Hintergrund

Über die Windows-CA erstellte Zertifikate werden im Edge als angezeigt, obwohl der Zertifikatsname mit der URL übereinstimmt und die CA als vertrauenswürdig hinterlegt ist.

Ursache

Edge erwartet einen Eintrag für den "Alternativen Antragstellername". (Auf englisch: subject alternative name)

Aber obwohl obwohl dieser beim Anfordern des Zertifikats in der korrekten Syntax (in unserem Beispiel san:dns=ds1819plus.digital-labs.de&dns=ds1819plus ) angegeben ist, wird er im ausgestellten Zertifikat nicht gesetzt.

Behebung

An Zertifizierungsserver über eine Kommandozeile die folgenden Befehle absetzen:

certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
net stop certsvc
net start certsvc

Danach sollten die SAN-Attribute beim Erstellen des Zertifikates sauber gesetzt werden und die oben gezeigte Warnung sollte verschwunden sein.