Что мне нужно сделать, чтобы Internet Explorer 8 принял самозаверяющий сертификат?

233

Мы используем самоподписанные сертификаты в нашей внутренней сети. Что мне нужно сделать, чтобы Internet Explorer 8 принял их, не показывая пользователю сообщение об ошибке? То, что мы сделали для Internet Explorer 7, очевидно, не работает.

РЕДАКТИРОВАТЬ: Internet Explorer 7 не будет отображать никаких ошибок, если я помещу сертификат в доверенные корневые центры сертификации. Internet Explorer 8, похоже, показывает ошибки даже при наличии сертификата.

internet-explorer-8 ssl-certificate Питер Мортенсен
источник
Просто любопытно, что ты сделал в IE7?
Бранн
положить его в сертификат в хранилище доверенных корневых сертификатов
1
У вас есть скриншот для ошибки IE 8? Что это показывает на странице пути сертификата? Убедитесь, что вы добавили CA, а не сертификат сайта.
J-16 SDiZ
6
На самом деле Дэвид, я думаю, SuperUser является более подходящим.
Самер Алибхай
60
Эти дебаты о том, где этот вопрос принадлежит, абсурдны. Серьезно, невнятно Хотя он может подходить для любого из предложенных сайтов, он абсолютно обоснован как вопрос разработчика, поскольку с этим часто сталкиваются веб- разработчики .
jpswain

Ответы:

358

Как заставить IE8 доверять самозаверяющему сертификату за 20 раздражающих шагов

  1. Перейдите на сайт, сертификат которого вы хотите доверять.
  2. Когда появится сообщение «Есть проблема с сертификатом безопасности этого сайта», выберите «Перейти на этот сайт (не рекомендуется)».
  3. Выберите Сервис➞Интернет.
  4. Выберите Безопасность ➞ Доверенные сайты ➞ Сайты.
  5. Подтвердите совпадения URL и нажмите «Добавить», затем «Закрыть».
  6. Закройте диалоговое окно «Свойства обозревателя», нажав «ОК» или «Отмена».
  7. Обновить текущую страницу.
  8. Когда появится сообщение «Есть проблема с сертификатом безопасности этого сайта», выберите «Перейти на этот сайт (не рекомендуется)».
  9. Нажмите «Ошибка сертификата» в правой части адресной строки и выберите «Просмотр сертификатов».
  10. Нажмите «Установить сертификат ...», затем в мастере нажмите «Далее».
  11. На следующей странице выберите «Поместить все сертификаты в следующий магазин».
  12. Нажмите «Обзор», выберите «Доверенные корневые центры сертификации» и нажмите «ОК».
  13. Вернувшись в мастер, нажмите «Далее», затем «Готово».
  14. Если вы получили сообщение «Предупреждение системы безопасности», нажмите «Да».
  15. Закройте окно сообщения нажатием «ОК».
  16. Выберите Сервис➞Интернет.
  17. Выберите Безопасность ➞ Доверенные сайты ➞ Сайты.
  18. Выберите только что добавленный URL, нажмите «Удалить», затем «Закрыть».
  19. Теперь закройте все запущенные экземпляры IE и снова запустите IE.
  20. Сертификат сайта теперь должен быть доверенным.
Ая
источник
25
В IE 8 (я на Windows 7), после шага 5, снимите флажок «Включить защищенный режим». Затем вы можете установить сертификат. Но даже после установки сертификата я продолжаю получать предупреждение и красную строку адреса.
Джош
17
+1 за заголовок :) Шаг № 12 был самым полезным; Я не понял этого сам.
jpswain
3
Я дважды проверил, что адрес один и тот же, но мне нужно было сделать это, чтобы работать: Кликнул на Сервис, Кликнул на Свойства обозревателя, Кликнул Дополнительно, Прокрутил вниз до «Проверить отзыв сертификата издателя». и снял галочку с этого Нажмите «Применить». Нажмите «ОК». Закрыл и снова открыл браузер techsupportforum.com/forums/f56/…
Акира Ямамото
2
Если, как и я, вы используете старую виртуальную машину для тестирования IE8 на Windows XP, не забудьте убедиться, что ваши системные часы точны. Это играет роль в проверке сертификата.
AlexMA
17
Эти шаги не работают для IE 11. Есть ли что-то еще, что нужно сделать там?
user20358
71

