Zertifikat der Domino Certificate Authority wird im Firefox nicht als CA akzeptiert

    Hallo,


    wir nutzen für interne Webseiten etc. die Domino-CA um Clientzertifikate für den internen Gebrauch zu erstellen.


    Hier haben wir nur ein Problem mit unserer neu aufgesetzten CA. Wenn ich die CA in Firefox als "trusted Root CA" als vertrauenswürdig akzeptieren möchte, dann sagt Firefox:

    Zitat

    Dies ist kein Zertifikat für eine Zertifizierungsstelle und kann deshalb nicht in die Liste der Zertifizierungsstellen importiert werden.


    Benutze ich den gleichen Link ("Accept this authority in your browser" wird das CA-Root-Zertifikat ohne Probleme akzeptiert.


    Was läuft da mit Firefox falsch??


    Norbert

    Jetzt habe ich die nach der Englischen Fehlermeldung gegoogelt und dies gefunden

    Zitat

    One potential cause of this problem - Firefox will not import self-signed root CA certificates that are missing the value "Subject Type=CA" in the Basic Constraints field (visible on the Details tab when you view the certificate in Windows.) Contact the person who supplied you with the test self-signed root authority certificate and tell them that they need to add that constraint to either the certificate request or the command line when making the self-signed root CA certificate. The switch on makecert is -cy authority. I found the following helpful: http://stackoverflow.com/quest…ecert-for-development-ssl


    Das heißt, Firefox scheint nicht alle CA Zertifikate zu akzeptieren. Es muß das Basic Constraint field "Subject Type=CA" vorhanden sein.


    Jetzt frage ich mich, wie ich das in das Root Zertifikat der Domino CA bekomme????


    Norbert

    Ich dachte, ich hätte irgendetwas bei der Erstellung der CA übersehen, so daß das Basic-Constraint "Subject Type=CA" nicht im CA Zertifikat enthalten war.
    Aus diesem Grund habe ich mir das Buch Domino 8.5 Administration vorgenommen und nochmal alle Schritte durchgespielt. Leider finde ich keinen Punkt, an dem ich dieses "Basic-Constraint" eintragen kann.
    Kann man denn ein z.B. per OpenSSL erstelltes CA-Zertifikat irgendwie in die Domino-CA migrieren??
    Das würde mir ja auch schon sehr helfen.


    Jeder Tipp willkommen


    Norbert

    Du kannst dir eine CA einrichten (Domino Certificate Authority), dann ein Certificate Request (csr file) erzeugen und das dann von einer anderen CA (wie beispielsweise startssl) unterschreiben lassen. (Habe bisher von Verisign unterzeichnen lassen)


    Im Anschluss kannst du das Zertifikat im Serverdokument unter "Ports"->"Internet Ports" ->"SSL Key File name" einbinden.


    Soweit ich weiß ist das startssl rootzertifikat bereits in einigen Browsern vertrauenswürdig.

    Danke für die Antwort, aber das geht leider an meinem Problem vorbei. Wir nutzen die Domino CA um eigene Client-Zertifikate für die Kollegen auszugeben.
    Damit es nicht zu Warnungen kommt muß das CA Zertifkat in den Browsern als vertrauenswürdige Root Certificate Authority akzeptiert werden. Dies funktioniert im IE auch ohne Probleme, der Firefox sagt aber, dass es gar kein CA-Zertifikat ist.



    Gruß


    Norbert