NetMan Desktop Manager Knowledgebase


Tags HAN.V4 HAN.V3

Zertifikatsnutzung ohne Rückfrage in Mozilla Firefox ab HAN 3

Wird ab HAN 3 ein offiziell ausgestelltes Zertifikat installiert, kann die Weboberfläche mit dem Internet Explorer ohne weitere Rückfrage genutzt werden. Da der Firefox die Zertifikatskette nicht übergibt, müsste für dieses Zertifikat zuerst eine Ausnahme hinzugefügt werden. Dies kann mit der Konfigurationsdirektive "SSLCertificateChainFile" vermieden werden.

Die direktive "SSLCertificateChainFile" ist in der %hanhome%\System\web\bin\sslhan.conf (HAN 3) bzw. %hanhome%\System\web\conf\sslhan.conf (HAN 4) bereits in auskommentierter Form vorhanden und muss nur noch aktiviert werden:

SSLCertificateChainFile ssl/ca.crt

Weiterhin muss das Wurzelzertifikat Base-64-kodiert im o.a. Pfad mit dem o.a. Namen (hier %hanhome%\WebSrv\ssl\ca.crt) hinterlegt werden. Dieses kann aus dem Wildcard-Zertifikat extrahiert oder beim Aussteller heruntergeladen werden.

Sind mehrere Zwischenzertifikate vorhanden, können diese in einem Texteditor in eine Datei kopiert werden (die Reihenfolge ist hierbei egal).

Hinweis: Die DFN liefert u.U. nur SHA1-Zertifikate aus, benötigt werden aber SHA2- (SHA256-) Zertifikate. Diese können bei der DFN heruntergeladen werden: https://info.pca.dfn.de/

Wählen Sie hier Ihre Institution aus und laden dann aus der Info-Seite die "Komplette Zertifikatkette im PEM-Format" als Textdatei herunter. Der Inhalt der Textdatei ist dann ohne die subject-Zeilen in die ca.crt zu kopieren.

Ist das Zertifikat direkt von der DFN-PKI ausgestellt, ist die Zertifikatskette hier herunterladbar: https://pki.pca.dfn.de/dfn-ca-global-g2/pub/cacert/chain.txt

Nach dem Neustart des HAN Webservice liefert HAN beim Verbindungsaufbau die komplette CA-Kette mit allen Zwischenzertifizierungstellen aus.


Artikel #3404 | 13.12.18 | Hartmut Mäcker