Що потрібно зробити, щоб Internet Explorer 8 прийняв сертифікат, який підписав самостійно?

233

Ми використовуємо самопідписані сертифікати у нашій інтранети. Що мені потрібно зробити, щоб Internet Explorer 8 прийняв їх без відображення повідомлення про помилку користувачеві? Те, що ми зробили для Internet Explorer 7, очевидно, не працює.

EDIT: Internet Explorer 7 не відображатиме помилок, якщо я покладу сертифікат довіреним кореневим органам сертифікації. Internet Explorer 8, здається, показує помилки навіть у тому сертифікаті.

internet-explorer-8  ssl-certificate 
Пітер Мортенсен
джерело
Просто цікаво, що ви робили в IE7?
Бранн
помістити його в сертифікат у надійний корінний сертифікаційний магазин
1
У вас є скріншот для помилки IE 8.? Що відображається на сторінці шляху сертифіката? Переконайтеся, що ви додали CA, а не cert сайту.
J-16 SDiZ
6
Власне, Девід, я думаю, що SuperUser є більш доречним.
Sameer Alibhai
60
Ці дебати про те, куди належить питання, є абсурдними. Серйозно, wtf. Хоча це може підходити до будь-якого із запропонованих сайтів, це абсолютно розумно як питання розробника, оскільки з ним часто стикаються веб- розробники .
jpswain

Відповіді:

358

Як змусити IE8 довіряти самопідписаному сертифікату в 20 дратівливих кроків

  1. Перейдіть на сайт, сертифікату якого ви хочете довіряти.
  2. Коли мені сказано: "Проблема із сертифікатом безпеки цього веб-сайту.", Виберіть "Продовжити на цьому веб-сайті (не рекомендується)".
  3. Виберіть Інструменти➞ Параметри мережі.
  4. Виберіть Захист➞ Довірені сайти➞ Сайти.
  5. Підтвердіть відповідність URL-адрес та натисніть «Додати», а потім «Закрити».
  6. Закрийте діалогове вікно «Параметри Інтернету» або «ОК», або «Скасувати».
  7. Оновіть поточну сторінку.
  8. Коли мені сказано: "Проблема із сертифікатом безпеки цього веб-сайту.", Виберіть "Продовжити на цьому веб-сайті (не рекомендується)".
  9. Клацніть на "Помилка сертифіката" праворуч від адресного рядка та виберіть "Переглянути сертифікати".
  10. Клацніть на "Встановити сертифікат ...", потім у майстрі натисніть "Далі".
  11. На наступній сторінці виберіть "Розмістити всі сертифікати в наступному магазині".
  12. Клацніть «Огляд», виберіть «Довірені кореневі органи сертифікації» та натисніть «ОК».
  13. Повернувшись до майстра, натисніть «Далі», потім «Готово».
  14. Якщо ви отримаєте поле "Попередження про безпеку", натисніть "Так".
  15. Відхиліть вікно з повідомленням "ОК".
  16. Виберіть Інструменти➞ Параметри мережі.
  17. Виберіть Захист➞ Довірені сайти➞ Сайти.
  18. Виберіть щойно додану вами URL-адресу, натисніть «Видалити», а потім «Закрити».
  19. Тепер вимкніть всі запущені екземпляри IE та запустіть IE заново.
  20. Тепер слід довіряти сертифікату сайту.
Айя
джерело
25
У IE 8 (я в Windows 7) після кроку 5 зніміть прапорець "Увімкнути захищений режим". Потім можна встановити cert. Але навіть після встановлення cert я продовжую отримувати попереджувальну та червону смугу розташування.
Джош
17
+1 за назвою :) Крок №12 був найкориснішим; не зрозумів цього самостійно.
jpswain
3
Я двічі перевірив, що адреса однакова, але мені потрібно було це зробити для роботи: Клацнув на Інструменти, Клацнув в Інтернеті Опції Клацнув Додатково Прокручується вниз до "Перевірити скасування сертифікату видавця". і це не перевірило. Клацнув Застосувати, Клацнув ОК Закрито і знову відкрив браузер techsupportforum.com/forums/f56/…
Akira Yamamoto
2
Якщо ви, як і я, використовуєте старий VM для тестування IE8 на Windows XP, не забудьте переконатися, що ваш системний годинник точний. Це грає роль у підтвердженні сертифікату.
AlexMA
17
Ці кроки не спрацювали для IE 11. Чи є ще щось, що потрібно зробити там?
користувач20358
71

