O que preciso fazer para que o Internet Explorer 8 aceite um certificado autoassinado?

233

Usamos certificados autoassinados em nossa intranet. O que preciso fazer para que o Internet Explorer 8 os aceite sem mostrar uma mensagem de erro ao usuário? O que fizemos no Internet Explorer 7 aparentemente não está funcionando.

EDIT: O Internet Explorer 7 não mostraria nenhum erro se eu colocasse o certificado em autoridades de certificação raiz confiáveis. O Internet Explorer 8 parece mostrar erros, mesmo com o certificado lá.

internet-explorer-8 ssl-certificate Peter Mortensen
fonte
Apenas curioso, o que você fez no IE7?
25119 Brann
colocá-lo no certificado para arquivo de certificação raiz confiável
1
Você tem a captura de tela para erro do IE 8.? O que mostra na página do caminho do certificado? Verifique se você adicionou a CA, não o certificado do site.
J-16 SDiZ
6
Na verdade, David, acho que SuperUser é mais apropriado.
Sameer Alibhai 18/02
60
Esses debates sobre onde a questão pertence são absurdos. Sério, wtf. Embora possa se encaixar em qualquer um dos sites sugeridos, é absolutamente razoável como uma pergunta de desenvolvedor, porque é algo que os desenvolvedores da Web geralmente enfrentam.
Jspwain # 1

Respostas:

358

Como fazer o IE8 confiar em um certificado autoassinado em 20 etapas irritantes

  1. Navegue até o site cujo certificado você deseja confiar.
  2. Quando informado "Há um problema com o certificado de segurança deste site", escolha "Continuar neste site (não recomendado)".
  3. Selecione Ferramentas➞ Opções da Internet.
  4. Selecione Segurança➞ Sites confiáveis➞Sites.
  5. Confirme se o URL corresponde e clique em "Adicionar" e depois em "Fechar".
  6. Feche a caixa de diálogo "Opções da Internet" com "OK" ou "Cancelar".
  7. Atualize a página atual.
  8. Quando informado "Há um problema com o certificado de segurança deste site", escolha "Continuar neste site (não recomendado)".
  9. Clique em "Erro de certificado" à direita da barra de endereço e selecione "Ver certificados".
  10. Clique em "Instalar certificado ..." e, no assistente, clique em "Avançar".
  11. Na próxima página, selecione "Coloque todos os certificados na seguinte loja".
  12. Clique em "Procurar", selecione "Autoridades de certificação raiz confiáveis" e clique em "OK".
  13. De volta ao assistente, clique em "Avançar" e depois em "Concluir".
  14. Se você receber uma caixa de mensagem "Aviso de segurança", clique em "Sim".
  15. Descarte a caixa de mensagem com "OK".
  16. Selecione Ferramentas➞ Opções da Internet.
  17. Selecione Segurança➞ Sites confiáveis➞Sites.
  18. Selecione o URL que você acabou de adicionar, clique em "Remover" e depois em "Fechar".
  19. Agora desligue todas as instâncias em execução do IE e inicie o IE novamente.
  20. Agora, o certificado do site deve ser confiável.
Aya
fonte
25
No IE 8 (no Windows 7), após a etapa 5, desmarque a opção "Ativar modo protegido". Então você pode instalar o certificado. Mas, mesmo depois de instalar o certificado, continuo recebendo a barra de aviso e o local vermelho.
21710 Josh
17
+1 no título :) O passo 12 foi mais útil; não percebi isso sozinho.
Jpswain #
3
Verifiquei duas vezes se o endereço é o mesmo, mas precisava fazer isso para funcionar: Clicou em Ferramentas Clicou em Opções da Internet Clicou em Avançado Role para baixo até "Verificar revogação de certificado do editor". e desmarcou isso. Clicou em Aplicar Clicou em OK Fechado e reaberto o navegador techsupportforum.com/forums/f56/…
Akira Yamamoto
2
Se, como eu, você estiver usando uma VM antiga para testar o IE8 no Windows XP, lembre-se de verificar se o relógio do sistema está correto. Isso desempenha um papel na verificação de certificado.
AlexMA13
17
Essas etapas não funcionaram para o IE 11. Há alguma outra coisa que precisa ser feita lá?
user20358
71

