Ich habe eine Stamm- und Zwischenzertifizierungsstelle mit MS2012 konfiguriert. Beim Zugriff auf den Apache-Webserver mit dem von der Zertifizierungsstelle ausgestellten SSL-Zertifikat ist ein Fehler aufgetreten.
Der Fehler lautet: „Angreifer versuchen möglicherweise, Ihre Informationen von 192.168.56.74 zu stehlen.“ Ich bin der Anleitung zur Apache-SSL-Konfiguration gefolgt und habe Folgendes in ssl.conf SSLCertificateChainFile /root/ssl/elabCA.pem hinzugefügt.
Die folgende Meldung wird unter „Erweitert“ vom Chrome-Browser angezeigt. 192.168.56.74 verwendet normalerweise Verschlüsselung, um Ihre Informationen zu schützen. Als Google Chrome dieses Mal versuchte, eine Verbindung zu 192.168.56.74 herzustellen, sendete die Website ungewöhnliche und falsche Anmeldeinformationen zurück.
Ist das schon mal jemandem passiert? Ich wäre dankbar, wenn Sie mir ein paar Hinweise geben könnten, ob es an der Apache-Konfiguration oder der CA-Konfiguration liegt. Ich kann die Zertifikatsinformationen mit openssl x509 -text -noout -in xx.cer teilen.
Antwort1
Sie können den ganzen Tag lang sämtliche Stamm- und Zwischenzertifizierungsstellen erstellen und daraus Zertifikate für Ihre Server ausstellen. Der Browser, den Sie für die Verbindung mit diesen Servern verwenden, wird diesen Zertifikaten jedoch nicht vertrauen, bis er ausdrücklich dazu aufgefordert wird.
Sie müssen entweder die Stammzertifizierungsstelle in den vertrauenswürdigen Stammspeicher des Clients/Browsers importieren oder das Serverzertifikat von einer öffentlichen Zertifizierungsstelle signieren lassen, d. h. von einer Zertifizierungsstelle, die sich bereits im vertrauenswürdigen Stammspeicher Ihres Clients/Browsers befindet.
Wenn dies für eine öffentlich zugängliche Site ist, können Sie kostenlose signierte Zertifikate erhalten, denen die meisten Browser von letsencrypt.org vertrauen. Wenn dies für eine interne Site ist und diese normalerweise von Benutzern von PCs angezeigt wird, die Sie über einen Domänencontroller verwalten, können Sie Ihre Stammzertifizierungsstelle über die Domänenrichtlinie an sie weitergeben.