Cosa devo fare per fare in modo che Internet Explorer 8 accetti un certificato autofirmato?


233

Utilizziamo certificati autofirmati sulla nostra intranet. Cosa devo fare per fare in modo che Internet Explorer 8 li accetti senza mostrare un messaggio di errore all'utente? Ciò che abbiamo fatto per Internet Explorer 7 sembra non funzionare.

EDIT: Internet Explorer 7 non mostrerebbe alcun errore se inserissi il certificato in autorità di certificazione radice attendibili. Internet Explorer 8 sembra mostrare errori anche con il certificato lì.


Solo curioso, cosa hai fatto in IE7?
Brann,

inseriscilo nel certificato nel negozio di certificazione radice attendibile

1
Hai lo screenshot dell'errore IE 8.? Cosa mostra sulla pagina del percorso del certificato? Assicurati di aver aggiunto la CA, non il certificato del sito.
J-16 SDiZ,

6
In realtà David, penso che SuperUser sia più appropriato.
Sameer Alibhai,

60
Questi dibattiti su dove appartiene la domanda sono assurdi. Seriamente, wtf. Anche se potrebbe adattarsi a uno qualsiasi dei siti suggeriti, è assolutamente ragionevole come una domanda degli sviluppatori perché è qualcosa che gli sviluppatori web spesso affrontano.
jpswain,

Risposte:


358

Come rendere IE8 affidabile in un certificato autofirmato in 20 passaggi irritanti

  1. Passare al sito di cui si desidera fidarsi del certificato.
  2. Quando viene visualizzato il messaggio "Si è verificato un problema con il certificato di sicurezza di questo sito Web", selezionare "Continua su questo sito Web (non consigliato)".
  3. Seleziona Strumenti► Opzioni Internet.
  4. Seleziona Sicurezza► Siti attendibili►Siti.
  5. Conferma che l'URL corrisponda e fai clic su "Aggiungi", quindi su "Chiudi".
  6. Chiudi la finestra di dialogo "Opzioni Internet" con "OK" o "Annulla".
  7. Aggiorna la pagina corrente.
  8. Quando viene visualizzato il messaggio "Si è verificato un problema con il certificato di sicurezza di questo sito Web", selezionare "Continua su questo sito Web (non consigliato)".
  9. Fai clic su "Errore certificato" a destra della barra degli indirizzi e seleziona "Visualizza certificati".
  10. Fare clic su "Installa certificato ...", quindi nella procedura guidata, fare clic su "Avanti".
  11. Nella pagina successiva selezionare "Posiziona tutti i certificati nel seguente negozio".
  12. Fare clic su "Sfoglia", selezionare "Autorità di certificazione radice attendibili" e fare clic su "OK".
  13. Torna nella procedura guidata, fai clic su "Avanti", quindi su "Fine".
  14. Se viene visualizzata la finestra di messaggio "Avviso di sicurezza", fare clic su "Sì".
  15. Chiudere la finestra di messaggio con "OK".
  16. Seleziona Strumenti► Opzioni Internet.
  17. Seleziona Sicurezza► Siti attendibili►Siti.
  18. Seleziona l'URL che hai appena aggiunto, fai clic su "Rimuovi", quindi su "Chiudi".
  19. Ora chiudi tutte le istanze di IE in esecuzione e riavvia IE.
  20. Il certificato del sito ora dovrebbe essere attendibile.

25
In IE 8 (sono su Windows 7), dopo il passaggio 5, deseleziona "Abilita modalità protetta". Quindi è possibile installare il certificato. Ma, anche dopo aver installato il certificato, continuo a ricevere l'avviso e la barra di posizione rossa.
Josh,

17
+1 per il titolo :) Il passaggio n. 12 è stato molto utile; non l'ho capito da solo.
jpswain,

3
Ho ricontrollato che l'indirizzo sia lo stesso, ma per farlo ho dovuto farlo: ho cliccato su Strumenti cliccato su Opzioni Internet Hai cliccato su Avanzato Scorri verso il basso fino a "Controlla la revoca del certificato del publisher". e deselezionato questo. Fare clic su Applica Fare clic su OK Chiuso e riaperto il browser techsupportforum.com/forums/f56/…
Akira Yamamoto