Я получил это работает так

  1. Запустите Internet Explorer, работающий как пользователь с правами администратора.
  2. Найдите сервер, используя имя компьютера (игнорируйте предупреждения сертификатов)
  3. Нажмите на текст «Ошибка сертификата» в верхней части экрана и выберите «Просмотр сертификатов».
  4. В диалоговом окне «Сертификат» нажмите «Установить сертификат» -> «Далее».
  5. Выберите Поместить все сертификаты в следующем магазине -> Обзор
  6. Установите флажок Показать физические магазины
  7. Выберите доверенные корневые центры сертификации - локальный компьютер
  8. Нажмите ОК - Далее - Готово - ОК
  9. Перезапустите Internet Explorer
Jay67A
источник
23
Эти шаги работали для меня, но я должен был установить флажок * Физический магазин и выбрал * доверенные люди * локальный компьютер. Я пробовал все остальные комбинации, и ничего не получалось, кроме этого. IE11
Диего Френер
6
Это лучший ответ, поскольку в верхнем ответе нет ключевого слова «Запустите Internet Explorer, работающий как пользователь с правами администратора».
Николас Мюррей
2
У меня не было опции «Доверенные люди, локальный компьютер», поэтому я просто щелкнул «Доверенные люди», и это сработало.
Алекс Ангас
2
Я также просто выбрал «Надежные люди», и это сработало. Обратите внимание, что я тестировал на ПК с Windows 8. Хранение сертификатов в другом месте, похоже, не сработало, я добился успеха только с «Надежными людьми».
ScottyG
1
Это сработало для меня, когда я выбрал «Доверенные люди» -> «Локальный компьютер». Чтобы получить опцию «Локальный компьютер», пожалуйста, запустите IE в режиме «Запуск от имени администратора». Я использую Win7 и IE11
Сагар С.
28

Я перепробовал множество шагов от разных людей, размещенных на разных сайтах. Но никто из них не упоминает, что я должен добавить сертификат в хранилище ключей доверенных людей.

Да, для моего случая недостаточно поместить его в доверенный центр сертификации. Я должен также поместить сертификаты в доверенные лица.

Это:

  1. Запустить MMC
  2. Добавить оснастку сертификата выберите Локальный компьютер
  3. Развернуть Сертификаты (локальный компьютер) -> Доверенные люди -> Сертификаты
  4. Щелкните правой кнопкой мыши Все задачи -> Импорт
  5. Завершить работу мастера

Чтобы экспортировать сертификат:

  1. Запустите IE от имени администратора (щелкните правой кнопкой мыши, от имени администратора)
  2. Когда будет предложено недействительное свидетельство, все равно посетите веб-сайт
  3. Нажмите на ошибку сертификата рядом с адресом, нажмите просмотреть сертификат
  4. Перейдите на вкладку «Подробности», нажмите «Копировать в файл».
  5. Сохранить как * .cer файл.

Я на IE9, Windows 7

Buddie
источник
5
+1 Я использовал это, чтобы выяснить, что в IE 10 на Win8 x64 вы запускаете IE от имени администратора, просматриваете, затем нажимаете на ошибку до и с помощью кнопки Install Cert выбираете Trusted People в качестве места назначения (не certmgr.mscтребуется )
Рубен Бартелинк
21

Убедитесь, что ваш самоподписанный сертификат соответствует URL вашего сайта. Если этого не произойдет, вы продолжите получать ошибку сертификата даже после явного доверия к сертификату в Internet Explorer 8 (у меня нет Internet Explorer 7, но Firefox будет доверять сертификату независимо от несоответствия URL-адреса).