У мене це працює так

  1. Запустіть Internet Explorer під керуванням користувача з правами адміністратора.
  2. Перейдіть на серверний комп'ютер, використовуючи ім'я комп'ютера (ігноруйте попередження сертифікату)
  3. Клацніть текст "Помилка сертифіката" у верхній частині екрана та виберіть "Переглянути сертифікати"
  4. У діалоговому вікні Сертифікат натисніть кнопку Встановити сертифікат -> Далі
  5. Виберіть Розмістити всі сертифікати в наступному магазині -> Огляд
  6. Поставте прапорець Показувати фізичні магазини
  7. Виберіть Довірені повноважні кореневі сертифікати - Місцевий комп'ютер
  8. Клацніть ОК - Далі - Готово - ОК
  9. Перезапустіть Internet Explorer
Jay67A
джерело
23
Етапи цих робіт працювали для мене, але мені довелося встановити прапорець * фізичний магазин і вибрав локальний комп'ютер * довірені люди *. Я спробував кожну іншу комбінацію, і нічого, крім цього, не вийшло. IE11
Дієго Фрехнер
6
Це найкраща відповідь, оскільки найвища відповідь не має вирішального значення "Запустити Internet Explorer як користувач з адміністративними правами".
Ніколас Мюррей
2
У мене не було опції "Довірені люди, локальний комп'ютер", тому я просто натиснув "Довірені люди", і це спрацювало.
Олексій Ангас
2
Я також просто вибрав "Довірених людей", і це спрацювало. Примітка. Я тестував на ПК з Windows 8. Зберігання сертифікатів в іншому місці, здавалося, не спрацювало, я успішно працював лише з "Довіреними людьми".
ScottyG
1
Це працювало для мене, коли я вибрав опцію "Довірені люди" -> "Місцевий комп'ютер". Щоб отримати опцію "Локальний комп'ютер", запустіть IE в режимі "Запустити як адміністративні привілеї". Я використовую Win7 та IE11
Sagar S.
28

Я спробував багато та багато кроків від різних людей, розміщених на різних веб-сайтах. Але жоден з них не згадує, що я повинен додати сертифікат у сховище довірених людей.

Правильно, розміщення його під довіреною CA недостатньо для мого випадку, я також повинен помістити сертифікати всередині довірених людей.

Ось:

  1. Запустіть MMC
  2. Додайте оснащення сертифіката та виберіть Місцевий комп'ютер
  3. Розгорніть сертифікати (локальний комп'ютер) -> Довірені люди -> Сертифікати
  4. Клацніть правою кнопкою миші Усі завдання -> Імпорт
  5. Закінчіть майстра

Щоб експортувати сертифікат:

  1. Запустити IE як адміністратор (клацнути правою кнопкою миші, запустити як адміністратор)
  2. Коли буде запропоновано недійсний сертифікат, все одно завітайте на веб-сайт
  3. Клацніть помилку сертифіката біля адреси, натисніть переглянути сертифікат
  4. Перейдіть на вкладку Деталі, натисніть Скопіювати у файл
  5. Збережіть як * .cer файл.

Я на IE9, Windows 7

приятель
джерело
5
+1 Я використав це для того, щоб з'ясувати, що в IE 10 на Win8 x64 ви запускаєте IE як адміністратор, перейдіть по ньому, потім натисніть на помилку до і використовуйте кнопку "Встановити Cert" звідти, вибравши довірених людей як пункт призначення (не certmgr.mscпотрібно )
Рубен Бартелінк
21

Переконайтеся, що ваш самопідписаний сертифікат відповідає URL-адресі вашого веб-сайту. Якщо цього не відбувається, ви будете отримувати помилку сертифіката навіть після того, як явно довіряєте сертифікату в Internet Explorer 8 (у мене немає Internet Explorer 7, але Firefox буде довіряти сертифікату незалежно від невідповідності URL-адреси).