2
Se, come me, stai utilizzando una vecchia macchina virtuale per testare IE8 su Windows XP, ricordati di assicurarti che l'orologio di sistema sia accurato. Questo ha un ruolo nella verifica del certificato.
AlexMA,

17
Questi passaggi non hanno funzionato per IE 11. C'è qualche altra cosa che deve essere fatta lì?
user20358

71

L'ho fatto funzionare così

  1. Avviare Internet Explorer in esecuzione come utente con privilegi di amministratore.
  2. Passare al computer server utilizzando il nome del computer (ignora gli avvisi del certificato)
  3. Fai clic sul testo "Errore certificato" nella parte superiore dello schermo e seleziona "Visualizza certificati"
  4. Nella finestra di dialogo Certificato, fai clic su Installa certificato -> Avanti
  5. Seleziona Inserisci tutti i certificati nel seguente negozio -> Sfoglia
  6. Seleziona la casella di controllo Mostra negozi fisici
  7. Selezionare Autorità di certificazione radice attendibili - Computer locale
  8. Fare clic su OK - Avanti - Fine - OK
  9. Riavvia Internet Explorer

23
Questi passaggi hanno funzionato per me, ma ho dovuto selezionare la casella di controllo * archivio fisico e scegliere il computer locale * gente di fiducia *. Ho provato ogni altra combinazione e niente ha funzionato tranne questo. IE11
Diego Frehner,

6
Questa è la risposta migliore in quanto la risposta principale non ha il cruciale "Avvia Internet Explorer in esecuzione come utente con privilegi di amministratore".
Nicholas Murray,

2
Non avevo "Persone fidate, computer locale" come opzione, quindi ho semplicemente fatto clic su "Persone fidate" e ha funzionato.
Alex Angas,

2
Ho anche selezionato "Trusted People" e ha funzionato. Nota stavo testando su un PC Windows 8. Memorizzare i certificati in un'altra posizione non sembrava funzionare, ho avuto successo solo con "Trusted People".
ScottyG,

1
Ha funzionato per me quando ho selezionato 'Trusted People' -> 'Local Computer' opzione. Per ottenere l'opzione "Computer locale", esegui IE in modalità "Esegui come privilegi amministrativi". Sto usando Win7 e IE11
Sagar S.

28

Ho provato moltissimi passaggi da persone diverse pubblicate su siti Web diversi. Ma nessuno di loro afferma che dovrei aggiungere il certificato nel keystore Trusted People.

Esatto, metterlo sotto CA fidata non è abbastanza per il mio caso, devo mettere anche i certificati all'interno del Trusted People.

Quello è:

  1. Esegui MMC
  2. Aggiungi snap-in certificato scegli Computer locale
  3. Espandi Certificati (computer locale) -> Persone affidabili -> Certificati
  4. Fare clic con il tasto destro su Tutte le attività -> Importa
  5. Termina la procedura guidata

Per esportare il certificato:

  1. Esegui IE come admin (clic destro, esegui come admin)
  2. Quando viene richiesto un certificato non valido, andare comunque visitare il sito Web
  3. Fare clic sull'errore di certificato vicino all'indirizzo, fare clic su Visualizza certificato
  4. Vai alla scheda Dettagli, fai clic su Copia su file
  5. Salva come file * .cer.

Sono su IE9, Windows 7


5
+1 L'ho usato per capire che su IE 10 su Win8 x64 esegui IE come amministratore, naviga attraverso, quindi fai clic sull'errore fino a e usa il pulsante Installa certificato da lì, selezionando Trusted People come destinazione (non certmgr.mscrichiesto )
Ruben Bartelink,

21

Assicurati che il tuo certificato autofirmato corrisponda all'URL del tuo sito. In caso contrario, continuerai a ricevere un errore del certificato anche dopo aver esplicitamente considerato attendibile il certificato in Internet Explorer 8 (non ho Internet Explorer 7, ma Firefox si fiderà del certificato indipendentemente dalla mancata corrispondenza dell'URL).

