ssl certificaat uitdelen traag

Verwijderd schreef op 19 juni 2003 @ 15:38:
Mn vraag is dus, hoe kan het sneller dat die bijna 20 sec.

Je hebt zelf een MS CA aangemaakt. Alle certificaten die dat ding maakt, zijn automatisch niet "trusted". Je moet de browser op de client dus vertellen dat jouw CA, een vertrouwde ROOT CA is. In tegenstelling tot bijvoorbeeld certificaten van Versign, die standaard al van een trusted CA afkomen.

2 opties, je rootcerticaat exporteren naar een .cer, naar de clients opsturen, en vragen te installeren, of er een mooi asp paginat'je van maken.
Hieronder een voorbeeld, uitgaande van het bestand c:\root.cer

--------------------------------------------------------------------------------------

<HTML>
<HEAD>
<TITLE>Installing A Root Certificate</TITLE>
<BR>Root Certificate Authority Installation
<BR>
<BR>

<%@ LANGUAGE="VBScript"%>
<%
Set fs = CreateObject("Scripting.FileSystemObject")
Set MyFile = fs.OpenTextFile("c:\root.cer", 1)

Output = ""

Do While MyFile.AtEndOfStream <> true
line = Chr(34) & MyFile.ReadLine & Chr(34)
If MyFile.AtEndOfStream <> true then
line = line & " & _" & Chr(10)
End If
Output = Output & line
Loop

MyFile.Close

Set MyFile = Nothing
Set fs = Nothing
%>

<SCRIPT language="VBSCRIPT">
on error resume next
Dim Str, CEnroll

Set CEnroll = CreateObject("CEnroll.CEnroll.1")
Str = <% Response.Write Output %>

CEnroll.installPKCS7(Str)

Set CEnroll = Nothing
</SCRIPT>
</HEAD>
</HTML>

----------------------------------------------------------------------

Verwijderd schreef op 19 June 2003 @ 16:28:
zou het wel sneller gaan als hij trusted is???
Het kan dus wel snel!!
Maar hoe?...

Als het trusted is, gaat het snel, als het niet trusted is, probeert hij die info ergens anders op te halen denk ik. In ieder geval doet hij een check die behoorlijk lang duurt.

Ik zou eerst eens met 'openssl' voor windows gaan kijken welke stap in het handshake proces zo lang nodig heeft. Een windows binary kun je hier vinden.

Type vervolgens: openssl s_client -state -connect www.blabla.com:443 (dat laatste is natuurlijk je eigen pagina/server )

Laat vervolgens eens zien wat je ontdekt hebt.

[ Voor 4% gewijzigd door Verwijderd op 19-06-2003 19:59 ]

Hij legt een koppeling met je Webserver/CA en haalt het een en ander aan active-X componenten (xenroll.cab) dit kan even duuren.

Daarnaast gaat hij kijken of er een nieuwe CRL is en dus weer wat downloaden.

Als dat eenmaal is gedaan gaat het de volgende keer sneller. (als het goed is). Bij mij gaat het perfect. Nooit problemen. (Windows 2003 server)

Verwijderd schreef op 20 June 2003 @ 10:22:
[...]


nou.... hij gaat de volgende keer dus niet sneller....

Ik denk dat er dan iets niet goed staat in ISA. Ik heb de configuratie ook wel eens draaiende gehad alleen zonder ISA.

Bekijk eens het een en ander in ISA. Misschien even tijdelijk uitzetten.

Verwijderd schreef op 20 juni 2003 @ 10:22:
[...]


nou.... hij gaat de volgende keer dus niet sneller....

Wat gebeurt als je ipv op YES te rammen nou eens het Certificate accepteert EN installeert ?

Koffie schreef op 20 juni 2003 @ 11:03:
Wat gebeurt als je ipv op YES te rammen nou eens het Certificate accepteert EN installeert ?

Bij mijn weten helpt dat niet bij een certificaat, wat van een untrusted CA afkomt. Dan kun je installeren tot je groen ziet (weet ik uit persoonlijke ervaring)

Nee hoor
Je moet niet alleen je Certificate installeren, maar ook de hele meuk trusten. Dan ben je er vanaf.

Op mijn werkPC hier krijg ik niet eens meer de vraag over untrusten en niet overeenkomende namen enzo, gewoon alle certificates installeren.

Koffie schreef op 20 June 2003 @ 11:25:
Je moet niet alleen je Certificate installeren, maar ook de hele meuk trusten. Dan ben je er vanaf.

Precies, en dat trusten tot aan de root, is hetzelfde als de root CA aan de trusted list toevoegen in IE, zoals ik al eerder beschreef

Smiley, heb je dit kunnen oplossen?
Ik heb hetzelfde probleem.

Ik krijg overigens ook 2 meldingen bij het benaderen van OWA via https.
Eerst deze:

fout, goed, goed
- Het beveiliginscertificaat is uitgegeven door een bedrijf dat u niet als vertrouwd...
- De datum van het beveiliginscertificaat is ongeldig.
- Het beveiligingscertificaat heeft een geldige naam...

en vervolgens deze:

fout, goed, fout
- Het beveiliginscertificaat is uitgegeven door een bedrijf dat u niet als vertrouwd...
- De datum van het beveiliginscertificaat is ongeldig.
- De naam op het beveiligingscertificaat komt niet overeen...

1 zo'n melding vind ik geen probleem maar die 2e moet ergens een foutje zijn, hoe kan het dat 'ie het ineens daar niet meer mee akkoord is?

Heb je de properties van het certificaat zelf al eens bekeken?

Ja, ziet er goed uit.
Wat duidt erop dat het niet klopt ?

"Verleend aan" en "Verleend door" zijn hetzelfde (het adres), neem aan dat dat ok is.

[ Voor 44% gewijzigd door mvandek2 op 22-07-2004 00:32 ]

Nr 1 krijg je weg, door het root certificaat van je eigen CA op de lcient te installeren.

Nr 2 lijkt erop dat het certificaat verlopen is, of gemaakt met een verlopen CA. Wat het ook is, ik zou gewoon een nieuwe aanmaken als ik jou was.

Nr 3 Krijg je als het adres dat je in IE intyped, niet hetzelfde is als de "common name" die je hebt ingevuld tijdens het maken van het certificaat.
Het kan dus zijn dat "http://owa.company.com" hetzlefde is als "http://server1" voor intern, maar dan krijg je die popup.

Nr 1 krijg je weg, door het root certificaat van je eigen CA op de lcient te installeren.

Nr 3 Krijg je als het adres dat je in IE intyped, niet hetzelfde is als de "common name" die je hebt ingevuld tijdens het maken van het certificaat.
Het kan dus zijn dat "http://owa.company.com" hetzlefde is als "http://server1" voor intern, maar dan krijg je die popup.

Ik ken alleen de manier om het certificaat te installeren via de button "Certificaat weergeven" en dan "Certificaat installeren" in het popup venster als je een https adres opent.
Ik kan verder niets intikken daar.

Moet ik het anders doen?

mvandek2 schreef op 31 juli 2004 @ 00:44:
[...]
Moet ik het anders doen?

Als het een zelfgemaakt certificaat is, waarvan je het root certificaat niet hebt, dan kun je niks doen. Contact opnemen met degene die het ding gemaakt heeft, en hem/haar erom vragen?