Если это проблема, красное поле «Ошибка сертификата» в Internet Explorer 8 будет отображать «Несоответствующий адрес» как ошибку после добавления сертификата. Кроме того, «Просмотр сертификатов» имеет метку « Issued to:», которая показывает, с каким URL действует сертификат.

Гейб Моутарт
источник
1
Отличный ответ: «Несоответствующий адрес» - это ошибка, которая у меня есть. Я думал, что у меня возникла проблема с установкой сертификата, но на самом деле кажется, что сертификат установлен нормально, он просто немного поврежден.
demoncodemonkey
1
Чтобы расширить это немного для поддоменов. Проблема не сохраняется с самозаверяющими подстановочными сертификатами. issued to: *.example.comТаким образом, если у вас есть несколько самозаверяющих поддоменов, которые вы пытаетесь заставить IE принять, вы можете создать один подстановочный сертификат и обновить местоположения сертификатов подстановочным сертификатом. Будьте внимательны при использовании субдоменов, так a.b.example.comкак вам придется создать отдельный подстановочный сертификат для субдомена *.b.example.com(НЕ *.*.example.com), чтобы он работал и в IE.
fyrye
Это был ответ для меня после того, как я попробовал все выше и в других местах. Несоответствующий адрес. Спасибо!
Кон
16

Если вы получаете ошибку несоответствия адресов, просто разрешите несоответствия адресов:

  1. Инструменты и выберите Свойства обозревателя
  2. выберите вкладку «Дополнительно»
  3. Прокрутите вниз и снимите флажок Предупреждать о несоответствии адреса сертификата
Алистер Скотт
источник
Это предотвращает предупреждение, но адресная строка все еще красная
Рассел
2
Чтобы обновить сертификат до правильного URL-адреса, используйте этот блог: robbagby.com/iis/…. Суть в том, чтобы использовать сторонний exe-файл (selfssl.exe) и создать сертификат (и назначить его сайту) с пользовательским URL-адресом.
Рассел
СПАСИБО ТЕБЕ ЗА ЭТО! Я следовал за 2-3 шагами выше и все еще получил предупреждение. Этот шаг был единственным, что сработало после импорта сертификата примерно полдюжины раз. Спасибо!
Тенси
IE11 на Win10: после импорта сертификатов, как описано Джей или Ая, я все еще получил ошибку сертификата. Только после снятия предупреждения и перезагрузки самозаверяющие сертификаты были приняты (без красной строки адреса).
Электропепи
9

Чувак, сегодня я потратил несколько часов на борьбу с этой проблемой. Что бы я ни делал в IE 8, проблема осталась. Сертификат, установленный IE, появляется в Trusted Root Certification Authorities на клиентском ПК, однако IE по-прежнему жалуется, несмотря ни на что.

Вот решение, которое я обнаружил:

На веб-сервере:

  • Win + R, MMC, Enter.
  • Файл, оснастка «Добавить-Удалить», «Сертификаты», «Добавить», «Управление сертификатами» для: моей учетной записи пользователя, «Готово», «ОК».
  • Перейдите к «Сертификаты - текущий пользователь / доверенные корневые центры сертификации / сертификаты».
  • Найдите свой сертификат, щелкните правой кнопкой мыши, Все задачи / Экспорт.
  • «Нет, не экспортируйте закрытый ключ»
  • "Кодированный двоичный код DER X.509 (.CER)"
  • Сохраните файл где-нибудь.
  • Передайте вновь созданный файл .CER на клиентский ПК.

На клиентской машине:

  • Win + R, MMC, Enter.
  • Файл, оснастка «Добавить-Удалить», «Сертификаты», «Добавить», «Управление сертификатами» для: моей учетной записи пользователя, «Готово», «ОК».
  • Перейдите к «Сертификаты - текущий пользователь / доверенные корневые центры сертификации / сертификаты».
  • Щелкните правой кнопкой мыши контейнер Сертификаты, Все задачи / Импорт
  • Выберите файл .CER, который вы передали с сервера.
  • На следующем экране выберите «Поместить все сертификаты в следующее хранилище», нажмите «Обзор», установите флажок «Показать физические хранилища», затем выберите «Доверенные корневые центры сертификации / Локальный компьютер».
  • Нажмите «Готово» наконец.
  • В Internet Explorer: Инструменты - Удалить историю просмотров,
  • В Internet Explorer: Сервис - Свойства обозревателя - вкладка «Содержимое» - Кнопка сброса состояния SSL.
Soonts
источник
5