Se questo è il problema, la casella rossa "Errore certificato" in Internet Explorer 8 mostrerà "Indirizzo non corrispondente" come errore dopo aver aggiunto il certificato. Inoltre, "Visualizza certificati" ha un'etichetta Rilasciato a: che mostra a quale URL è valido il certificato.


1
Ottima risposta, "Indirizzo non corrispondente" è l'errore che ho. Pensavo di avere un problema con l'installazione del certificato, ma in realtà sembra che il certificato sia stato installato correttamente, è solo un po 'rotto.
demoncodemonkey

1
Espanderci un po 'per i sottodomini. Il problema non persiste con i certificati jolly autofirmati. issued to: *.example.comQuindi, se hai diversi sottodomini autofirmati che stai cercando di far accettare ad IE, puoi creare un singolo certificato jolly e aggiornare le posizioni dei certificati con il certificato jolly. Prestare attenzione se si utilizzano i sottodomini a.b.example.compoiché sarà necessario creare un certificato con caratteri jolly separato per il sottodominio *.b.example.com(NON *.*.example.com) affinché funzioni anche in IE.
Fyrye,

Questa è stata la risposta per me dopo aver provato tutto sopra e altrove. Indirizzo non corrispondente. Grazie!
Kon

16

Se ricevi un errore di mancata corrispondenza dell'indirizzo, consenti solo la mancata corrispondenza dell'indirizzo:

  1. Strumenti e seleziona Opzioni Internet
  2. seleziona la scheda Avanzate
  3. Scorri verso il basso e deseleziona Avvisa sulla mancata corrispondenza dell'indirizzo del certificato

Questo impedisce il messaggio di avviso ma la barra degli indirizzi è ancora rossa
Russell

2
Per aggiornare il certificato all'URL corretto utilizzare questo blog: robbagby.com/iis/… - il punto cruciale è utilizzare un exe di terze parti (selfssl.exe) e creare un certificato (e assegnarlo al sito) con un URL personalizzato.
Russell,

GRAZIE PER QUESTO! Ho seguito 2-3 passaggi sopra e ho ancora ricevuto l'avviso. Questo passaggio è stato l'unica cosa che ha funzionato dopo aver importato il certificato circa una mezza dozzina di volte. Grazie!
Tensigh,

IE11 su Win10: dopo aver importato i certificati come descritto da Jay o Aya, ho ancora ricevuto l'errore del certificato. Solo dopo aver deselezionato l'avviso e riavviato, i certificati autofirmati sono stati accettati (senza che la barra degli indirizzi fosse rossa).
Elektropepi,

9

Amico, oggi ho passato alcune ore a combattere questo problema. Indipendentemente da ciò che ho fatto in Internet Explorer 8, il problema è rimasto. Il certificato installato da IE viene visualizzato nelle autorità di certificazione radice attendibili del PC client, tuttavia IE si lamenta comunque.

Ecco la soluzione che ho scoperto:

Sul server Web:

  • Win + R, MMC, Enter.
  • File, Aggiungi-Rimuovi snap-in, Certificati, Aggiungi, Gestisci certificati per: il mio account utente, Fine, OK.
  • Passare a "Certificati - utente corrente / Autorità / certificati di certificazione radice attendibili".
  • Trova il tuo certificato, fai clic con il pulsante destro del mouse, Tutte le attività / Esporta.
  • "No, non esportare la chiave privata"
  • "Binario codificato DER X.509 (.CER)"
  • Salva il file da qualche parte.
  • Trasferire il file .CER appena creato sul PC client.

