SSL Zertifikat wird als ungültig markiert. Warum?
Hallo zusammen,
ich hätte eine Frage zum Thema SSL (Root Zertifikat) in Verbindung mit einer Subdomain.
Folgendes Szenario:
es existiert eine Motobix Kamera, die über eine feste IP erreichbar ist. (Beispiel: 192.120.203.32) Ziel ist, die Darstellung des Bildes im Browser über https zu erreichen.
Vorgehensweise:
Auf einem separaten Webserver habe ich für eine Domain DNS-Einstellungen vorgenommen. Ich habe für eine Subdomain einen A-Record erstellt, der auf die IP der Kamera verweist. (Beispiel: video.domain.com) Für die Kamera selbst habe ich über das Admin-Interface ein selbst signiertes Zertifikat erstellt, dessen "Allgemeiner Name" die Subdomain enthält (video.domain.com), über den die Kamera im Browser aufgerufen werden soll.
Leider wird das Zertifikat jedoch als ungültig markiert. Habe ich hier etwas wichtiges vergessen oder grundsätzlich etwas falsch verstanden?
Vielen Dank schonmal für eure kompetenten Antworten.
2 Antworten
Selbstsignierte Zertifikate sind per se nicht vertrauenswürdig. Das Zertifikat muss von einer Zertifizierungsstelle ausgestellt sein, der das Endgerät vertraut. Du kannst selbst eine Zertifizierungsstelle aufbauen (Linux mit Openssl, alternativ Windows Server), damit Zertifikate ausstellen. Das Stammzertifikat musst Du auf Deinem Endgerät als vertrauenswürdig installieren. Dann bekommst Du keine Warnung.
Richtig. Als erstes musst Du auf dem Server eine CA (Certificate Authority, Zertifizierungsstelle) konfigurieren. Dann musst Du auf der Kamera einen Certificate Signing Request erstellen und auf den Server kopieren. Alternativ kopierst Du den öffentlichen Schlüssel der Kamera auf den Server und generierst den CSR. Wenn auch das nicht möglich ist, musst Du das Schlüsselpaar für die Kamera auf dem Server erstellen, dann den CSR.
Den CSR signierst Du mit der CA. Das so signierte Zertifikat kopierst Du wieder auf die Kamera. Für den Fall, dass Du das Schlüsselpaar auf dem Server generiert hast, musst Du das Zertifikat und den privaten Schlüssel als PKCS12 verpacken und auf die Kamera kopieren.
Das Stammzertifikat (Root Certificate) der CA muss auf Deinem Rechner als vertrauenswürdige Stammzertifizierungsstelle importiert werden.
Vielen Dank. Das ist alles gut und verständlich beschrieben. Nun handelt es sich hier um ein Webhosting-Paket (Kunde hat keinen eigenen Server). Ohne Root-Access komme ich hier wahrscheinlich nicht weit, oder? Ich gehe zumindest nicht davon aus, dass Webhosting-Kunden erlaubt wird, eigene CA's zu konfigurieren :-) Würde in dem Fall folgende Lösung funktionieren? -> Ich lasse von offizieller Stelle, z.B. RapidSSL, ein Zertifikat erstellen, trage dort als Name die Subdomain ein, die den A-Record zur IP der Kamera enthält und binde das Zertifikat in die Kamera ein?
Vielen Dank. Das ist alles gut und verständlich beschrieben. Nun handelt es sich hier um ein Webhosting-Paket (Kunde hat keinen eigenen Server).
Das verstehe ich nicht. Du hast eine Kamera. Nun nimmst Du Dir irgendeinen Rechner, auf dem Du eine CA bastelst. Da braucht es kein Webhosting-Paket.
> Ich lasse von offizieller Stelle, z.B. RapidSSL, ein Zertifikat erstellen, trage dort als Name die Subdomain ein, die den A-Record zur IP der Kamera enthält und binde das Zertifikat in die Kamera ein?
Das wäre die Alternative.
Das Zertifikat ist eben selbst signiert. Du hast alles richtig gemacht, aber dein Browser kann ein selbst signiertes Zertifikat natürlich nicht als gültig verifizieren.
Als Grund für's nicht vertrauen erhalte ich, dass der Parameter "Alternative Names" (SAN) nicht angegeben ist. Könnte es in dem Fall auch daran liegen? Oder gibt es wirklich keine Chance, das mit einem selbst signierten Zertifikat zum Laufen zu bekommen? Mit dem Server, über den die Subdomain läuft, kann ich mich mit SSH verbinden. Wäre da mit OpenSSL etwas möglich?
Vielen Dank! Sprich: Ich müsste auf meinem Server via SSH und OpenSSL ein Zertifikat erstellen und das erstellte Zertifikat auf der Motobox Kamera installieren?