Якщо це проблема, у червоному полі "Помилка сертифіката" в Internet Explorer 8 відображатиметься "Невідповідна адреса" як помилка після додавання сертифікату. Також "Переглянути сертифікати" має мітку " Видано:

Гейб Мутхарт
джерело
1
Чудова відповідь, "Невідповідні адреси" - це помилка. Я думав, що у мене проблема з встановленням сертифіката, але насправді, здається, сертифікат встановлений нормально, це просто трохи пошкоджено.
demoncodemonkey
1
Щоб розширити цю проблему для субдоменів. Проблема не зберігається із сертифікатами підстановки з власним підписом. issued to: *.example.comОтже, якщо у вас є декілька субдоменів, що підписуються самостійно, ви намагаєтесь IE прийняти, ви можете створити єдиний сертифікат підстановки та оновити місця сертифікатів на сертифікат підстановки. Будьте уважні, якщо використовуєте підподомени, a.b.example.comоскільки вам доведеться створити окремий сертифікат підстановки для піддомену *.b.example.com(НЕ *.*.example.com), щоб він також працював у IE.
fyrye
Це була відповідь для мене після того, як спробував усе вище та в інших місцях. Невідповідна адреса. Дякую!
Кон
16

Якщо ви отримуєте помилку невідповідності адреси, просто дозвольте невідповідність адреси:

  1. Інструменти та виберіть Опції Інтернету
  2. виберіть вкладку Додатково
  3. Прокрутіть униз і зніміть прапорець Попередження про невідповідність адреси сертифіката
Алістер Скотт
джерело
Це запобігає попередженням, але адресний рядок все ще червоний
Рассел
2
Щоб оновити сертифікат на правильну URL-адресу, використовуйте цей блог: robbagby.com/iis/… - суть полягає у використанні стороннього exe (selfssl.exe) та створіть сертифікат (і призначте його на сайті) із власною URL-адресою.
Рассел
ДЯКУЄМО ЗА ЦЕ! Я пішов на 2-3 кроки вище і все ще отримав попередження. Цей крок був єдиним, що спрацювало після імпорту cert близько півдесятка разів. Дякую!
Тенсіг
IE11 на Win10: Після імпорту сертифікатів, як описано Jay або Aya, я все-таки отримав помилку сертифіката. Лише після зняття цього попередження та перезавантаження, авторизовані сертифікати були прийняті (без адресного рядка червоним).
Електропепі
9

Людина, сьогодні я витратив кілька годин на боротьбу з цією проблемою. Що б я не робив в IE 8, проблема залишалася. Сертифікат, встановлений IE, з'являється в довірених органах сертифікації кореневих клієнтських ПК, однак IE все ще скаржиться ні на що.

Ось я знайшов рішення:

На веб-сервері:

  • Win + R, MMC, Enter.
  • Файл, оснащення для додавання та видалення, Сертифікати, Додати, Керувати сертифікатами для мого облікового запису користувача, Готово, Гаразд.
  • Перейдіть до пункту "Сертифікати - поточний користувач / Довірені кореневі органи сертифікації / Сертифікати".
  • Знайдіть свій сертифікат, клацніть правою кнопкою миші, Усі завдання / Експорт.
  • "Ні, не експортуйте приватний ключ"
  • "DER закодований двійковий X.509 (.CER)"
  • Збережіть файл десь.
  • Перенесіть щойно створений файл .CER на клієнтський ПК.

На клієнтській машині:

  • Win + R, MMC, Enter.
  • Файл, оснащення для додавання та видалення, Сертифікати, Додати, Керувати сертифікатами для мого облікового запису користувача, Готово, Гаразд.
  • Перейдіть до пункту "Сертифікати - поточний користувач / Довірені кореневі органи сертифікації / Сертифікати".
  • Клацніть правою кнопкою миші на контейнері сертифікатів, Усі завдання / Імпорт
  • Виберіть файл .CER, який ви передали з серверної машини.
  • На наступному екрані виберіть "Розмістити всі сертифікати в наступному магазині", натисніть "Огляд", поставте прапорець "Показати фізичні магазини", потім виберіть "Довірені кореневі органи сертифікації / локальний комп'ютер".
  • Нарешті натисніть "Готово".
  • В Internet Explorer: Інструменти - Видалити історію перегляду,
  • В Internet Explorer: Інструменти - Параметри Інтернету - вкладка "Вміст" - Кнопка очищення стану SSL.
Soonts
джерело
5