Вот как я заставил его работать в IE8:

  1. Перейти на сайт, о котором идет речь, , например, https://xxx.yyy.com ,
  2. Нажимайте, пока не дойдете до ошибки сертификата в строке состояния браузера.
  3. Просмотрите сертификат, затем на вкладке «Сведения» выберите «Копировать в файл».
  4. Сохраните на рабочем столе как xxx.cer, например,
  5. Пуск, Выполнить, MMC.
  6. Файл, Добавить / Удалить оснастку,
  7. Выберите Сертификаты, нажмите Добавить, Моя учетная запись пользователя, затем Готово, затем ОК,
  8. Перейдите к доверенным корневым центрам сертификации, сертификатам,
  9. Щелкните правой кнопкой мыши Сертификат, выберите Все задачи, Импорт,
  10. Выберите Сохранить сертификат на рабочем столе
  11. Выберите Поместить все сертификаты в следующем магазине, нажмите Обзор,
  12. Установите флажок «Показать физические хранилища», «Развернуть доверенные корневые центры сертификации» и выберите «Локальный компьютер», нажмите «ОК», завершите импорт,
  13. Проверьте список, чтобы убедиться, что он появляется. Вам, вероятно, нужно обновить, прежде чем вы увидите это. Выход из MMC,
  14. Откройте браузер, выберите Инструменты, Удалить историю просмотров
  15. Выбрать все, кроме Inprivate Filtering Data, завершить,
  16. Перейдите в Свойства обозревателя, Вкладка Содержимое, Очистить состояние SSL,
  17. Закройте браузер, снова откройте и проверьте.
Филипп Моллика
источник
Любой совет, что делать, если «Копировать в файл ...» отключен?
jessegavin
3
@jessegavin: запускать IE от имени администратора
ryber
3

Вы должны установить свой сертификат как доверенный орган на вашем компьютере.

Есть множество способов сделать это, например, вы можете использовать mmc (start / run / mmc), добавить оснастку «Сертификаты», и оттуда вы можете установить свой самоподписанный сертификат.

Обойти это невозможно, поскольку весь смысл сертификатов состоит в том, чтобы предупредить пользователя, если посещаемый им сайт не был сертифицирован доверенным органом.

Бранн
источник
Есть ли способ сделать это, кроме входа на каждую машину?
если вы находитесь в корпоративной среде, и если в вашей компании на всех компьютерах установлен сертификат в качестве доверенного органа (что является обычной настройкой), вы можете использовать этот сертификат для подписи своего вместо самозаверяющего сертификата
Brann
Также возможно установить сертификаты из командной строки, поэтому, безусловно, возможно автоматизировать. Как это сделать, во многом зависит от того, какие инструменты используют ваши системные администраторы.
Бранн
2
IE7 работал, если я установил сертификат на локальном компьютере. IE8, кажется, выдает предупреждение, даже если я помещаю подписывающий сертификат (этот самозаверяющий) в доверенные корневые центры сертификации. Сейчас я хочу забыть об аспекте групповой политики - я даже не могу заставить его работать на одной машине.
2

Недостаточно установить сам сертификат, вместо этого вам нужно установить корневой сертификат вашего центра сертификации. Скажем, если вы используете Win Server Certificate Services, то его корневой сертификат, который был создан, когда CS был установлен на этом сервере, должен быть установлен. Он должен быть установлен в «Доверенные корневые центры сертификации», как описано ранее.


