Problem
Seit dem Manifest V3-Update von Google unterstützen Browser-Erweiterungen keine selbst signierten Zertifikate mehr. Daher musst Du sicherstellen, dass die Zertifikate die aktuellen Sicherheitsanforderungen erfüllen, um die Funktionalität der Password Secure Browser-Erweiterung aufrechtzuerhalten.
Überprüfen Sie, ob ein selbst signiertes Zertifikat im IIS verwendet wird
Gehe folgendermaßen vor, um festzustellen, ob Deine IIS (Internet Information Services) ein selbst signiertes Zertifikat verwendet:
- Öffne den IIS-Manager:
- Drücke
Win + R
, gebeinetmgr
ein, und drücke dieEingabetaste
. - Wähle die Website aus:
- Erweitere die Server-Ansicht, um eine Liste der Websites im linken Fensterbereich „Verbindungen“ anzuzeigen.
- Der Name der Seite sollte entweder „WebApp“ oder „WebClient“ (veraltet) lauten.
- Site Bindings anzeigen:
- Klicke mit der rechten Maustaste auf die Site und wähle Bindungen bearbeiten.
- Suche die HTTPS-Bindung:
- Suche im Fenster „ Site Bindings“ nach dem Eintrag „Type“ mit dem Wert „
https
“. Dies ist die Bindung, die das SSL-Zertifikat für die Website angibt. - Wähle die https-Bindung aus und klicke auf Bearbeiten.
- Überprüfe, ob es selbst signiert ist:
- Im Feld SSL-Zertifikat siehst Du den Namen des Zertifikats, das dieser Bindung derzeit zugewiesen ist.
- Klicke auf Ansicht neben dem Feld SSL-Zertifikat. Dadurch werden die Zertifikatsdetails geöffnet.
- Überprüfe im Fenster „Zertifikatsinformationen“ die Felder „Aussteller“ und „Betreff“: Wenn Aussteller und Betreff identisch sind, deutet dies in der Regel auf ein selbst signiertes Zertifikat hin.
Lösung
Option 1: Verwendung von Let's Encrypt für öffentlich verfügbare Web-Endpunkte
Für öffentliche Endpunkte bietet Let's Encrypt kostenlose, automatisierte und CA-signierte Zertifikate an.
Um ein Zertifikat auszustellen, musst Du einen der verfügbaren Let's Encrypt-Clients verwenden.
Hinweis: Bitte lese in der entsprechenden Client-Dokumentation nach, wie Du ein Let's Encrypt-Zertifikat ausstellen und verwenden kannst.
Option 2: Umstellung auf ein CA-Zertifikat für den internen Gebrauch unter Verwendung eines vorhandenen CA-Servers
Ersetze bei der Seite das selbst signierte Zertifikat durch ein CA-signiertes Zertifikat, um die Kompatibilität mit der neuesten Password Secure Browser Extension sicherzustellen.
- Erzeuge eine Zertifikatsignierungsanforderung (CSR) in IIS.
- Sende die CSR an Ihre interne CA und rufe das ausgestellte Zertifikat ab.
- Installiere und binde das CA-Zertifikat in IIS an die WebApp.
Option 3: Verwende PowerShell zum Erstellen eines gültigen CA-basierten Zertifikats
Hinweis: Um die folgenden Befehle auszuführen, musst Du PowerShell in einer privilegierten Sitzung verwenden (als Administrator ausführen).
Hinweis: Du musst die hervorgehobenen Werte an Deine Anforderungen anpassen.
Schritt 1: Erstellen des Root CA-Zertifikats
# Root CA certificate
$rootCert = New-SelfSignedCertificate -CertStoreLocation Cert:\LocalMachine\My `
-Subject "CN=NpwsRootCA, O=MyOrganization, C=US" `
-KeyExportPolicy Exportable `
-KeyUsage CertSign, CRLSign, DigitalSignature `
-KeyLength 4096 `
-HashAlgorithm SHA256 `
-NotAfter (Get-Date).AddYears(10) `
-KeyUsageProperty All
# Export the root CA certificate to a file (for later distribution to your clients)
New-Item -ItemType Directory -Force -Path C:\CA
Export-Certificate -Cert $rootCert -FilePath "C:\CA\NpwsRootCA.cer"
Schritt 2: Ausstellen eines von der Root CA signierten Zertifikats
$hostname = "passwordsecure.internal.mydomain.com" # Replace with your actual hostname
# CA signed certificate
$issuedCert = New-SelfSignedCertificate -CertStoreLocation Cert:\LocalMachine\My `
-Subject "CN=$hostname" `
-TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.1") `
-DnsName $hostname `
-Signer $rootCert `
-KeyExportPolicy Exportable `
-KeyUsage DigitalSignature, KeyEncipherment `
-KeyLength 3072 `
-HashAlgorithm SHA256 `
-NotAfter (Get-Date).AddYears(2)
Schritt 3: Importiere das Root CA-Zertifikats auf einem Client-Rechner
Um das Root CA-Zertifikat auf einem einzelnen Client-Rechner zu importieren, führe diese Schritte aus, um sicherzustellen, dass der Client den von Deiner neu erstellten Root CA signierten Zertifikaten vertraut:
Hinweis: Dieser Schritt ist auf jedem Client-Computer erforderlich, der in der Lage sein sollte, die Password Secure Browser-Erweiterung zu verwenden. Für eine Bereitstellung in größerem Umfang solltest Du ein GPO oder Intune verwenden.
$rootCertPath = "C:\CA\NpwsRootCA.cer" # Update this path as necessary
Import-Certificate -FilePath $rootCertPath -CertStoreLocation Cert:\LocalMachine\Root
Kommentare