Sul computer client:

  • Win + R, MMC, Enter.
  • File, Aggiungi-Rimuovi snap-in, Certificati, Aggiungi, Gestisci certificati per: il mio account utente, Fine, OK.
  • Passare a "Certificati - utente corrente / Autorità / certificati di certificazione radice attendibili".
  • Fare clic con il tasto destro del mouse sul contenitore Certificati, Tutte le attività / Importa
  • Scegli il tuo file .CER che hai trasferito dal server.
  • Nella schermata successiva, seleziona "Posiziona tutti i certificati nel seguente negozio", fai clic su "Sfoglia", seleziona "Mostra negozi fisici", quindi seleziona "Autorità di certificazione radice attendibili / Computer locale".
  • Premere infine "Fine".
  • In Internet Explorer: Strumenti - Elimina cronologia esplorazioni,
  • In Internet Explorer: Strumenti - Opzioni Internet - Scheda "Contenuto" - Pulsante Cancella stato SSL.

5

Ecco come l'ho fatto funzionare in IE8:

  1. Vai al sito Web in questione, https://xxx.yyy.com , ad esempio,
  2. Fare clic fino a quando non viene visualizzato l'errore Certificato nella riga di stato del browser.
  3. Visualizza il certificato, quindi dalla scheda Dettagli, seleziona Copia su file.
  4. Salvare sul desktop come xxx.cer, ad esempio,
  5. Avvia, Esegui, MMC.
  6. File, Aggiungi / Rimuovi snap-in,
  7. Seleziona Certificati, fai clic su Aggiungi, Account utente personale, quindi su Fine, quindi su OK,
  8. Scava per fidarsi di autorità di certificazione radice, certificati,
  9. Certificato con il tasto destro del mouse, Seleziona tutte le attività, Importa,
  10. Seleziona Salva certificato dal desktop
  11. Seleziona Inserisci tutti i certificati nel seguente negozio, fai clic su Sfoglia,
  12. Seleziona la casella Mostra negozi fisici, espandi le autorità di certificazione radice affidabili e seleziona lì il computer locale, fai clic su OK, Completa l'importazione,
  13. Controlla l'elenco per assicurarti che venga visualizzato. Probabilmente dovrai aggiornare prima di vederlo. Esci da MMC,
  14. Apri il browser, seleziona Strumenti, Elimina cronologia esplorazioni
  15. Seleziona tutto tranne i dati di filtro privati, completa,
  16. Vai a Opzioni Internet, Scheda Contenuto, Cancella stato SSL,
  17. Chiudi il browser, riapri e testa.

Qualche consiglio su cosa fare se "Copia su file ..." è disabilitato?
jessegavin,

3
@jessegavin: esegui IE come amministratore
ryber

3

È necessario installare il certificato come autorità attendibile sul computer.

Esistono numerosi modi per farlo, ad esempio è possibile utilizzare mmc (start / run / mmc), aggiungere lo snap-in certificati e da lì è possibile installare il proprio certificato autofirmato.

Non c'è modo di evitarlo perché l'intero punto dei certificati è avvisare l'utente se il sito Web che sta visitando non è stato certificato da un'autorità fidata.


Esiste un modo per farlo se non quello di accedere a ogni singola macchina?

se ti trovi in ​​un ambiente aziendale e se la tua azienda ha un certificato installato come autorità affidabile su tutti i suoi computer (che è una configurazione comune), puoi utilizzare questo certificato per firmare il tuo anziché un certificato autofirmato
Brann

È anche possibile installare certificati dalla riga di comando, quindi è sicuramente possibile automatizzare. Come farlo dipende fortemente dagli strumenti utilizzati dagli amministratori di sistema.
Brann,

2
IE7 ha funzionato se ho installato il certificato sul computer locale. Sembra che IE8 emetta un avviso anche se inserisco il certificato di firma (questo è autofirmato) in autorità di certificazione radice attendibili. Sono disposto a dimenticare l'angolazione dei criteri di gruppo per ora: non riesco nemmeno a farlo funzionare su una singola macchina.

2

Non è sufficiente installare il certificato stesso, ma è necessario installare il certificato radice dell'autorità di certificazione. Di 'se usi i Servizi certificati di Win Server, il suo certificato radice che è stato creato quando CS è stato installato su quel server è quello da installare. Deve essere installato nelle "Autorità di certificazione radice attendibili" come descritto in precedenza.