Ось як я змусив його працювати в IE8:

  1. Наприклад, перейдіть на відповідний веб-сайт https://xxx.yyy.com , наприклад,
  2. Клацніть до тих пір, поки не знайдете помилку сертифіката в рядку стану браузера.
  3. Перегляньте сертифікат, а потім на вкладці "Подробиці" виберіть "Копіювати у файл".
  4. Збережіть на робочому столі як xxx.cer, наприклад,
  5. Старт, запуск, MMC.
  6. Файл, додавання та видалення оснащення,
  7. Виберіть "Сертифікати", натисніть "Додати", "Мій обліковий запис користувача", а потім "Готово", потім "OK",
  8. Переконайтесь до довірених організацій, сертифікатів кореневих сертифікатів,
  9. Клацніть правою кнопкою миші сертифікат, виберіть Усі завдання, Імпорт,
  10. Виберіть Зберегти Серт на робочому столі
  11. Виберіть Розмістити всі сертифікати в наступному магазині, натисніть кнопку Огляд,
  12. Поставте прапорець "Показувати фізичні магазини", розгорніть довірені органи сертифікації кореневих систем та виберіть там "Місцевий комп'ютер", натисніть "ОК", завершіть імпорт,
  13. Перевірте список, щоб переконатися, що він відображається. Ймовірно, вам потрібно буде оновити, перш ніж побачити це. Вийдіть з MMC,
  14. Відкрийте браузер, виберіть Інструменти, Видалити історію перегляду
  15. Виберіть усі, крім вкладених даних фільтрування,
  16. Перейдіть до "Параметри Інтернету", "Вкладка вмісту", "Очистити стан SSL",
  17. Закрийте веб-переглядач і повторно відкрийте і протестуйте.
Філіп Моліка
джерело
Будь-яка порада, що робити, якщо "Копіювати у файл ..." вимкнено?
jessegavin
3
@jessegavin: запустіть IE як адміністратор
ryber
3

Вам слід встановити свій сертифікат як довірений орган на свій комп’ютер.

Існує чимало способів зробити це, для іспиту ви можете використовувати mmc (start / run / mmc), додати Snap-In сертифікатів, а звідти ви можете встановити свій самопідписаний сертифікат.

Цього не обійтися, оскільки вся суть сертифікатів полягає в тому, щоб попередити користувача, якщо веб-сайт, який він відвідує, не був сертифікований довіреною владою.

Бранн
джерело
Чи є інший спосіб зробити це, крім входу в кожну машину?
якщо ви перебуваєте в корпоративному середовищі, і якщо у вашої компанії встановлений сертифікат як довірений орган на всіх своїх комп’ютерах (що є загальним налаштуванням), ви можете використовувати цей сертифікат для підписання свого замість сертифіката, який підписав самостійно
Brann
Також можна встановити сертифікати з командного рядка, так що, безумовно, можна автоматизувати. Як це зробити в значній мірі залежить від того, якими інструментами користуються ваші сисадміни.
Brann
2
IE7 працював, якщо я встановив cert на локальній машині. IE8, здається, кидає попередження, навіть якщо я поклав сертифікат підписання (цей підпис підписаний власноруч) у надійних кореневих сертифікаційних органів. Я готовий зараз забути кут групової політики - я навіть не можу змусити його працювати на одній машині.
2

Для встановлення самого сертифікату недостатньо, натомість вам потрібно встановити кореневий сертифікат вашого сертифікаційного органу. Скажіть, якщо ви використовуєте сервіси сертифікатів Win Server, його кореневий сертифікат, який було створено, коли CS був встановлений на цьому сервері, буде встановлений. Він повинен бути встановлений до "Довірених кореневих органів сертифікації", як описано раніше.

