Aug 20 2008

Zertifikate von Network Solutions auf dem PDA installieren

Mein Arbeitgeber betreibt einige Subdomains mit SSL-Verschlüsselung, z.B. für den Exchange-Zugriff. Um die Kosten für die dafür benötigten Zertifikate zu senken, wurde nun ein sogenanntes Wildcard-Zertifikat angeschafft, das für alle Subdomains gültig ist. Unser Aussteller bzw. Anbieter hierfür ist Network Solutions, wo so ein Zertifikat im Jahr ca. 440 US$ kostet – zum Vergleich: ein Zertifikat für eine einzelne Subdomain kostet mindestens 90 US$ pro Jahr.

Nun ist es so, dass dieses Wildcard-Zertifikat mit einer Kette von hierarchisch höher stehenden Zertifikaten abgesichert ist. Damit die Verschlüsselung vom Client, also zum Beispiel dem Browser, als gültig akzeptiert wird, müssen also die entsprechenden Zertifikate installiert sein. Welche genau das sind, findet man am einfachsten mit einem Webbrowser heraus, indem man eine abgesicherte Subdomain mit HTTPS aufruft und sich die Details der Zertifikats anzeigen lässt. Für die ganze Kette schreibt man sich die Seriennummern heraus, um später abzugleichen, welche Zertifikate genau installiert werden müssen, manchmal gibt es nämlich mehrere des gleichen Ausstellers.

Auf einem WinMo-Gerät sind die benötigten Zertifikate für Network Solutions nicht vorinstalliert. Falls man ActiveSync gegen einen entsprechend abgesicherten Exchange-Server einrichten möchte, wird der Sync-Vorgang mit einem Fehlercode 0x80072F0D abgebrochen. Man muss die Zertifikate also nachinstallieren.
Der Internet Explorer 7 hat alle benötigten Zertifikate bereits an Bord, ansonsten findet man alle Network Solutions-Zertifikate über einen Support-Artikel. Aus dem IE kann man sie auch im richtigen Format für den PDA (DER-codiert binär X.509, Endung .cer) exportieren. Die so erzeugten CER-Files dann einfach auf den PDA übertragen und dort über den DateiExplorer doppelklicken, sie werden installiert und schon kann man ohne Zertifikatswarnung auf die Wildcard-Zertifikate zugreifen und auch den Sync mit Exchange durchführen.

Flattr this!


Dez 7 2007

Browser Feature of the Day

Ich habe heute ein Browser-Feature kennengelernt, das bei Security-relevanten Websites sehr nützlich sein kann, aber bisher nur selten verwendet oder auch nur dokumentiert ist.

Wenn eine Website sowohl über HTTP als auch SSL-verschlüsselt mit HTTPS aufgerufen werden kann, hat man das Problem, dass man absolute Linkreferenzen auf andere Server idealerweise ebenfalls mit dem jeweils gerade verwendeten Protokoll aufrufen müsste. Ansonsten bekommt man beim Aufruf SSL-verschlüsselter Seiten unschöne Meldungen, dass Elemente der aufgerufenen Seite nicht sicher sind – das Schloß-Symbol im Browser ist durchgestrichen. Das betrifft zum Beispiel Bilder, die auf einem eigenen Bilderserver gehostet sind. Mir bekannte Workarounds hierfür waren bisher client- oder serverseitige Protokollweichen, die die URLs je nach verwendetem Protokoll umgeschrieben haben, oder die feste Verlinkung mit HTTPS-URLs.

Was aber genauso funktioniert sind URLs, bei denen man das Protokoll und den Colon (Doppelpunkt) einfach weglässt, also z.B.
<img src="//www.bilderserver.tld/img/bild.gif"/>
Der Browser ergänzt dann das Protokoll automatisch.

Feines Feature.

Flattr this!