3
La definizione di un certificato autofirmato è quella in cui la CA principale è il certificato stesso. Confidando nel certificato sarà intrinsecamente attendibile.
Derek Dysart,

1
Vale la pena sottolineare che chiunque verrà in futuro qui https://servere che https://server.example.comsono diversi e se il reparto IT ha fatto le cose correttamente, probabilmente avrai bisogno del nome di dominio completo.
Pietro,

2

Questo può aiutare qualcuno che sono su Internet Explorer 7 e cosa ho fatto. Oltre a installare il certificato, vai su Opzioni Internet ==> scheda anticipo ==> sicurezza ==> "rimuovi il segno di spunta" dall'avviso relativo alla mancata corrispondenza dell'indirizzo del certificato in aggiunta al di sotto - non dimenticare di chiudere tutte le istanze di IE e riavviare al termine:

1-Start Internet Explorer in esecuzione.

2-Sfoglia per computer server utilizzando il nome del computer (ignora gli avvisi del certificato)

3-Fai clic sul testo "Errore certificato" nella parte superiore dello schermo e seleziona "Visualizza certificati"

4-Nella finestra di dialogo Certificato, fare clic su Installa certificato -> Avanti

5-Selezionare Posiziona tutti i certificati nel seguente negozio -> Sfoglia

6-Installa nella certificazione radice attendibile.

quindi riavviare.

Spero che questo aiuti qualcuno.


1

È possibile utilizzare l' oggetto Criteri di gruppo per utilizzare il certificato all'interno del dominio.

Ma il mio problema è con Internet Explorer 8, che anche con il certificato nel negozio di certificazione radice attendibile ... non dirà ancora che è un sito attendibile.

Con questo e il driver firma che deve essere fatto ora ... Sto iniziando a chiedermi chi possiede il mio computer!


Se l'emittente è un root attendibile, probabilmente il certificato ha qualcosa di sbagliato in esso. Il nome canonico sul certificato corrisponde al nome host che l'utente utilizza per accedere al sito? L'ora corrente rientra nell'intervallo di validità del certificato?
Yuliy,

1

Purtroppo nessuna delle soluzioni ha funzionato per me. Ho usato Internet Explorer 8 su Windows 7. Quando cercavo una soluzione, ho trovato le impostazioni sulle informazioni di accesso nel pannello di controllo. Quindi ho aggiunto una nuova voce sotto le informazioni basate sul certificato con l'indirizzo del mio server e ho scelto il mio certificato preferito.

Dopo aver cancellato la cache SSL in Internet Explorer 8, ho appena aggiornato il sito e il certificato giusto è stato inviato al server.

Questa non è la soluzione che volevo, ma funziona.


1

Come tutti gli altri hanno già detto, la prima attività è aggiungere il certificato all'autorità di certificazione attendibile.

Esiste un exe personalizzato ( selfssl.exe ) che creerà un certificato e consentirà di specificare il valore Emesso a: (l'URL). Ciò significa che Internet Explorer convaliderà l'emissione per l'URL con l'URL intranet personalizzato.

Assicurati di riavviare Internet Explorer per aggiornare le modifiche.


Questo è un consiglio eccellente, penso che per l '"Errore di mancata corrispondenza dell'indirizzo" questo sia il modo corretto di farlo, ho provato tutti gli altri inutilmente. Ciò che ha portato alla soluzione è stato il tuo commento (incluso questo link ) a @AlisterScott.
David Rogers,

0

Non sembra più possibile non avere più l'errore del certificato. Sono su Windows XP con IE 8. Criteri di gruppo avevano installato un certificato autofirmato come certificato radice attendibile per l'accesso a un sito interno. Quando guardo MMC con lo snap-in certificato, riesco a vedere il certificato lì OK.

Quando guardo:

Opzioni Internet => Contenuto => certificati

Non c'è!