Eu consegui trabalhar assim

  1. Inicie o Internet Explorer em execução como um usuário com privilégios administrativos.
  2. Navegue até o computador servidor usando o nome do computador (ignore os avisos de certificado)
  3. Clique no texto "Erro de certificado" na parte superior da tela e selecione "Ver certificados"
  4. Na caixa de diálogo Certificado, clique em Instalar certificado -> Avançar.
  5. Selecione Colocar todos os certificados na seguinte loja -> Procurar
  6. Marque a caixa de seleção Mostrar lojas físicas
  7. Selecione Autoridades de certificado raiz confiáveis ​​- Computador local
  8. Clique em OK - Avançar - Concluir - OK
  9. Reinicie o Internet Explorer
Jay67A
fonte
23
Essas etapas funcionaram para mim, mas eu tive que marcar a caixa de seleção * loja física e escolher o computador local * pessoas confiáveis ​​*. Eu tentei todas as outras combinações e nada funcionou, exceto isso. IE11
Diego Frehner
6
Essa é a melhor resposta, pois a resposta principal não tem o crucial 'Iniciar o Internet Explorer em execução como usuário com privilégios administrativos'.
Nicholas Murray
2
Como eu não tinha "Pessoas Confiáveis, Computador Local" como opção, cliquei em "Pessoas Confiáveis" e funcionou.
Alex Angas
2
Também acabei de selecionar "Trusted People" e funcionou. Observe que eu estava testando em um PC com Windows 8. Armazenar os certificados em outro local não parecia funcionar, eu só obtive sucesso com "Pessoas de Confiança".
ScottyG
1
Funcionou para mim quando selecionei a opção 'Pessoas confiáveis' -> 'Computador local'. Para obter a opção 'Computador local', execute o IE no modo 'Executar como privilégios administrativos'. Estou usando o Win7 e o IE11
Sagar S.
28

Eu tentei várias etapas de pessoas diferentes postadas em sites diferentes. Mas nenhum deles menciona que devo adicionar o certificado ao keystore de Pessoas Confiáveis.

É isso mesmo, colocá-lo sob autoridade de certificação confiável não é suficiente para o meu caso, eu tenho que colocar os documentos dentro das pessoas confiáveis ​​também.

Isso é:

  1. Execute o MMC
  2. Adicionar snap-in de certificado, escolha Computador local
  3. Expanda Certificados (Computador Local) -> Pessoas Confiáveis ​​-> Certificados
  4. Clique com o botão direito em Todas as Tarefas -> Importar
  5. Conclua o assistente

Para exportar o certificado:

  1. Execute o IE como administrador (clique com o botão direito do mouse, execute como administrador)
  2. Quando solicitado, certificado inválido, vá em frente, visite o site assim mesmo
  3. Clique no erro de certificado próximo ao endereço, clique em ver certificado
  4. Vá para a guia Detalhes, clique em Copiar para arquivo
  5. Salve como arquivo * .cer.

Estou no IE9, Windows 7

amigo
fonte
5
+1 Eu usei isso para descobrir que, no IE 10 no Win8 x64, você executa o IE como administrador, navega, clica no erro até e usa o botão Instalar certificado a partir daí, selecionando Pessoas confiáveis ​​como destino (não é certmgr.mscnecessário) )
Ruben Bartelink
21

Verifique se o seu certificado autoassinado corresponde ao URL do site. Caso contrário, você continuará recebendo um erro de certificado mesmo depois de confiar explicitamente no certificado no Internet Explorer 8 (não tenho o Internet Explorer 7, mas o Firefox confiará no certificado, independentemente de uma incompatibilidade de URL).