источник
3
Определение самоподписанного сертификата - это то, где корневым CA является сам сертификат. Доверие к сертификату будет доверять по своей сути.
Дерек Дайсарт
1
Стоит отметить, для всех , кто приезжает сюда в будущем , что https://serverи https://server.example.comразные , и если ИТ отдел сделал это вещи правильно , вы , вероятно , потребуется полное доменное имя.
PeterI
2

Это может помочь кому-то, кто я нахожусь на IE11 Windows 7 и что я сделал В дополнение к установке сертификата идет Переход к параметрам Интернета ==> вкладка ==> безопасность ==> «убрать проверку» из предупреждения о несоответствии адреса сертификата в дополнение ниже - не забудьте закрыть все экземпляры IE и перезапустить- после окончания:

1-Запустите Internet Explorer.

2-Найдите на сервере, используя имя компьютера (игнорируйте предупреждения сертификата)

3-Щелкните по тексту «Ошибка сертификата» в верхней части экрана и выберите «Просмотр сертификатов».

4-В диалоговом окне «Сертификат» нажмите «Установить сертификат» -> «Далее».

5-Выберите Поместить все сертификаты в следующем магазине -> Обзор

6-Установите в доверенный корневой сертификат.

затем перезагрузите.

Надеюсь, это поможет кому-то.

просто таран
источник
1

Вы можете использовать GPO для использования сертификата в домене.

Но моя проблема с Internet Explorer 8, что даже с сертификатом в доверенном корневом хранилище сертификации ... он все равно не скажет, что это надежный сайт.

С этим и подписью драйвера, которая должна быть сделана сейчас ... Я начинаю задумываться, кому принадлежит мой компьютер!

Питер Мортенсен
источник
Если эмитент является доверенным корнем, то, возможно, с сертификатом что-то не так. Соответствует ли каноническое имя сертификата имени хоста, которое пользователь использует для доступа к сайту? Находится ли текущее время в пределах диапазона действия сертификата?
Юлий
1

К сожалению, ни одно из решений не помогло мне. Я использовал Internet Explorer 8 в Windows 7. Когда я искал решение, я нашел настройки информации для входа в систему на панели управления. Поэтому я добавил новую запись в информацию на основе сертификатов с адресом моего сервера и выбрал свой предпочтительный сертификат.

После очистки кэша SSL в Internet Explorer 8 я просто обновил сайт, и на сервер был отправлен правильный сертификат.

Это не то решение, которое я хотел, но оно работает.

P2U
источник
1

Как уже упоминалось, первая задача - добавить сертификат в доверенный корневой центр.

Существует специальный exe ( selfssl.exe ), который создаст сертификат и позволит вам указать значение Issued to: (URL). Это означает, что Internet Explorer проверит выданный URL-адрес с помощью пользовательского URL-адреса интрасети.

Обязательно перезапустите Internet Explorer, чтобы обновить изменения.

Рассел
источник
Это отличный совет, я думаю, что для «Ошибка несоответствия адресов» это правильный способ сделать это, я пробовал все остальные безрезультатно. Что действительно привело к решению, так это ваш комментарий (включая эту ссылку ) к @AlisterScott.
Дэвид Роджерс
0

Это не похоже, что возможно больше не иметь ошибки сертификата. Я на Windows XP с IE 8. Групповая политика установила самозаверяющий сертификат в качестве доверенного корневого сертификата для доступа к внутреннему сайту. Когда я смотрю на MMC с оснасткой сертификата, я вижу сертификат там ОК.

Когда я смотрю на:

Свойства обозревателя => Содержание => Сертификаты

Это не там!

Такое поведение в IE началось с того момента, как наши администраторы проиграли последнюю партию обновлений Patch-Tuesday, которые были установлены на моей машине 10 декабря 2009 года. До этого он был очень рад принять сертификат как действительный.

Джон С
источник
0

У меня была такая же проблема при работе с веб-сервисами. Вот Microsoft есть (длинный) краткий обзор того, как установить компоненты на клиенте, чтобы сказать, что ваш самоподписанный сертификат в порядке. В итоге я потратил 30 долларов и купил полный сертификат у Godaddy.com.

PS Я знаю, что вы можете кодировать сообщение об ошибке, но мы не хотели делать это по причинам тестирования.

