HTTPS - (Fehlercode: sec_error_untrusted_issuer)

T

tenso

New Member
Moin,
also ich sollte mal ssl bei uns einrichten. Habe es auch geschaft^^
nur kommt jetzt beim Seitenaufruf dieser fehler: "
(Fehlercode: sec_error_untrusted_issuer)
Click to expand...
" im Browser Firefox.
Wir nutzen Vhosts.
Code: 
NameVirtualHost ipdesserver:443
<VirtualHost ipdesserver:443>
 SSLEngine On
  SSLCipherSuite HIGH:MEDIUM
  SSLCertificateFile    /etc/apache2/ssl/apache2.crt
  SSLCertificateKeyFile /etc/apache2/ssl/apache2.key

	ServerAdmin			webmaster@domain
	ServerName			domain
	ServerAlias			domain www.domain *.domain
	DocumentRoot			/home/0/www/domain/htdocs
	ErrorLog			/home/0/www/domain/logs/error.log
	CustomLog			/home/0/www/domain/logs/access.log combined
	ScriptAlias			/cgi-bin/ "/home/0/www/domain/cgi-bin/"

	<Directory "/home/0/www/domain/htdocs">
		AllowOverride                   All
		Options                         -Indexes FollowSymLinks
		Order                           Allow,Deny
		Allow                           from All
	</Directory>

	<Directory "/home/0/www/domain/stats">
		AllowOverride			All
		Options				-Indexes FollowSymLinks
		Order				Allow,Deny
		Allow				from All
	</Directory>

	<Directory "/home/0/www/domain/cgi-bin">
		AllowOverride                   None
		Options                         ExecCGI -Indexes
		Order                           Allow,Deny
		Allow                           from All
	</Directory
</VirtualHost>
Habe des ganze nach dieser Anleitung angelegt.Das zertifikat hab ich auch bei "cacert.org" zertifizieren lassen.
Hoffe ihr könnt mir weiterhelfen.
MfG
tenso
 
Ist dir an der Fehlermeldung irgendetwas konkret unverständlich oder willst du einfach hören, dass du eben ein Zertifikat einer CA besorgen musst, deren Root-Zertifikat in den meisten Browsern enthalten ist, bzw. du das Root-Zertifikat von CACert selbst importieren musst?
 
Wie wäre es mit einem Klick auf "Ausnahme hinzufügen" ?
Macht man einmal, hat von diesem Moment an aber Ruhe...
 
@Roger Wilco
du meinst damit, ich soll mir ein kostenpflichtiges Zertifikat besorgen?

@Lord Gurke
ja könnte man natürlich machen, aber nicht sehr angenehm fürn kunden bzw der chef will dass die "Ausnahme hinzufügen Seite" nicht kommt :X
 
Anders geht es aber nicht, außer es hinzuzufügen oder ein kostenpflichtiges Zertifikat zu kaufen welches von allen Browsern akzeptiert wird.
 
ok^^, habs ihm grad mitgeteilt. Jetzt soll ich ne Liste mit Preisen und so erstellen ansich kein Problem aber hab ich des richtig verstanden, dass ich für jede Domain ein eigenes Zertifikat brauche?
 
Also, du kannst pro IP-Adresse nur ein einziges SSL-Zertifikat binden.
Denn bevor der Apache vom Client gesagt bekommt, welche Domain aufgerufen wurde, wird die Verbindung schon verschlüsselt, ergo kann nur ein Zertifikat pro IP genutzt werden.

Aber ansonsten stimmt es: Für jede Domain brauchst du ein Zertifikat, Ausnahme sind Subdomains, das könnte man mit Wildcard-Zertifikaten lösen - das ist aber böse und da schreien einige Browser auch manchmal.

Braucht ihr denn wirklich Zertifikate für alle Domains? Eventuell reicht ja auch eine Subdomain wie secure.domain.tld/page1/... oder so.
Damit könnte man auch verschlüsseln und braucht nur ein Zertifikat und eine IP dafür.
 
Du must dafür sorgen daß Dein Zertifikat als gültig signiert anerkannt wird.
Dafür gibt es genau zwei Möglichkeiten:
  1. Du installierst das Signaturzertifikat manuell bei allen Benutzern
  2. Du läßt Dein Zertifikat von einer ankerkannten Signaturinstanz unterschreiben.
1. geht gut, wenn Du Kontrolle über alle hast, die die Seite aufrufen (z.B. Firmenmitarbeiter, die per Laptop "auf Achse" zugreifen).
2. ist unabdingbar, wenn Du echte "Kunden" (mit beliebigen OS-Browser-kombinationen) zufriedenstellen willst.
Die besondere Eigenschaft der Signaturinstanzen ist halt, daß ihre Zertifikate in allen gängigen Browsern schon vorinstalliert sind - das läßt man sich eben teuer vergüten.

Wenn Deine Hostnamen alle unter derselben Domain liegen (www.domain.tld, webmail.domain.tld, wiki.domain.tld), dann macht ein Wildcard-Zertifikat sinn - auch wenn es teurer ist.
Falls Ihr dagegen mehrere Domains betreibt (domin.de, domain.com, domain.net), dann ist ein Zertifikat mit Alternativinhabernamen (Subject Alternative Name) besser.
 
You must log in or register to reply here.
Back
Top