Se esse for o problema, a caixa vermelha "Erro de certificado" no Internet Explorer 8 mostrará "Endereço incompatível" como o erro após você adicionar seu certificado. Além disso, "Exibir certificados" possui um rótulo Emitido para: que mostra em qual URL o certificado é válido.

Gabe Moothart
fonte
1
Ótima resposta, "Endereço Incompatível" é o erro que tenho. Eu pensei que tinha um problema ao instalar o certificado, mas na verdade parece que o certificado foi instalado corretamente, está um pouco b0rked.
Demoncodemonkey 19/05
1
Para expandir um pouco isso para subdomínios. O problema não persiste com certificados curinga autoassinados. issued to: *.example.comPortanto, se você tiver vários subdomínios autoassinados que está tentando fazer com que o IE aceite, crie um único certificado curinga e atualize os locais do certificado para o certificado curinga. Tenha cuidado ao usar subsubdomínios, a.b.example.compois você precisará criar um certificado curinga separado para o subsubdomínio *.b.example.com(NOT *.*.example.com) para que ele funcione no IE também.
Fyrye 07/04
Esta foi a resposta para mim depois de tentar tudo acima e em outro lugar. Endereço incompatível. Obrigado!
Kon
16

Se você estiver recebendo um erro de incompatibilidade de endereço, permita apenas incompatibilidades de endereço:

  1. Ferramentas e selecione Opções da Internet
  2. selecione a guia Avançado
  3. Role para baixo e desmarque Avisar sobre incompatibilidade de endereço de certificado
Alister Scott
fonte
Isso impede a mensagem de aviso, mas a barra de endereço ainda está vermelha
Russell
2
Para atualizar o certificado para o URL correto, use este blog: robbagby.com/iis/… - o ponto crucial é usar um exe de terceiros (selfssl.exe) e criar um certificado (e atribuí-lo ao site) com um URL personalizado.
Russell
OBRIGADO POR ISSO! Eu segui 2-3 etapas acima e ainda recebi o aviso. Essa etapa foi a única coisa que funcionou após a importação do certificado cerca de meia dúzia de vezes. Obrigado!
Tensigh
IE11 no Win10: Depois de importar os certificados, conforme descrito por Jay ou Aya, ainda recebi o erro de certificado. Somente depois de desmarcar o aviso e reiniciar, os certificados autoassinados foram aceitos (sem a barra de endereço estar vermelha).
Elektropepi
9

Cara, hoje eu passei algumas horas lutando contra esse problema. Não importa o que eu fiz no IE 8, o problema permaneceu. O certificado instalado pelo IE aparece nas Autoridades de certificação raiz confiáveis ​​do PC cliente, no entanto, o IE ainda reclama, não importa o quê.

Aqui está a solução que eu descobri:

No servidor da web:

  • Win + R, MMC, Enter.
  • Arquivo, snap-in Adicionar-Remover, Certificados, Adicionar, Gerenciar certificados para: minha conta de usuário, Concluir, OK.
  • Navegue para "Certificados - usuário atual / Autoridades de certificação raiz confiáveis ​​/ Certificados".
  • Encontre seu certificado, clique com o botão direito do mouse em Todas as tarefas / Exportar.
  • "Não, não exporte a chave privada"
  • "Binário codificado em DER X.509 (.CER)"
  • Salve o arquivo em algum lugar.
  • Transfira o arquivo .CER recém-criado para o PC cliente.

