wildcard certificaat, subdomains en browsers - Serversoftware en clouddiensten

vrijdag 6 juli 2007 07:03

Acties:

Verwijderd

Topicstarter

Goedemorgen,

Setup:
Een wildcard certificaat voor de CN *.mydomain wordt gebruikt voor een aantal subdomains. Het certificaat is door mezelf getekend.

Alle browsers (Opera, Firfox en Internet Explorer) klagen dat het om een zelf-getekend certificaat gaat, maar daar heb ik momenteel vrede me.
Met Firefox is het (voor mij) niet duidelijk of dit het enige probleem is met het certificaat. Opera heeft geen verdere problemen met het certificaat maar Internet Explorer (versies 6 en 7) klaagt dat het certificaat niet geldig is voor het subdomain aa.mydomain (of bb.mydomain etc).

Ik heb bij een zoektocht hier op GoT een post gevonden die inderdaad stelt dat IE niet met wildcard certicaten overweg kan. Verder zoeken op het internet heeft geen uitsluitsel kunnen geven.

Vragen:

Ik twijfel nu of ik het certificaat op de juiste manier gemaakt heb (ik kan de stappen en configuraties hier posten indien noodzakelijk)
Hoe een dergelijk probleem te voorkomen is behalve door verschillende certificaten en IP adressen te gebruiken.
Hoe kan ik in Firefox zien wat de problem met het certificaat zijn.

PS 1 Ik ben overgestapt van individuele sites (een site per domain) naar subdomains om IP adressen uit te sparen.

PS 2 Apache 1.3.3 webserver op en Slackware 10.1 systeem

vrijdag 6 juli 2007 10:43

Acties:

nwagenaar

God, root. What's the differen

IE heeft zeker geen problemen met wildcard certficaten, zolang de desbetreffende (basis certificerings) instantie in de trusted-list staat van IE (en mogelijk dus ook bij Firefox en dergelijke).

Zelf hebben wij meerdere PossitiveSSL CA wildcard certificaten, voor verschillende domeinnamen, die verlopen via de UTN-USERFirst-Hardware basis certificerings instantie. Deze werken perfect met IE. Windows Mobile devices daar-en-tegen moeten eerst de complete certificate-route geimporteerd krijgen op het apparaat om zonder problemen gebruik te maken van Exchange Server synchronisatie.

Je probleem zit dan ook in het feit dat je zelf je eigen certificaten ondertekend. Wil je geen enkele melding bij SSL verbindingen, dan moet je een certificaat regelen van een vertrouwde basis certificeringsinstantie (Check even google voor diverse (Nederlandse) aanbieders en voor prijzen). Als jij je certificaten zelf blijft ondertekenen, dan zul je meldingen krijgen ongeacht je browser.

En de melding die naar voren toekomt zal zijn dat het certificaat niet is uitgegeven door een vertrouwde basis certificeringsinstantie. Je kan dit oplossen door het certificaat te importeren binnen de vertrouwde basis certificeringsinstantie.

Mijn Neo Geo MVS collectie

vrijdag 6 juli 2007 11:17

Acties:

Verwijderd

Topicstarter

Het probleem zit in mij ogen niet in het feit dat ik zelf teken. IE geeft een melding daaromtrent en een melding dat er geen overeenkomst is tussen de naam van site die ik bezoek en de naam in het certificaat.
IE geeft verder alleen de eerste melding als ik 'normale' certificaten gebruik en geen subdomeinen gebruik.

Bij gebruik van wildcard certificaten geeft Opera alleen de eerste melding en bij Firefox kan ik niet bepalen waarop het certificaat wordt verworpen.

vrijdag 6 juli 2007 11:44

Acties:

sanfranjake

Computers can do that?

Zou dit topic misschien niet veel beter passen in bijvoorbeeld Non-Windows Operating Systems (serverdeel) óf Client Software Algemeen (browsers) ?

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

vrijdag 6 juli 2007 11:46

Acties:

Alex)

IE kan prima omgaan met wildcard certificaten, ik heb ze zelf gebruikt (zelf uitgegeven) en ik had er op meerdere machines geen enkel probleem mee (nadat ik mijn eigen root-certificaat had geïmporteerd), daar moet je het probleem niet zoeken.

Wat is je webserversoftware? IIS wil wel eens raar doen w.b.t. certificaten...

We are shaping the future