Что мне нужно сделать, чтобы Internet Explorer 8 принял самозаверяющий сертификат?

Question

Мы используем самозаверяющие сертификаты в нашей внутренней сети. Что мне нужно сделать, чтобы Internet Explorer 8 принял их, не показывая пользователю сообщение об ошибке? То, что мы сделали для Internet Explorer 7, по-видимому, не работает.

РЕДАКТИРОВАТЬ: Internet Explorer 7 не будет отображать никаких ошибок, если я помещу сертификат в доверенные корневые центры сертификации. Internet Explorer 8, похоже, показывает ошибки даже при наличии сертификата.

Answer 1

Вы можете использовать GPO для использования сертификата в домене.

Но моя проблема с Internet Explorer 8, что даже с сертификатом в доверенном корневом хранилище сертификации ... он все равно не скажет, что это надежный сайт.

С этим и подписью драйвера, которую нужно сделать сейчас ... Я начинаю задумываться, кому принадлежит мой компьютер!

Answer 2

К сожалению, ни одно из решений не помогло мне. Я использовал Internet Explorer 8 в Windows 7. Когда я искал решение, я нашел настройки информации для входа в систему на панели управления. Поэтому я добавил новую запись в информацию на основе сертификата с адресом моего сервера и выбрал свой предпочтительный сертификат.

После очистки кэша SSL в Internet Explorer 8 я просто обновил сайт, и на сервер был отправлен правильный сертификат.

Это не то решение, которое я хотел, но оно работает.

Answer 3

Как уже упоминалось, первая задача - добавить сертификат в Trusted Root Authority.

Существует специальный exe ( selfssl.exe ), который создаст сертификат и позволит указать значение Issued to: (URL). Это означает, что Internet Explorer проверит выданный URL-адрес с помощью пользовательского URL-адреса интрасети.

Обязательно перезапустите Internet Explorer, чтобы обновить изменения.

Answer 4

Вы можете использовать CertMgr для добавления сертификата в качестве доверенного издателя или, если он самозаверяющий, в качестве корневого сертификата

CertMgr.exe /add CertificateFileName.cer /s /r localMachine root

См. Документацию Microsoft здесь:

https://docs.microsoft.com/en-us/windows-hardware/drivers/install/using-certmgr-to-install-test-certificates-on-a-test-computer

Answer 5

Не похоже, что больше не будет ошибки сертификата. Я на Windows XP с IE 8. Групповая политика установила самозаверяющий сертификат в качестве доверенного корневого сертификата для доступа к внутреннему сайту. Когда я смотрю на MMC с оснасткой сертификата, я вижу сертификат там ОК.

Когда я смотрю на:

Свойства обозревателя => Содержание => Сертификаты

Его там нет!

Такое поведение в IE началось, поскольку наши администраторы отказались от последней партии обновлений Patch-Tuesday, которые были установлены на моей машине 10 декабря 2009 года. До этого он был очень рад принять сертификат как действительный.

Answer 6

Если вы проводите локальное тестирование и добавляете псевдоним в файлы хоста, скажите

127.0.0.1 www.mysite.com

и попробуйте использовать любую из вышеперечисленных процедур, у вас не получится. Причина в том, что вы импортируете сертификат для localhost. URL сертификата не будет совпадать.

В этой ситуации вам нужно будет создать самозаверяющий сертификат и затем импортировать его, как описано выше.

Если вы используете Xampp, генерирование правильного сертификата может быть легко выполнено с помощью C: \ XAMPP \ Apache \ makecert.bat

Answer 7

Я перепробовал все упомянутые решения, но ни одно из них не сработало. При использовании Internet Explorer 11 (11.0.9600.17914) не было возможности принять недействительные сертификаты, поскольку ошибка выглядела точно как 404.

Помогло следующее: - добавить хост в доверенные сайты (как уже упоминалось здесь пару раз) - отключить TLS 1.2 и включить SSL 1.0 и SSL 2.0

Последний шаг - это то, что вы должны делать ТОЛЬКО, если знаете, что делаете. Нам нужно использовать довольно странную настройку здесь, на работе, поэтому мы не могли найти другой способ получить доступ к системе. Как правило, понижение уровня безопасности не следует.

Answer 8

Как установить корневой сертификат CA, а не сертификат веб-сайта: (IE8, Win7)

Когда вы открываете сведения о сертификате, вы просматриваете сертификат веб-сайта, а не сертификат CA. На вкладке «Общие» будет написано: «Этот сертификат не может быть проверен ...». Необходимо выбрать центр сертификации, щелкнув вкладку «Путь сертификации» и выбрав самый верхний сертификат в пути. Он должен иметь красный значок X и должен сказать: «Этот корневой сертификат CA не является доверенным, потому что ...» Нажмите кнопку «Просмотр сертификата», и на этой новой вкладке «Общие» вы увидите «Этот корневой каталог CA * 1006». * не является доверенным ... "Это сертификат, который вы хотите импортировать в Trusted Root Certificate Authority.

После того, как вы импортировали ЦС, вам не нужно импортировать обычный сертификат веб-сайта. Этот сертификат будет соответствовать только что импортированному CA, и IE будет работать как обычно. Вам не нужно запускать IE от имени администратора, и вам не нужно сначала добавлять сайт в доверенные сайты. Вам необходимо перезапустить IE после импорта.

Answer 9

Необходимо убедиться, что в Самоподписанном сертификате используется правильный common name для настраиваемого домена. Если вы собираетесь использовать один и тот же сертификат для нескольких доменов, вам необходимо либо иметь уникальный сертификат для каждого домена, либо если все ваши ssl-сайты являются поддоменами общего домена, тогда вы можете сгенерировать сертификат с подстановочным доменом, например *.domainname.tld.

Если вы неправильно настроили common name в своем самозаверяющем сертификате, Chrome и Firefox могут работать, но IE может не найти сертификат при каждой загрузке сайта. В IE это будет выглядеть так, как будто вы добавили сертификат сайта, но на самом деле при загрузке страницы он никогда не будет найден.

как настроить SSL для Apache для Mac, чтобы я мог протестировать Cross Domain iFrame на IE8

Answer 10

У меня была такая же проблема при работе с веб-сервисами. Здесь У Microsoft есть (длинный) краткий обзор того, как установить компоненты на клиенте, чтобы сказать, что ваш самоподписанный сертификат в порядке. В конце концов, я потратил 30 долларов и купил полный сертификат у Godaddy.com.

P.S. Я знаю, что вы можете кодировать сообщение об ошибке, но мы не хотели делать это по причинам тестирования.