Zertifikatsproblem mit verschiedene Browser

[linksblinker]

Hallo,

ich habe mir ein eigenes CA-Zertifikat erstellt. Mittels dessen hab ich für mein Webserver ein Client-Zertifikat erstellt. Dies enthält mehrere CN (common name) Einträge -> IP-Adresse, Domaine1.de und Domaine2.de.
Wenn ich nun lokal in meinem Rechner das CA-Zertifikat in die vertrauenswürdige Stammzertifizierungsstellen importiere sollte ja alles gut sein. Im InternetExplorer haut das auch alles hin.
Rufe ich die Webseite entweder per IP oder mit 2 unterschiedlichen Domainnamen auf, wird die Seite als vertrauenswürdig eingestuft und es wird kein Zertifikatsfehler angezeigt.
Nun zum Problem, bis vor einiger Zeit ging das in Chrome auch perfekt, nun geht es dort aber nur noch mit der IP Adresse als Aufruf der Seite. Nutze ich die Domainnamen, wird der Seite nicht vertraut und es wird das bekannte rote Fenster angezeigt. In Firefox ist es andersherum. Ruf ich die Seite mit domainname1.de auf gehts, aber mit IP-Adresse nicht.
Was da los?

 

[Helge01]

Hast du einfach mehrere cn hinzugefügt oder mehrere SAN (subject alternative name)?
Mit was hast du die CA erstellt?

 

[linksblinker]

ich hab mal ein Bild zur Verdeutlichung angefügt.
Erstellt hab ich das mit openssl.
Der InternetExplorer beweist ja,dass es hinhaut bzw sollte.

 

[Helge01]

Jo, genau so ist es falsch Du hast einfach mehrere CN angegeben, das funktioniert nicht richtig. Du musst unter Erweiterungen SAN die DNS Namen angeben.
Ich erstelle mal schnell ein Zertifikat und mache mal Screenshots...

da sind sie



Im ersten Screenshot ist cn=richtig0.com der primäre CN Name

SAN OpenSSL

Ich finde XCA gerade am Anfang einfacher, dass ist OpenSSL mit GUI und gibt es für Mac, Linux und Windows.

 

[linksblinker]

hey ich danke dir! das klingt doch sehr plausibel. Ich habe gerade mit openssl unter unix versucht ein Zertifikat mit alternativen Namen zu erstellen. Wenn ich mir das Zertifikat unter Windows angucke, existiert der Punkt "Alternativer Antragsteller" gar nicht. Guck ich mit das Ergebnis in der unix Konsole an, sind dort die Namen aber vermerkt:

Subject: C=DE, ST=Some-State, O=ICH, CN=192.168.0.100
.
.
.
 X509v3 Subject Alternative Name:
                DNS:NAS, DNS:x.myqnapcloud.com, DNS:x.dyndns-at-home.com

Ein Test mit dem Zertifikat verlief negativ.
EDIT: Ich guck mir mal deine Links an!

Ergänzung (29. November 2013)

So,
ich bin heute schon mal ein wenig weiter gekommen. Ich hab das Zertifikat mit dem XCA Tool neu erstellt und die verschiendenen DNS Namen als Subject Alternative Name eingetragen.
Mit IE und Firefox haut alles hin. Aufruf per IP, Aufruf per verschiedene DNS Namen --> Anzeige und somit Verbindung okay (Zertifikat vertraut)!
Nur in Chrome gibts probleme mit dem Aufruf per IP Adresse. Dort sagt er mir -> nicht vertrauenswürdig! Aufruf per verschiedene DNS Namen in Chrome alles OK!
EDIT: Lösung für Chrome -> für die IP Adresse darf kein "DNS" Eintrag unter SAN eingetragen werden sondern "IP"!

Somit läuft alles, vielen Dank!