Eigene SSL Zertifikate & Root CA

[KodaC]

Guten Abend

Für einen localen Debianserver welcher diverse Domains mit einer fiktiven TLD verwalten soll möchte ich gerne eigene Zertifikate und ein Root CA erstellen welches ich für alle Zertifikate verwende. Es sollen immer Wildcard Zertifikate sein. Könnt ihr mir sagen was ich falsch mache? Die Zertifikate werden generiert, und auch im Browser verwendet. Wenn ich das root-ca.crt jedoch in Windows einfüge, ist die Seite trotzdem als unsicher Markiert (http://www.thewindowsclub.com/manage-tr ... es-windows).
Als Beispiel nehmen wir mal domain.local und als Firmenname verwende ich FirmenName

root-ca:
openssl genrsa -out /etc/ssl/root-ca.key 4096 -des3
openssl req -x509 -new -nodes -key /etc/ssl/root-ca.key -days 720 -out /etc/ssl/root-ca.crt (Unter Organization Name verwende ich FirmenName und bei FQDN ebenfalls FirmenName.)

Nun erstelle ich den Privatkey und das Zertifikat:
openssl genrsa -out /etc/ssl/local.domain.key 4096
openssl req -new -key /etc/ssl/local.domain.key -out /etc/ssl/local.domain.csr (Unter Organization Name verwende ich FirmenName und bei FQDN domain.local, habe aber auch schon FirmenName versucht. Passwort verwende ich keines.)

Vielleicht sieht jemand wo mein Überlegungsfehler ist, oder was ich falsch mache das ich nicht das root-ca in Windows importieren kann so das er die Seiten auf dem Debianserver als "sicher" kennzeichnet.

Gruss und Danke

Koda

[weshalb]

Du musst die schon richtig in Windows importieren.

[KodaC]

Also habe ich es nur in Windows falsch installiert? Ich habe das per rechtsklick installiert, und habe es auch im mmc bei den Vertrauenswürdigen Herausgebern importiert ohne erfolg

[weshalb]

Schau mal unter Certmgr.msc >Vertrauenswürdige Stammzertifizierungsstellen> Zertifikate ob sich da dein Zertifikat befindet, ansonsten importieren.

[KodaC]

Ja ist drin. Habe es wie oben beschrieben auch so eingefügt.

[spiralnebelverdreher]

Die Zertifikate werden generiert, und auch im Browser verwendet.

Bist du dir sicher, dass die im Browser auch verwendet werden? Meiner unzuverlässigen Erinnerung nach benutzen manche Browser eine eigene Zertifikatverwaltung und kümmern sich nicht um andere Quellen.

[weshalb]

Muss man manchmal öfter machen und neustarten.

Die Zertifikate werden generiert, und auch im Browser verwendet.

Bist du dir sicher, dass die im Browser auch verwendet werden? Meiner unzuverlässigen Erinnerung nach benutzen manche Browser eine eigene Zertifikatverwaltung und kümmern sich nicht um andere Quellen.

Zumal, wenn man einmal eine Ausnahme im Browser definiert, sollte das auch erledigt sein.

[spiralnebelverdreher]

Muss man manchmal öfter machen und neustarten.

Die Zertifikate werden generiert, und auch im Browser verwendet.

Bist du dir sicher, dass die im Browser auch verwendet werden? Meiner unzuverlässigen Erinnerung nach benutzen manche Browser eine eigene Zertifikatverwaltung und kümmern sich nicht um andere Quellen.

Zumal, wenn man einmal eine Ausnahme im Browser definiert, sollte das auch erledigt sein.

Das ist richtig. Aber ist "in Windows importiert und installiert" automatisch gleichbedeutend mit "im Kontext des Browsers bekannt"?

[weshalb]

Muss man manchmal öfter machen und neustarten.

Bist du dir sicher, dass die im Browser auch verwendet werden? Meiner unzuverlässigen Erinnerung nach benutzen manche Browser eine eigene Zertifikatverwaltung und kümmern sich nicht um andere Quellen.

Zumal, wenn man einmal eine Ausnahme im Browser definiert, sollte das auch erledigt sein.

Das ist richtig. Aber ist "in Windows importiert und installiert" automatisch gleichbedeutend mit "im Kontext des Browsers bekannt"?

Das ist wohl wahr. Im Browser sollte, falls er nichts anderes benutzt (bei mir wäre da noch Outlook), natürlich reichen. Hatte das überlesen.

Edit: "Der IE und Chrome benutzen den Windows Zertifikatsstore certmgr.msc, Firefox hingegen bringt seinen eigenen Zertifikatsstore mit. "

Sollte also, je nach verwendeten Browser, doch darüber einzustellen sein.

[KodaC]

Vielen Dank an alle. Das Problem war das ich beim FQDN nur domain.local angegeben habe und nicht *.domain.local. Somit war die Domain nicht korrekt.