Questo comportamento in IE è iniziato da quando i nostri amministratori si sono liberati dell'ultimo lotto di aggiornamenti di Patch-Tuesday installato sul mio computer il 10 dicembre 2009. Prima di allora era abbastanza felice di accettare il certificato come valido.


0

Ho avuto lo stesso problema mentre lavoravo con i servizi web. Qui Microsoft ha un (lungo) walk-thru che mostra come installare roba sul client per dire sostanzialmente che il tuo certificato autofirmato è ok. Alla fine, ho appena speso $ 30 e ho acquistato un certificato completo da Godaddy.com.

PS So che puoi programmare il messaggio di errore ma non volevamo farlo per motivi di test.


0

Cosa stavi facendo prima? Per i certificati autofirmati, normalmente installerei il certificato localmente sul sistema client.

Potresti essere in grado di utilizzare Criteri di gruppo per inviare un certificato a ogni sistema.


0

È necessario assicurarsi che il certificato autofirmato utilizzi quello corretto common nameper il dominio che si sta configurando. Se hai intenzione di utilizzare lo stesso certificato per più domini devi disporre di un certificato univoco per ciascun dominio o se tutti i tuoi siti ssl sono sottodomini di un dominio comune, puoi generare un certificato con un dominio jolly come *.domainname.tld.

Se non hai impostato common namecorrettamente il tuo certificato autofirmato, Chrome e Firefox potrebbero funzionare, ma IE potrebbe non essere in grado di trovare il certificato quando carichi il sito ogni volta. In IE sembrerà che tu abbia aggiunto il certificato del sito ma in effetti al caricamento della pagina non sarà mai trovato.

come configurare SSL per Apache per un Mac in modo da poter testare Cross Domain iFrame su IE8


0

Come installare CA Root Cert e non il sito Web Cert: (IE8, Win7)

Quando si visualizzano i dettagli del certificato, si sta visualizzando il certificato del sito Web e non il certificato CA. La scheda Generale dirà "Questo certificato non può essere verificato ..." È necessario selezionare la CA facendo clic sulla scheda Percorso certificazione e selezionando la più alta certificazione nel percorso. Dovrebbe avere un'icona X rossa e dovrebbe indicare "Questo certificato radice CA non è attendibile perché ..." Fai clic sul pulsante Visualizza certificato e in questa nuova scheda Generale dovresti vedere "Questa radice CA non è attendibile. "Questo è il certificato che si desidera importare nell'autorità di certificazione radice attendibile.

Dopo aver importato la CA, non è necessario importare il normale certificato del sito Web. Tale certificato verrà abbinato alla CA appena importata e IE tratterà tutto come normalmente funzionante. Non è necessario eseguire IE come amministratore e non è necessario aggiungere prima il sito a siti attendibili. È necessario riavviare IE dopo l'importazione.


0

Ho provato tutte le soluzioni menzionate ma nessuna ha funzionato. Utilizzando Internet Explorer 11 (11.0.9600.17914), non c'era modo di accettare certificati non validi poiché l'errore sembrava esattamente un 404.

Ciò che ha aiutato è stato il seguente: - aggiungere host a siti attendibili (come menzionato un paio di volte qui) - disabilitare TLS 1.2 e abilitare SSL 1.0 e SSL 2.0

L'ultimo passo è qualcosa che dovresti fare SOLO se sai cosa stai facendo. Dobbiamo usare una configurazione piuttosto strana qui al lavoro, quindi non siamo riusciti a trovare un altro modo per accedere al sistema. Di solito, non è necessario eseguire il downgrade della sicurezza in questo modo.


0

Se stai facendo dei test locali e aggiungi qualche alias nei file hosts, dillo

127.0.0.1 www.mysite.com

e prova a utilizzare una qualsiasi delle procedure di cui sopra non riuscirai. Il motivo è che importerai un certificato per localhost. L'URL del certificato non corrisponde.

In tale situazione dovrai generare un certificato autofirmato e quindi importarlo come descritto sopra.

Se stai usando Xampp, la generazione del certificato corretto può essere fatta facilmente usando c: \ xampp \ apache \ makecert.bat


Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.