Na máquina cliente:

  • Win + R, MMC, Enter.
  • Arquivo, snap-in Adicionar-Remover, Certificados, Adicionar, Gerenciar certificados para: minha conta de usuário, Concluir, OK.
  • Navegue para "Certificados - usuário atual / Autoridades de certificação raiz confiáveis ​​/ Certificados".
  • Clique com o botão direito do mouse no contêiner Certificados, Todas as tarefas / Importar
  • Escolha o arquivo .CER que você transferiu da máquina do servidor.
  • Na próxima tela, escolha "Colocar todos os certificados no seguinte armazenamento", clique em "Procurar", marque "Mostrar lojas físicas" e escolha "Autoridades de certificação raiz confiáveis ​​/ computador local".
  • Pressione "Concluir" finalmente.
  • No Internet Explorer: Ferramentas - Excluir histórico de navegação,
  • No Internet Explorer: Ferramentas - Opções da Internet - guia "Conteúdo" - Limpar botão de estado SSL.
Soonts
fonte
5

Aqui está como eu consegui trabalhar no IE8:

  1. Acesse o site em questão, https://xxx.yyy.com , por exemplo,
  2. Clique até chegar ao erro de certificado na linha de status do navegador.
  3. Visualize o certificado e, na guia Detalhes, selecione Copiar para arquivo.
  4. Salve na área de trabalho como xxx.cer, por exemplo,
  5. Iniciar, Executar, MMC.
  6. Arquivo, Adicionar / Remover Snap-In,
  7. Selecione Certificados, clique em Adicionar, Minha conta de usuário, em Concluir, depois em OK,
  8. Desça para Confiar nas Autoridades de Certificação Raiz, Certificados,
  9. Clique com o botão direito do mouse em Certificado, selecione Todas as tarefas, Importar,
  10. Selecione o Salvar certificado na área de trabalho
  11. Selecione Colocar todos os certificados na seguinte loja, clique em Procurar,
  12. Marque a caixa que mostra Mostrar lojas físicas, expanda autoridades de certificação raiz confiáveis ​​e selecione Computador local, clique em OK, conclua a importação,
  13. Verifique a lista para garantir que ela apareça. Você provavelmente precisará atualizar antes de vê-lo. Saia do MMC,
  14. Abra o Navegador, selecione Ferramentas, Excluir histórico de navegação
  15. Selecione todos, exceto os Dados de filtragem inadequados, conclua,
  16. Vá para Opções da Internet, guia Conteúdo, Limpar estado SSL,
  17. Feche o navegador e reabra e teste.
Philip Mollica
fonte
Algum conselho sobre o que fazer se "Copiar para arquivo ..." estiver desativado?
Jessegavin #
3
@ jessegavin: execute o IE como administrador
ryber
3

Você deve instalar seu certificado como uma autoridade confiável no seu computador.

Existem várias maneiras de fazer isso: por exemplo, você pode usar o mmc (start / run / mmc), adicionar o snap-in de certificados e a partir daí você pode instalar seu certificado autoassinado.

Não há como evitar isso, porque o objetivo principal dos certificados é avisar o usuário se o site que ele está visitando não foi certificado por uma autoridade confiável.

Brann
fonte
Existe alguma maneira de fazer isso além de fazer login em cada máquina?
se você estiver em um ambiente corporativo e se sua empresa tiver um certificado instalado como uma autoridade confiável em todos os seus computadores (que é uma configuração comum), você poderá usar esse certificado para assinar o seu em vez de um certificado autoassinado
Brann
Também é possível instalar certificados a partir da linha de comando, por isso é definitivamente possível automatizar. Como fazer isso depende muito de quais ferramentas seus administradores de sistema usam.
25119 Brann
2
O IE7 funcionou se eu instalei o certificado na máquina local. O IE8 parece emitir um aviso mesmo se eu colocar o certificado de assinatura (este é autoassinado) em autoridades de certificação raiz confiáveis. Estou disposto a esquecer o ângulo da política de grupo por enquanto - nem consigo fazê-lo funcionar em uma única máquina.
2

Não é suficiente instalar o próprio certificado; em vez disso, você precisa instalar o certificado raiz da sua autoridade de certificação. Digamos que se você usa os Serviços de Certificados do Win Server, o certificado raiz que foi criado quando o CS foi instalado nesse servidor é aquele a ser instalado. Ele deve ser instalado nas "Autoridades de certificação raiz confiáveis", conforme descrito anteriormente.