JBrooks
источник
0

Что ты делал раньше? Для самозаверяющих сертификатов я обычно устанавливаю сертификат локально в клиентской системе.

Возможно, вы сможете использовать групповую политику для отправки сертификата в каждую систему.

Роб Хаупт
источник
0

Вы должны убедиться, что самоподписанный сертификат использует правильный common nameдля домена, который вы настраиваете. Если вы собираетесь использовать один и тот же сертификат для нескольких доменов, вам нужно либо иметь уникальный сертификат для каждого домена, либо если все ваши ssl-сайты являются поддоменами общего домена, тогда вы можете создать сертификат с подстановочным доменом, например*.domainname.tld .

Если вы common nameнеправильно настроили самозаверяющий сертификат, Chrome и Firefox могут работать, но IE может не найти сертификат при каждой загрузке сайта. В IE это будет выглядеть так, как будто вы добавили сертификат сайта, но на самом деле при загрузке страницы он никогда не будет найден.

Как настроить SSL для Apache для Mac, чтобы я мог протестировать Cross Domain iFrame на IE8

jdavid.net
источник
0

Как установить корневой сертификат CA, а не сертификат веб-сайта: (IE8, Win7)

Когда вы открываете детали сертификата, вы просматриваете сертификат веб-сайта, а не сертификат CA. На вкладке «Общие» будет указано: «Этот сертификат не может быть проверен ...». Необходимо выбрать центр сертификации, щелкнув вкладку «Путь сертификации» и выбрав самый верхний сертификат в пути. Он должен иметь красный значок X и должен сказать: «Этот корневой сертификат CA не является доверенным, потому что ...» Нажмите кнопку «Просмотреть сертификат», и на этой новой вкладке «Общие» вы увидите «Этот корневой каталог CA». не является доверенным». Msgstr "Это сертификат, который вы хотите импортировать в Trusted Root Certificate Authority.

После того, как вы импортировали ЦС, вам не нужно импортировать обычный сертификат веб-сайта. Этот сертификат будет соответствовать только что импортированному CA, и IE будет работать как обычно. Вам не нужно запускать IE от имени администратора, и вам не нужно сначала добавлять сайт в доверенные сайты. Вам нужно перезапустить IE после импорта.

shalley303
источник
0

Я перепробовал все упомянутые решения, но ни одно из них не сработало. При использовании Internet Explorer 11 (11.0.9600.17914) не было возможности принять недействительные сертификаты, поскольку ошибка выглядела точно как 404.

Помогло следующее: - добавить хост к доверенным сайтам (как уже упоминалось здесь несколько раз) - отключить TLS 1.2 и включить SSL 1.0 и SSL 2.0

Последний шаг - это то, что вы должны делать ТОЛЬКО, если знаете, что делаете. Нам нужно использовать довольно странную настройку здесь, на работе, поэтому мы не могли найти другой способ получить доступ к системе. Как правило, понижение уровня безопасности не следует.

Bouncner
источник
0

Если вы проводите локальное тестирование и добавляете псевдоним в файлы hosts, скажите

127.0.0.1 www.mysite.com

и попробуйте использовать любую из вышеперечисленных процедур у вас не получится. Причина в том, что вы импортируете сертификат для localhost. URL сертификата не будет совпадать.

В этой ситуации вам нужно будет создать самозаверяющий сертификат и затем импортировать его, как описано выше.

Если вы используете Xampp, генерация правильного сертификата может быть легко выполнена с помощью c: \ xampp \ apache \ makecert.bat

Стефан Гербер
источник
0

Вы можете использовать CertMgr для добавления сертификата в качестве доверенного издателя или, если он самозаверяющий, в качестве корневого сертификата.

CertMgr.exe /add CertificateFileName.cer /s /r localMachine root

Смотрите документацию Microsoft здесь:

https://docs.microsoft.com/en-us/windows-hardware/drivers/install/using-certmgr-to-install-test-certificates-on-a-test-computer

fijiaaron
источник