Jak przechwycić certyfikat autoryzacji SSL potrzebny w środowisku korporacyjnym?

1

Moja sytuacja jest następująca: w naszej sieci korporacyjnej używany jest specjalny rodzaj certyfikatu SSL wydanego przez samą firmę. Za każdym razem, gdy otwieram witrynę za pomocą https w Firefoksie, wyświetlany jest monit ostrzegawczy „sec_error_unknown_issuer”. W szczegółach certyfikatu jest napisane, że ten konkretny certyfikat został wydany przez moją firmę, istnieje adres firmy i nazwa oraz wszystko. Jest to bardzo denerwujące, ponieważ za każdym razem, gdy idę do witryny zaszyfrowanej SSL, muszę dodać wyjątek dla nieprawidłowego certyfikatu. Jednym z możliwych rozwiązań byłoby zrezygnowanie z SSL i użycie zwykłego http, jeśli to możliwe (nie ma różnicy między SSL i no-SSL w tej chwili, jeśli administratorzy sieci samodzielnie obsługują certyfikaty), ale niektóre witryny nie działają bez SSL, na przykład strony logowania do banku. Myślę więc, że lepszym pomysłem byłoby dodanie certyfikatu do listy zaufanych organów Firefoksa. Aby to zrobić, muszę mieć certyfikat autoryzacji. Próbowałem go uzyskać za pomocą następującego polecenia Openssl, ale bezskutecznie:

openssl s_client -connect nazwa hosta: port

Pokazuje jeden certyfikat, ale potem się zatrzymuje, ponieważ niektóre certyfikaty nie mogły zostać zweryfikowane, a certyfikat jest niepoprawny, ponieważ Firefox wyświetla błąd podczas próby jego zaimportowania. Nie pamiętam dokładnie tej wiadomości, ale było to coś w stylu „ten certyfikat nie jest prawidłowym certyfikatem autoryzacji”.

Próbowałem też użyć Wiresharka, ale nie mogę używać zbyt dobrze i nie udało mi się złapać tego, czego szukałem. W ostateczności wyłączenie sprawdzania poprawności certyfikatów SSL w Firefoksie jest niemożliwe.

Jak więc mogę pobrać ten certyfikat lokalnego organu, który mógłbym zaimportować do Firefoksa, i przestać się denerwować komunikatami o błędach?

firefox ssl ssl-certificate user1042840
źródło
1
IIRC Administratorzy mogą umieścić certyfikat firmy na liście zaufanych certyfikatów we wszystkich systemach swoich pracowników. Poproś ich o wykonanie pracy.
Jan Doggen
Tak, to byłoby najlepsze, ale nie sądzę, żeby tak się stało. Stosowane są tutaj zarówno Windows, jak i różne odmiany Linuksa. Gdyby chcieli to zrobić, zrobiliby to, ale powiedzą, że to nie płaci.
user1042840
Możliwy duplikat Pomiń Google Chrome „Twoje połączenie nie jest prywatne” dla konkretnego adresu?
kenorb
Czy Firefox wyświetla dwa certyfikaty? Prawidłowo skonfigurowany serwer nie powinien wysyłać certyfikatu CA, ponieważ jeśli ufasz urzędowi certyfikacji, powinieneś już mieć jego certyfikat. Jeśli serwer jest poprawnie skonfigurowany, może nie istnieć sposób na uzyskanie certyfikatu poza pytaniem o to administratorów.
user2313067

Odpowiedzi:

0

Dodaj -showcerts opcja, aby s_client wydrukował cały łańcuch.

grawity
źródło
Próbowałem tej opcji, ale zbyt Openssl właśnie pokazał pierwszy certyfikat między „BEGIN CERTIFICATE” i „END CERTIFICATE”, który należy do zdalnego serwisu, takiego jak google.com. , Powinienem zachować dokładne komunikaty o błędach ze mną). Po zapisaniu tego certyfikatu w pliku „cert.crt” i próbie zaimportowania do listy zaufanych organów fx wystąpił błąd, że nie jest to poprawny certyfikat autoryzacji. Myślę, że nie wydrukował certyfikatu, który mnie interesuje.
user1042840
0

Dzisiaj stoję przed tym samym problemem i za każdym razem, gdy próbuję połączyć witrynę, wszystkie produkty mozilla proszą o pozwolenie na dodanie certyfikatu. Certyfikat ten zaświadcza tylko dla określonej strony internetowej.

Aby dodać certyfikat korporacyjny do zaufanych organów, przejdź do Panelu sterowania - & gt; Opcje internetowe - & gt; Treść - & gt; Certyfikaty - & gt; Zaufane główne urzędy certyfikacji

I tam pojawi się lista. Znajdź certyfikat korporacyjny i wyeksportuj go do pliku, korzystając z domyślnych opcji kreatora.

Po tym otwórz firefox, Opcje - & gt; Zaawansowane - & gt; Wyświetl certyfikaty - & gt; Władze - & gt; Import

Wybierz wyeksportowany plik i sprawdź wszystkie opcje zaufania.

Teraz będziesz mógł połączyć wszystkie strony internetowe.

mndeveci
źródło
0

Jeśli korzystasz z sieci firmowej lub ufasz wystawcy, musisz zaimportować dany certyfikat do swojego pęku kluczy i uczynić go zaufanym dla połączenia SSL. Aby działał dla wszystkich adresów internetowych, musi to być główny urząd certyfikacji.

W Chrome możesz zasadniczo kliknąć ikonę kłódki, a następnie zakładkę Połączenie, aby zobaczyć Informacje o certyfikacie, które powinny składać się z łącza CRT w certyfikacie głównym (górnym).

GitHub - The identity of this website has not been verified. Server's certificate is not trusted.

Po pobraniu pliku certyfikatu lub następującej komendy: 

openssl s_client -connect example.com:443 < /dev/null | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > foo.crt

otwórz plik iw zaufanych ustawieniach go zaufaj.

W systemie OS X można dwukrotnie kliknąć plik lub przeciągnąć i upuścić w dostępie do pęku kluczy, aby pojawił się w Zaloguj Się / Certyfikaty . Następnie kliknij dwukrotnie zaimportowany certyfikat i ustaw go jako Zawsze ufaj dla SSL (jak pokazano poniżej).

Keychain Access, login/Certificates - Always Trust

Teraz wszystkie strony HTTPS / SSL powinny działać poprawnie.

kenorb
źródło
0

Jeśli nie możesz uzyskać certyfikatu korporacyjnego serwera proxy sieci Web, dodaj własny lokalny serwer proxy (np. Proxy Burp Suite) między przeglądarką a korporacyjnym serwerem proxy i zainstaluj certyfikat lokalnej proxy w przeglądarce. Skonfiguruj przeglądarkę, aby korzystała z lokalnego serwera proxy (Opcje - & gt; Zaawansowane - & gt; Sieć - & gt; Ustawienia połączenia). Przeglądarka widzi wtedy tylko certyfikaty wydane przez lokalny serwer proxy, który jest zaufany, i nie widać błędów w przeglądarce.

juhraffe
źródło