SBS certfikat

Jeg vil IKKE anbefale at du sletter SSL for webaccess!

Det kan skyldes flere ting:
1:
Servernavn i URL og certifikat afviger fra hinanden

2:
Browser kan ikke finde en gyldig certifikat-sti (typisk aktuelt ved selvudstedte certifikater).

3:
Certifikatet på server er udløbet

Hvis du giver en adresse til serveren er det muligt at hjælpe yderligere.

/Peter

hej Peter

adressen er fedthans.dk
tror at jeg har løst problemet.
fedthans

OK!

Jeg kan i hvert fald se, at certifikatet er selvudstedt og derfor skal det eksplicit lægges i browserens keystore.

Derudover ser navnet i certifikatet noget besynderligt ud. Normalt lægger man kun eet cn i distinguishedName (f.eks. srvkha01.fedthans.dk) og derudover som minimum et country-felt. Alle muligheder af servernavne placeres i subjectAltName som dNSName.

Det kan godt være at browsernes phishing filtre hidser sig op over localhost som servernavn?????? Om ikke nu så måske på et senere tidspunkt??

/Peter

Jeg glemte lige at sige:

En del organisationer anbefaler at man fra senest fra udgangen af 2010 stopper med at anvende 1024 bits RSA. Hvis du kan få din server til at genere 2048 bits RSA er du bedre kørende sikkerhedsmæssigt. Med mindre at du har sindsygt mange brugere, der etablere en forbindelse samtidig, vil det ikke belaste serveren i nævneværdigt grad.

/Peter

cool... men hvis jeg skal forbedre cert. hvad vil man så gøre?
du taler om 2048 bit! kan man selv ændre det til det?
har ikke installeret ca server på min sbs, skal man sætte en sådan en op hvis man skal lave det?
fedthans

Jeg ved ikke nok om SBS til at kunne hjælpe dig med at generere et nyt selvudstedt certifikat med RSA 2048 bits nøgler. Ud fra en meget kort research på nettet, ser det ud til at dit nuværende selvudstedte certifikat blev lavet automatisk som et led i opsætningen og jeg kan levende forestille mig at du overhovedet ikke blev spurgt om RSA nøglelængder.

Men slå koldt vand i blodet. Hvis du laver en risikoanalyse vil sikkert komme frem til, at der er større trusler du først skal kigge på end 1024->2048. I skrivende stund er der mig bekendt IKKE EN ENESTE 1024-bit RSA nøgle, der er brudt. Hvis det har din interesse kan holde øje med fremskridtet på http://en.wikipedia.org/wiki/RSA under afsnittet Security.

/Peter

thx