TB3 Lightning und eigen signiertes SSL-Zertifikat [erl.]

  • Hallo!


    Folgendes Problem:
    Wir betreiben auf unserem Server ein shared SSL-Zertifikat.
    Ich habe dieses in den Einstellungen von Thunderbird hinterlegt.
    Trotzdem bekomme ich die Fehlermeldung: ssl_error_bad_cert_domain wenn ich auf unseren ICAL-Kalender per HTTPS zugreife.
    Mit dem Google-Kalender geht das Ganze einwandfrei.


    Hat wer eine Idee an was das liegen könnte?


    Daten:
    TB 3.0.1
    Lightning: 1.0b1
    OS: win7 64 bit


    Vielen Dank.


    lg
    gebi84

  • Hi gebi84,


    und willkommen im Forum!


    Du schreibst: "Ich habe dieses in den Einstellungen von Thunderbird hinterlegt."
    Hast du auch an das Herausgeberzertifikat gedacht? Also das vom firmeneigenen "Trustcenter".
    Dann ist Thunderbird sehr genau, was den im Zertifikat eingetragenen cn (hier meist der Servername) betrifft.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter,


    danke für deine Antwort.


    Leider haben wir kein Herausgeberzertifikat, unser Zertifikat ist selbstgeneriert.
    Unser Zertifikat verwendet eine shared - ip.
    Im CN steht unsere Servername drin ja.


    Funktioniert Thunderbird nur mit einem CA-zertifiziertem Zertifikat?


    Ich habe mal einen Screenshot vom Zertifikat angehängt.


    [IMG:http://temp.guavestudios.com/zertifikat1.jpg]
    [IMG:http://temp.guavestudios.com/zertifikat2.jpg]


    Der Zugriff auf den Kalender erfolgt über eine Subdomain.
    Wir wollen jediglich dass unsere Daten auf der subdomain verschlüsselt sind. Da es nur für uns Firmenintern ist, sind sehen wir es auch nicht ein, dafür ein trusted Zertifikat zu kaufen.


    lg
    gebi84

  • Hi,


    Normalerweise, also wenn man die Sache ein klein wenig ernsthaft betreibt ...
    ... dann legt man auch bei selbstzertifizierten Zertifikaten zuerst ein root-Zertifikat an. Dieses ist dann der eigentliche Herausgeber (cn=Firmanname o.ä.) und dieses Z. hat eine längere Gültigkeit. In den Eigenschaften dieses Z. wird eingestellt, dass dieses nur zur Zertifizierung anderer Zertifikate, evtl. auch zur Signatur von Sperrlisten usw. geeignet ist. Es ist also ein "CA-Zertifikat".
    Und mit diesem CA-Zertifikat werden dann die eigentlichen Nutzer- und Maschinenzertifikate signiert. Diese werden dann also so genannte S/MIME- oder SSL-Server- /Cleint- Zertifikate.
    Selbstverständlich kann man auch bei der Erstellung auf die Einschränkungen verzichten. Ganz Mutige erzeugen überhaupt nur ein einziges Zertifikat ... . Aber auch hier muss unter Herausgeber ein Herausgeberzertifikat stehen und diesem das Vertrauen ausgesprochen sein.
    Tipp: Mal das gleiche Zertifikat unter Herausgeberzertifikate importieren. Vielleicht lässt sich TB austricksen.
    Andererseits: TB gibt sich (zum Glück) sehr penibel. Er reklamiert auch, wenn der cn nicht stimmt usw. Ich finde das auch gut so ... .
    Noch ein Tipp: Mal das Programm "XCA" ansehen.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • ich habe gerade gesehen, ich habe versehentlich 2 mal das selbe Bild hochgeladen. -> ist nun korrigiert.


    ich schau mir mal deine Tipps an und meld mich dann wieder.


    lg
    gebi84

  • so ich bins nochmal,


    hab jetzt nochmal ein wenig herumprobiert und herausgefunden wie es nun geht:


    In den TB-Einstellungen auf Erweitert->Zertifikate -> dann auf Zertifikate -> und hier auf Server und dann Ausnahme hinzufügen.
    Mein Fehler war, dass ich das Zertifikat bei der Zertifizierungsstelle eingefügt habe :-).


    Danke für deine Hilfe.


    lg
    gebi84

  • Bitte schön ...


    Aber was passiert, wenn du das gleiche Zertifikat auch unter Zertifizierungsstellen hinzufügst und dort das Vertrauen einstellst?
    Klar, im Endeffekt kommt das gleiche raus. (Wenn es funktioniert) Aber da ihr das gleiche Z. sowohl als Herausgeber- wie auch als Serverzertifikat nutzt, müsste das funktionieren.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • da dies kein unterschriebenes Zertifikat ist, hat dies bei uns nicht funktioniert, als wir es in der Zertifizierungstelle hinterlegt hatten.