English:
Hello all,
I have a problem with Firefox (all versions from 68 on) and the interaction of self issued certificates via the own Windows CA (based on WinServer 2012 R2).
It is a 2-tier architecture.
The following error appears only for internal web pages :
SEC_ERROR_CERT_SIGNATURE_ALGORITHM_DISABLED.
Yes, I could "ignore" the error, but this is not desired.
I already compared the algorithm with some external certificates (like Let's Encrypt). Same algorithm, no error....
Already tried it with several internal websites, but without success. Some information about the certificate:
Algorithm: RSA 2048 Key length.
Signature algorithm: SHA-256 with RSA encryption V3
The browser uses the windows certificate store for this purpose.
In some sources I read that the value for AlternateSignatureAlgorithm could play a role. This should be set to 0. (How can I check this without having to reissue all certificates? Where can I look it up what the current value is? Unfortunately I didn't find the CApolicy.inf).
Many thanks in advance.
___
GERMAN:
Hallo an alle,ich habe ein Problem mit Firefox (alle Versionen ab 68) und dem Zusammenspiel von selbst ausgestellten Zertifikaten über die eigene Windows CA (basierend auf WinServer 2012 R2).
Es handelt sich um eine 2-Tier-Architektur.
Der folgende Fehler tritt nur bei internen Webseiten auf :
SEC_ERROR_CERT_SIGNATURE_ALGORITHM_DISABLED.
Ja, ich könnte den Fehler "ignorieren", aber das ist nicht gewünscht.
Ich habe den Algorithmus bereits mit einigen externen Zertifikaten (wie Let's Encrypt) verglichen. Gleicher Algorithmus, kein Fehler....
Habe es auch schon mit mehreren internen Webseiten probiert, aber ohne Erfolg. Einige Informationen über das Zertifikat:
Algorithmus: RSA 2048 Schlüssellänge.
Signatur-Algorithmus: SHA-256 mit RSA-Verschlüsselung V3
Der Browser verwendet dazu den Windows-Zertifikatspeicher.
In einigen Quellen habe ich gelesen, dass der Wert für AlternateSignatureAlgorithm eine Rolle spielen könnte. Dieser sollte auf 0 gesetzt sein. (Wie kann ich das überprüfen, ohne alle Zertifikate neu ausstellen zu müssen? Wo kann ich nachsehen, was der aktuelle Wert ist? Leider habe ich die CApolicy.inf nicht gefunden).