fonte
3
A definição de um certificado autoassinado é aquela em que a CA raiz é o próprio certificado. Confiando no certificado, ele será inerentemente confiável.
Derek Dysart
1
Vale destacar para qualquer pessoa que vem aqui no futuro que https://servere https://server.example.comsão diferentes e se o departamento de TI tem feito isso de coisas corretamente, você provavelmente vai precisar do nome de domínio totalmente qualificado.
Péteri
2

Isso pode ajudar alguém que esteja no Windows 7 do IE11 e o que eu fiz Além de instalar o certificado, Indo para opções da Internet ==> guia avançada ==> segurança ==> "remover a verificação" de avisar sobre incompatibilidade de endereço de certificado, além disso abaixo - não se esqueça de fechar todas as instâncias do IE e reiniciar após o término:

1-Inicie o Internet Explorer em execução.

2-Navegue até o computador servidor usando o nome do computador (ignore os avisos de certificado)

3-Clique no texto "Erro de certificado" na parte superior da tela e selecione "Ver certificados"

4-Na caixa de diálogo Certificado, clique em Instalar certificado -> Avançar.

5-Selecione Colocar todos os certificados na seguinte loja -> Procurar

6-Instale na certificação raiz confiável.

depois reinicie.

Espero que isso ajude alguém.

ram mero
fonte
1

Você pode usar o GPO para usar o certificado no domínio.

Mas meu problema é com o Internet Explorer 8, que mesmo com o certificado no armazenamento de certificação raiz confiável ... ele ainda não diz que é um site confiável.

Com isso e a assinatura do driver que precisa ser feita agora ... Estou começando a me perguntar quem é o dono do meu computador!

Peter Mortensen
fonte
Se o emissor for uma raiz confiável, provavelmente o certificado tem algo errado. O nome canônico no certificado corresponde ao nome do host que o usuário usa para acessar o site? O horário atual está dentro do intervalo de validade do certificado?
Yuliy
1

Infelizmente, nenhuma das soluções funcionou para mim. Usei o Internet Explorer 8 no Windows 7. Quando procurava uma solução, encontrei as configurações sobre as informações de login no painel de controle. Então, adicionei uma nova entrada nas informações baseadas em certificado com o endereço do meu servidor e escolhi meu certificado preferido.

Depois de limpar o cache SSL no Internet Explorer 8, atualizei o site e o certificado correto foi enviado ao servidor.

Esta não é a solução que eu queria, mas funciona.

p2u
fonte
1

Como todo mundo mencionou, a primeira tarefa é adicionar o certificado à Autoridade Raiz Confiável.

Existe um exe personalizado ( selfssl.exe ) que criará um certificado e permitirá que você especifique o valor Emitido para: (o URL). Isso significa que o Internet Explorer validará o URL emitido com o URL da intranet personalizado.

Certifique-se de reiniciar o Internet Explorer para atualizar as alterações.

Russell
fonte
Este é um excelente conselho, acho que, para o "Erro de Incompatibilidade de Endereço", esta é a maneira correta de fazê-lo; tentei todos os outros sem sucesso. O que realmente levou à solução foi o seu comentário (incluindo este link ) ao @AlisterScott.
18716 David
0

Parece que é possível não ter mais o erro de certificado. Estou no Windows XP com o IE 8. A Diretiva de Grupo instalou um certificado autoassinado como certificado raiz confiável para acesso a um site interno. Quando olho para o MMC com o snap-in de certificado, vejo o certificado lá OK.

Quando olho para:

Opções da Internet => Conteúdo => certificados

Não está lá!

Esse comportamento no IE começou desde que nossos administradores liberaram o último lote de atualizações da Patch-Tuesday que foram instaladas na minha máquina em 10 de dezembro de 2009. Antes disso, era um prazer aceitar o certificado como válido.

