Troubleshooting: Browser-Erweiterung unterstützt keine selbst signierten Zertifikate mehr

Folgen

Problem

Seit dem Manifest V3-Update von Google unterstützen Browser-Erweiterungen keine selbst signierten Zertifikate mehr. Daher musst Du sicherstellen, dass die Zertifikate die aktuellen Sicherheitsanforderungen erfüllen, um die Funktionalität der Password Secure Browser-Erweiterung aufrechtzuerhalten.

 

Überprüfen Sie, ob ein selbst signiertes Zertifikat im IIS verwendet wird

Gehe folgendermaßen vor, um festzustellen, ob Deine IIS (Internet Information Services) ein selbst signiertes Zertifikat verwendet:

  • Öffne den IIS-Manager:
    • Drücke Win + R, gebe inetmgr ein, und drücke die Eingabetaste.
  • Wähle die Website aus:
    • Erweitere die Server-Ansicht, um eine Liste der Websites im linken Fensterbereich „Verbindungen“ anzuzeigen.
    • Der Name der Seite sollte entweder „WebApp“ oder „WebClient“ (veraltet) lauten.
  • Site Bindings anzeigen:
    • Klicke mit der rechten Maustaste auf die Site und wähle Bindungen bearbeiten.
  • Suche die HTTPS-Bindung:
    • Suche im Fenster „ Site Bindings“ nach dem Eintrag „Type“ mit dem Wert „ https“. Dies ist die Bindung, die das SSL-Zertifikat für die Website angibt.
    • Wähle die https-Bindung aus und klicke auf Bearbeiten.
  • Überprüfe, ob es selbst signiert ist:
    • Im Feld SSL-Zertifikat siehst Du den Namen des Zertifikats, das dieser Bindung derzeit zugewiesen ist.
    • Klicke auf Ansicht neben dem Feld SSL-Zertifikat. Dadurch werden die Zertifikatsdetails geöffnet.
    • Überprüfe im Fenster Zertifikatsinformationen“ die Felder Aussteller“ und „Betreff“: Wenn Aussteller und Betreff identisch sind, deutet dies in der Regel auf ein selbst signiertes Zertifikat hin.

 

Lösung

Option 1: Verwendung von Let's Encrypt für öffentlich verfügbare Web-Endpunkte

Für öffentliche Endpunkte bietet Let's Encrypt kostenlose, automatisierte und CA-signierte Zertifikate an.

Um ein Zertifikat auszustellen, musst Du einen der verfügbaren Let's Encrypt-Clients verwenden.

 

Hinweis: Bitte lese in der entsprechenden Client-Dokumentation nach, wie Du ein Let's Encrypt-Zertifikat ausstellen und verwenden kannst.

 

Option 2: Umstellung auf ein CA-Zertifikat für den internen Gebrauch unter Verwendung eines vorhandenen CA-Servers

Ersetze bei der Seite das selbst signierte Zertifikat durch ein CA-signiertes Zertifikat, um die Kompatibilität mit der neuesten Password Secure Browser Extension sicherzustellen.

  1. Erzeuge eine Zertifikatsignierungsanforderung (CSR) in IIS.
  2. Sende die CSR an Ihre interne CA und rufe das ausgestellte Zertifikat ab.
  3. Installiere und binde das CA-Zertifikat in IIS an die WebApp.

Option 3: Verwende PowerShell zum Erstellen eines gültigen CA-basierten Zertifikats

Hinweis: Um die folgenden Befehle auszuführen, musst Du PowerShell in einer privilegierten Sitzung verwenden (als Administrator ausführen).

Hinweis: Du musst die hervorgehobenen Werte an Deine Anforderungen anpassen.

 

Schritt 1: Erstellen des Root CA-Zertifikats

# Root CA certificate
$rootCert = New-SelfSignedCertificate -CertStoreLocation Cert:\LocalMachine\My `
-Subject "CN=NpwsRootCA, O=MyOrganization, C=US" `
-KeyExportPolicy Exportable `
-KeyUsage CertSign, CRLSign, DigitalSignature `
-KeyLength 4096 `
-HashAlgorithm SHA256 `
-NotAfter (Get-Date).AddYears(10) `
-KeyUsageProperty All

# Export the root CA certificate to a file (for later distribution to your clients)
New-Item -ItemType Directory -Force -Path C:\CA
Export-Certificate -Cert $rootCert -FilePath "C:\CA\NpwsRootCA.cer"

Schritt 2: Ausstellen eines von der Root CA signierten Zertifikats

$hostname = "passwordsecure.internal.mydomain.com" # Replace with your actual hostname

# CA signed certificate
$issuedCert = New-SelfSignedCertificate -CertStoreLocation Cert:\LocalMachine\My `
-Subject "CN=$hostname" `
-TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.1") `
-DnsName $hostname `
-Signer $rootCert `
-KeyExportPolicy Exportable `
-KeyUsage DigitalSignature, KeyEncipherment `
-KeyLength 3072 `
-HashAlgorithm SHA256 `
-NotAfter (Get-Date).AddYears(2)

Schritt 3: Importiere das Root CA-Zertifikats auf einem Client-Rechner

Um das Root CA-Zertifikat auf einem einzelnen Client-Rechner zu importieren, führe diese Schritte aus, um sicherzustellen, dass der Client den von Deiner neu erstellten Root CA signierten Zertifikaten vertraut:

Hinweis: Dieser Schritt ist auf jedem Client-Computer erforderlich, der in der Lage sein sollte, die Password Secure Browser-Erweiterung zu verwenden. Für eine Bereitstellung in größerem Umfang solltest Du ein GPO oder Intune verwenden.

 

$rootCertPath = "C:\CA\NpwsRootCA.cer" # Update this path as necessary
Import-Certificate -FilePath $rootCertPath -CertStoreLocation Cert:\LocalMachine\Root
Haben Sie Fragen? Anfrage einreichen

Kommentare