cool IT Team-Blog

Importieren eines HTTPS Root Zertifikates von einem vertrauten Aussteller

Wenn mit dem Internet Explorer eine Webseite über eine gesicherte Verbindung (HTTPS) aufgerufen wird, zeigt der Internet Explorer eine Warnung an, falls er dem Aussteller des SSL-Zertifikates nicht vertraut:

 image002.jpg

Ist der Betreiber der Webseite bekannt und weiß man, dass dieser keine bösen Absichten hegt, kann, kann man durch Anklicken des Links „Continue to this website (not recommended)“ die Webseite trotz der Warnung aufrufen.

Will man diesem Zertifkat immer vertrauen und die oben angezeigte Warnung dauerhaft unterdrücken, so kann man das zu diesem Zertifkat gehörende Stammzertifikat in den lokalen Zertifikats Store im Ordner für die vertrauenswürdigen Stammzertifizierungsstellen importiert.

Anmerkung: Zum Importieren des Stammzertifikats muss der Internet Explorer mit administrativen Rechten ausgeführt werden. Falls Sie also an Ihrem Rechner nicht als Administrator angemeldet oder Windows UAC (User Access Control) aktiviert ist, müssen Sie den Internet Explorer durch Anklicken mit der rechten Maustaste und Auswahl von "Als Administrator ausführen" starten.

Zunächst muss die Zertifikatswarnung durch Anklicken des Links „Continue to this website (not recommended)” übersprungen werden, damit die Seite geladen wird. Der Internet Explorer färbt die Adressleiste rot ein und meldet am rechten Rand der Adressleiste den Zertifikatsfehler:

image004.jpg 

Anmerkung: Der Internetexplorer zeigt evtl. den Zertifikatsfehler nicht an, wenn auf der Webseite Elemente eingebettet sind, die über HTTP (anstatt HTTPS) angesprochen werden und die Abfrage, ob nur die sicher übertragenen Elemente angezeigt werden sollen, mit „Nein“ quittiert wurde. In diesem Fall muss die Webseite mit F5 neu gelden und die Abfrage mit „Ja“ quittiert werden.

Durch Anklicken von „Certifcate Error“ in der Adressleiste wird folgende Information angezeigt:
 
image006.jpg 

Will man dem Zertifikat vertrauen, muss nun auf „View certificates“ geklickt werden. Es wird folgender Dialog geöffnet:

image007.png 

Anmerkung: Damit die Zertifkatswarnung unterdrückt werden kann, muss hier der angezeigte URL unter „Issued to“ mit der Adresse im Internet Explorer übereinstimmen. In unserem Beispiel bedeutet „*.cool-IT.at“, dass das Zertifiakt für alle Webseiten passt, deren Domain mit „cool-IT“ enden (also z.B www.cool-it.at). Weiters darf der Gültigkeitszeitraum nicht abgelaufen sein. Sind diese Bedingungen nicht erfüllt, so kann die Zertifikatswarnung nicht unterdrückt werden. In diesem Fall wendet man sich am besten an den Aussteller des Zertifikats.

Unter dem Register „Certification Path“ findet man im Root-Knoten das zu diesem Zertifikat passende Stammzertifikat:

image008.png 

Dieses Zertifikat muss nun in den Ordner für die verstrauenswürdigen Stammzertifizierungsstellen importiert werden. Dazu ist das Stammzertifkat auszuwählen und auf den Button „View Certificate“ zu klicken.

image009.png 

Auch hier gelten für eine erfolgreiche Deaktivierung der Zertifaktsmeldung die Bedingen für „Issued to“ und dem Gültigkeitszeitraum wie bereits weiter oben beschrieben.

In obigen Dialog ist nun auf den Button „Install Certificate…“ zu klicken, woraufhin sich der Certificate Import Wizard öffnet:

image010.png 

Nach Anklicken von „Next“ gelangt man auf folgende Seite, auf der nun der Zielordner „Trusted Root Certification Authorities“ für dieses Stammzertifkat ausgewählt werden muss:

image011.png 

Mit „Next“ gelangt man auf die letzte Seite des Import Wizard:

image012.png 

Mit „Finish“ wird das Zertifkat in den gewählten Ordner importiert. Zuvor gibt der Wizard noch eine Sicherheits-Warnung aus, die „Yes“ quittiert werden muss:

image013.png 

Der Wizard schließt den erfolgreichen Import Vorgang mit folgender Meldung ab:

image014.png

Bevor der Internet Explorer der soeben importierten Zertifizierungsstelle vertraut muss er neu gestartet werden. Danach sollte die Webseite ohne Zertifkatsfehler Meldung angezeigt werden:

image016.jpg

Das importierte Zertifakt findet man nun in den Einstellungen des Internet Explorers unter „Content“ – „Certificats“, von wo es bei Bedarf auch wieder entfernt werden kann:

image017.png

Nachtrag:
Bei einigen Installation mit obiger Vorgangsweise stellte ich fest, dass das Zertifikat nicht im Computer Certificate Store landet, sondern im User Store, also im Certificate Store des Administrators. In diesem Fall muss das Zertifikat noch mit Hilfe der Management-Konsole in den Computer Certificate Store vorschoben werden.

Dazu ist die MMC mit administrativen Rechten zu starten und die beiden Snap-Ins für Local Computer und Current User Certificates zu laden:

image019.jpg

Hier einfach per Drag&Drop das importierte Zertifikat vom "Trusted Root Certification Authorities" Ordner des Current User Certificate Store in den gleichnamigen Ordner des Computer Certificates Stores ziehen.


Die hier beschriebene Vorgangsweise gilt für den Internet Explorer, sollte aber analog auch in anderen Browsern wie z. B. Mozilla Firefox zu einer Unterdrückung der Zertifikatswarnung führen.

Ist doch cool, oder?
 
 

Verfasst: 30.11.2010 11:32:21 von Roland Koller
Tags: HTTPS, SSL-Zertifikat

1


Kommentare
Sabine
Für alle, die dieses Problem am Mac haben, gibt es einen weiteren URL:

http://www.robpeck.com/2010/10/google-chrome-mac-os-x-and-self-signed-ssl-certificates/

Ich hoffe das hilft auch anderen Mac Nutzern.
06.06.2011 10:11:37

Einen Kommentar schreiben



 Security code