3
Визначення самопідписаного cert - це те, де кореневим CA є сам cert. Довіряючи cert, йому буде по суті довіряти.
Дерек Дайсарт
1
Варто відзначити, для всіх , хто приїжджає сюди в майбутньому , що https://serverі https://server.example.comрізні , і якщо ІТ відділ зробив це речі правильно , ви , ймовірно , буде потрібно повне доменне ім'я.
PeterI
2

Це може допомогти кому - то я на IE11 вікні 7 і що я зробив в доповненні до установки сертифіката збираюся обозревателядіалоговим ==> авансової вкладка ==> безпеки ==> «зніміть прапорець» від попередження про адресу сертифіката невідповідність в доповненні внизу - не забудьте закрити всі екземпляри IE та перезапустити- після закінчення:

1-Запуск Internet Explorer працює.

2-Перегляд серверного комп'ютера за допомогою імені комп'ютера (ігноруйте попередження сертифікатів)

3 Клацніть текст "Помилка сертифіката" у верхній частині екрана та виберіть "Переглянути сертифікати"

4-У діалоговому вікні Сертифікат натисніть кнопку Встановити сертифікат -> Далі

5-Виберіть Розмістити всі сертифікати в наступному магазині -> Огляд

6-Встановити довірену кореневу сертифікацію ..

потім перезапустіть.

Сподіваюся, це допоможе комусь.

баран просто
джерело
1

Ви можете використовувати GPO, щоб використовувати сертифікат у домені.

Але моя проблема полягає в Internet Explorer 8, що навіть із сертифікатом у надійному магазині сертифікації кореневих файлів ... він все ще не скаже, що це надійний сайт.

З цим і підписом драйвера, що зараз потрібно зробити ... Я починаю цікавитись, хто є моїм комп'ютером!

Пітер Мортенсен
джерело
Якщо емітент - довірений корінь, то, ймовірно, у cert щось із цим не так. Чи відповідає ім'я Canonical на cert імені хоста, яке користувач використовує для доступу до сайту? Чи поточний час знаходиться в межах допустимості cert?
Юлій
1

На жаль, жодне з рішень не працювало для мене. Я використовував Internet Explorer 8 у Windows 7. Коли я шукав рішення, я знайшов налаштування щодо інформації про вхід на панелі управління. Тому я додав новий запис під інформацією на основі сертифіката з адресою мого сервера і вибрав свій кращий сертифікат.

Після очищення кеша SSL в Internet Explorer 8 я просто оновив сайт і потрібний сертифікат був відправлений на сервер.

Це не те рішення, якого я хотів, але воно працює.

p2u
джерело
1

Як уже згадували всі інші, перше завдання - додати сертифікат до довіреної кореневої влади.

Існує власна програма exe ( selfssl.exe ), яка створить сертифікат і дозволить вказати значення «Видано на:» (URL). Це означає, що Internet Explorer перевірить виданий URL на користувальницький інтранет.

Переконайтесь, що перезавантажте Internet Explorer, щоб оновити зміни.

Рассел
джерело
Це відмінна порада. Я думаю, що для "Помилки невідповідності адреси" це правильний спосіб зробити це, я намагався всі інші безрезультатно. Що насправді призвело до рішення, це ваш коментар (включаючи це посилання ) на @AlisterScott.
Девід Роджерс
0

Схоже, неможливо більше не мати помилку сертифіката. Я в Windows XP з IE 8. Групова політика встановила самопідписаний сертифікат як надійний кореневий сертифікат для доступу до внутрішнього сайту. Коли я дивлюсь на MMC із оснащенням сертифікату, я можу побачити сертифікат там добре.

Коли я дивлюсь на:

Параметри Інтернету => Зміст => сертифікати

Його там немає!

Така поведінка в IE почалася з того моменту, як наші адміністратори розпустилися з останніми партіями оновлень Patch-Tuesday, які встановили на моїй машині 10 грудня 2009 року. До цього він із задоволенням прийняв сертифікат як дійсний.

Іоанн С
джерело
0

У мене виникло те саме питання під час роботи з веб-сервісами. Тут Microsoft має (тривалий) прохід, який показує вам, як встановлювати речі на клієнті, щоб сказати, що з вашим самопідписаним сертифікатом добре. Зрештою, я щойно витратив 30 доларів і купив повний сертифікат від Godaddy.com.

PS Я знаю, що ви можете кодувати навколо повідомлення про помилку, але ми не хотіли цього робити з тестових причин.

