auch, habe ich auch schon gemacht. Muß man aber auf allen beteiligten Rechnern selber installieren.

Genau das ist was ich machen möchte, das Zertifikat selber auf den anderen Rechner installieren.
Ich wollte gar keinen CA dahinter haben. Das Zertifikat wird tatsächlich nur von mir genutzt bzw. den LEuten, denen ich es per Hand gegeben habe.

Ergänzung (11. Juli 2015)

Die Tatsache, dass ich das Zertifikat passwortgeschützt per Hand weiter gegeben habe und mein Server eben dieses Zertifikat ja auch abfragt, sollte doch langen. Ich verstehe daher nicht, wieso ein selbst ausgestelltes Zertifikat nicht funzt. Ich will damit ja nur auf mich selber zugreifen.

miac · 11. Juli 2015

Selbst erstellte Zertifikate sind auch gar nicht so unüblich. Große Firmen haben sogar einen eigenes Trust Center für sowas (meist für eMail).

Edit:
Beispiel: http://trustcenter.bsh-group.com/

Die wilde Inge · 11. Juli 2015

jap. Wenn ich sowas schon selber erstellen kann, dann muss es auch funktionieren.

Liegt das vllt am Firefox? Ich habe eben gelesen, dass der ne andere Zertifizierungsmethode hat - oder so in diese Richtung. Vllt liegts ja nur am Browser ...

Ergänzung (11. Juli 2015)

teste ich gleich mal mit nem anderen

Tom_123 · 11. Juli 2015

Hi,

Firefox und Opera verwendet nicht den Windows Zertifikatsspeicher, sondern eigene Speicher. In diesen muss das Cert ebenfalls importiert werden.

Gruß

MaverickM · 11. Juli 2015

Nilson schrieb:
Bei StartSSL kannst du ein offizielles Zertifikat erstellen ,dass auch von Browsern akzeptiert wird.

Kann ich nur empfehlen. Nutze ich auch für meine DynDNS Domain.

Die wilde Inge · 12. Juli 2015

Danke, werde ich gleich morgen testen

Ergänzung (12. Juli 2015)

ich stelle mich anscheind zu dumm an.

Mein eigenes ZErtifikat direkt bei Firefox reinzuladen hat leider gar nichts gebracht und bei StartSSL kann ich offensichtlich auch kein Zertifikat erstellen, bzw das erstellte bringt mir nichts, weil ich das im p12-Format kriege, im IIS aber nur .pfx importieren kann öÔ

MaverickM · 12. Juli 2015

Das Zertifikat von StartSSL wird auch am Server importiert, nicht im Firefox.

miac · 12. Juli 2015

So ein öffentliches Zertifikat sollte von Browsern automatisch als valide erkannt werden.

lakekeman · 12. Juli 2015

Die wilde Inge schrieb:
Danke, werde ich gleich morgen testen

Ergänzung (12. Juli 2015)

ich stelle mich anscheind zu dumm an.

Mein eigenes ZErtifikat direkt bei Firefox reinzuladen hat leider gar nichts gebracht und bei StartSSL kann ich offensichtlich auch kein Zertifikat erstellen, bzw das erstellte bringt mir nichts, weil ich das im p12-Format kriege, im IIS aber nur .pfx importieren kann öÔ

Einfach hier konvertieren.

Die wilde Inge · 12. Juli 2015

Falcon schrieb:
Das Zertifikat von StartSSL wird auch am Server importiert, nicht im Firefox.

bitte genauer lesen: " im IIS aber nur .pfx importieren kann"

Danke für den Tipp mit dem Konvertieren, auf den Gedanken wäre ich gar nicht gekommen

MaverickM · 13. Juli 2015

Nun, ich dachte das wäre klar gewesen, dass es erst ins entsprechende Format gebracht werden muss...

Das ganze lässt sich auch händisch machen, ist glaube ich vertrauenswürdiger, als irgendein Online-Konverter...

lakekeman · 13. Juli 2015

Falcon schrieb:
Das ganze lässt sich auch händisch machen, ist glaube ich vertrauenswürdiger, als irgendein Online-Konverter...

Hättest du mal auf den Link geklickt wäre dir aufgefallen, dass dort auch genaue Anleitungen (+Empfehlung) zum selbst konvertieren sind

Wobei ich für den Heimgebrauch den Online Konverter auch unkritisch sehe. Aber das kann ja jeder machen wie er möchte

Die wilde Inge · 13. Juli 2015

also online konverter geht so nicht oder ich stelle mich wieder zu dussleig an. Ich kann aus p12 nur PEM machen und aus PEM kann ich kein pfx machen, da ich ein Key File brauche - ich habe nur kA was das sein soll oder woher ich das haben soll.

Dödüm

Eigenes SSL Zertifikat ungültig

Commander

Fleet Admiral

miac

Gast

Grand Admiral

miac

Gast

Grand Admiral

Lieutenant

Commander

miac

Gast

Commander

Commander

20k Fleet Admiral Pro

Commander

20k Fleet Admiral Pro

miac

Gast

Lt. Junior Grade

Commander

20k Fleet Admiral Pro

Lt. Junior Grade

Commander

Ähnliche Themen