John C
fonte
0

Eu tive o mesmo problema ao trabalhar com serviços da web. Aqui, a Microsoft apresenta um passo (longo) mostrando como instalar itens no cliente para dizer basicamente que seu certificado autoassinado está ok. No final, acabei de gastar os US $ 30 e comprei um certificado completo da Godaddy.com.

PS Eu sei que você pode codificar a mensagem de erro, mas não quisemos fazer isso por razões de teste.

JBrooks
fonte
0

O que você estava fazendo antes? Para certificados autoassinados, eu normalmente instalaria o certificado localmente no sistema do cliente.

Você pode usar a Diretiva de Grupo para enviar um certificado a todos os sistemas.

Rob Haupt
fonte
0

Você precisa garantir que o certificado autoassinado use o correto common namepara o domínio que está configurando. Se você usar o mesmo certificado para vários domínios, precisará ter um certificado exclusivo para cada domínio ou se todos os seus sites SSL forem subdomínios de um domínio comum, poderá gerar um certificado com um domínio curinga como *.domainname.tld.

Se você não configurar common namecorretamente o seu certificado autoassinado, o Chrome e o Firefox poderão funcionar, mas o IE poderá não conseguir encontrar o certificado ao carregar o site toda vez. No IE, parece que você adicionou o certificado do site, mas, na verdade, no carregamento da página, nunca será encontrado.

como configurar o SSL para Apache para um Mac para que eu possa testar o iFrame entre domínios no IE8

jdavid.net
fonte
0

Como instalar o certificado raiz da CA e não o certificado do site: (IE8, Win7)

Ao exibir os detalhes do certificado, você está visualizando o certificado do site, e não o certificado da CA. A guia Geral dirá: "Este certificado não pode ser verificado ..." É necessário selecionar a CA clicando na guia Caminho da Certificação e selecionando o certificado mais superior no caminho. Ele deve ter um ícone X vermelho e deve dizer: "Este certificado raiz da CA não é confiável porque ..." Clique no botão Exibir certificado e, na nova guia Geral, você verá: "Esta raiz da CA não é confiável." "Este é o certificado que você deseja importar para a Autoridade de Certificação Raiz Confiável.

Depois de importar a CA, você não precisa importar o certificado regular do site. Esse certificado corresponderá à CA que você acabou de importar, e o IE tratará tudo como funcionando normalmente. Você não precisa executar o IE como administrador e não precisa adicionar o site aos sites confiáveis ​​primeiro. Você precisa reiniciar o IE após a importação.

shalley303
fonte
0

Tentei todas as soluções mencionadas, mas nenhuma delas funcionou. Usando o Internet Explorer 11 (11.0.9600.17914), não havia como aceitar certificados inválidos, pois o erro parecia exatamente um 404.

O que ajudou foi o seguinte: - adicionar host a sites confiáveis ​​(como mencionado algumas vezes aqui) - desativar o TLS 1.2 e ativar o SSL 1.0 e o SSL 2.0

O último passo é algo que você só deve fazer se souber o que está fazendo. Precisamos usar uma configuração bem estranha aqui no trabalho, portanto, não conseguimos encontrar outra maneira de obter acesso ao sistema. Normalmente, a desclassificação de segurança como essa não deve ser feita.

Bouncner
fonte
0

Se você estiver testando localmente e adicionar algum alias nos arquivos hosts, diga

127.0.0.1 www.mysite.com

e tente usar qualquer um dos procedimentos acima, você irá falhar. O motivo é que você importará um certificado para o host local. O URL do certificado não corresponde.

Nessa situação, você precisará gerar um certificado autoassinado e, em seguida, importá-lo, conforme descrito acima.

Se você estiver usando o Xampp, a geração do certificado correto pode ser feita facilmente usando c: \ xampp \ apache \ makecert.bat

Stéphane Gerber
fonte