JBrooks
джерело
0

Що ти робив раніше? Для самопідписаних сертифікатів я зазвичай встановлюю сертифікат локально в системі клієнтів.

Можливо, ви зможете використовувати групову політику для надсилання сертифіката до кожної системи.

Роб Хапт
джерело
0

Вам потрібно переконатися, що сертифікат, який підписує сам, використовує правильний common nameдомен, який ви налаштовуєте. Якщо ви збираєтесь використовувати один і той же сертифікат для декількох доменів, вам потрібно мати або унікальний сертифікат для кожного домену, або якщо всі ваші сайти ssl є піддоменами загального домену, ви можете генерувати сертифікат з подібним доменом *.domainname.tld.

Якщо ви не налаштували common nameправильно в своєму самопідписаному сертифікаті, Chrome і Firefox можуть працювати, але IE може не змогти знайти сертифікат, коли ви щоразу завантажуєте сайт. У IE це виглядатиме так, як ви додали cert сайту, але насправді при завантаженні сторінки він ніколи не буде знайдений.

як налаштувати SSL для Apache для Mac, щоб я міг перевірити крос-домен iFrame на IE8

jdavid.net
джерело
0

Як встановити CA Root Cert, а не веб-сайт Cert: (IE8, Win7)

Коли ви вказуєте реквізити сертифікату, ви дивитесь на веб-сайт cert, а не на сертифікат CA. На вкладці Загальні буде сказано: "Цей сертифікат неможливо перевірити ..." Вам потрібно обрати ЦС, натиснувши на вкладку Шлях сертифікації та обравши саму верхню частину шляху. Він повинен мати червоний значок X і повинен говорити: "Цей сертифікат кореневого сертифіката CA не довіряється тому, що ..." Натисніть кнопку Переглянути сертифікат, і на цій новій вкладці Загальні ви повинні побачити: "Цьому корінь CA не довіряють .. "Це сертифікат, який ви хочете імпортувати до довіреного кореневого сертифікаційного органу.

Після того, як ви імпортуєте CA, вам не потрібно імпортувати звичайний веб-сайт cert. Цей сертифікат буде підходити до CA, який ви щойно імпортували, і IE буде ставитись до всього як до нормальної роботи. Вам не потрібно запускати IE як адміністратор, і вам не потрібно спочатку додавати сайт до надійних сайтів. Вам потрібно перезапустити IE після імпорту.

шалі303
джерело
0

Я спробував усі згадані рішення, але жодне з них не працювало. Використовуючи Internet Explorer 11 (11.0.9600.17914), не було можливості прийняти недійсні сертифікати, оскільки помилка виглядала точно як 404.

Допомогло наступне: - додайте хост на надійні сайти (як згадувалося пару разів тут) - вимкніть TLS 1.2 та увімкніть SSL 1.0 та SSL 2.0

Останній крок - це те, що вам варто ТІЛЬКИ зробити, якщо ви знаєте, що робите. Нам тут потрібно використовувати досить дивне налаштування на роботі, тому ми не змогли знайти іншого способу отримати доступ до системи. Зазвичай зниження такої безпеки не слід робити.

Bouncner
джерело
0

Якщо ви робите локальне тестування і додаєте псевдонім у файлах хостів

127.0.0.1 www.mysite.com

і спробуйте скористатися будь-якою з перерахованих вище процедур, яку ви не зможете. Причина в тому, що ви імпортуєте сертифікат для localhost. URL-адреса сертифіката не збігається.

У цій ситуації вам доведеться генерувати самопідписаний сертифікат і потім імпортувати його, як описано вище.

Якщо ви використовуєте Xampp, генерація правильного сертифіката може бути легко виконана за допомогою c: \ xampp \ apache \ makecert.bat

Стефан Гербер
джерело
0

Ви можете використовувати CertMgr, щоб додати сертифікат як довіреного видавця або, якщо він підписаний самостійно, як кореневий сертифікат

CertMgr.exe /add CertificateFileName.cer /s /r localMachine root

Дивіться документацію Microsoft тут:

https://docs.microsoft.com/en-us/windows-hardware/drivers/install/using-certmgr-to-install-test-certificates-on-a-test-computer

фіджаарон
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.