Browser-Sicherheitswarnung beim Zugriff auf eine MOBOTIX Kamera
Wenn beim Zugriff auf eine MOBOTIX Kamera im Browser eine Meldung erscheint, die auf eine „unsichere Verbindung“ hinweist, erläutert dieser Artikel die Hintergründe sowie die möglichen Lösungswege.
Basis Wissen zu SSL-Zertifikaten finden sie hier:
https://community.mobotix.com/t/ssl-zertifikate-einfach-erklart-warum-sie-fur-kameras-wichtig-sind/10267
Fehlerbild
Bei einer MOBOTIX Kamera mit dem Default-Werkszertifikat (Self-Signed Certificate) zeigt der Browser in der Regel eine Sicherheitswarnung an.
Der Grund: Das Zertifikat wurde nicht von einer öffentlich anerkannten Zertifizierungsstelle (CA) signiert.
Die genaue Formulierung hängt vom jeweiligen Browser ab.
Google Chrome / Microsoft Edge (Chromium-basiert)
„Ihre Verbindung ist nicht privat“
bzw.
„Your connection is not private“
Häufiger Fehlercode:
NET::ERR_CERT_AUTHORITY_INVALID
Bedeutung:
Das Zertifikat wurde von einer nicht als vertrauenswürdig eingestuften Stelle ausgestellt.
Mozilla Firefox
„Warnung: Mögliches Sicherheitsrisiko erkannt“
bzw.
„Warning: Potential Security Risk Ahead“
Hinweis:
Der Aussteller des Zertifikats wird nicht als vertrauenswürdig eingestuft.
Safari
„Diese Verbindung ist nicht privat“
Warum erscheint diese Meldung?
Das Default-Werkszertifikat der MOBOTIX Kamera ist:
- Self-Signed (selbstsigniert)
- Nicht von einer öffentlichen CA signiert
- Dem Browser standardmäßig nicht bekannt
Der Browser kann daher keine vollständige Vertrauenskette bis zu einer bekannten Root-CA aufbauen.
Wichtige Klarstellung
Diese Meldung bedeutet nicht, dass die Kamera unsicher ist!
Sie zeigt lediglich an, dass der Browser der ausstellenden Zertifizierungsstelle nicht automatisch vertraut.
In internen Netzwerken ist dieses Verhalten technisch normal, sofern:
- die Verbindung bewusst aufgebaut wird
- sichergestellt ist, dass tatsächlich auf die richtige Kamera zugegriffen wird
Wie lässt sich die Warnmeldung vermeiden?
Option 1: Einzelne Kameras (kleine Installationen)
Bei wenigen Kameras kann das gerätespezifische Zertifikat jeder Kamera manuell im Browser hinterlegt werden.
Diese Lösung ist jedoch bei größeren Installationen nicht praktikabel.
Option 2: Zentrale Lösung über das MOBOTIX Management Center (empfohlen)
Bei mehreren Kameras empfiehlt sich die Verwendung des MxMC zur Erstellung eines eigenen Self-Signed Root-Zertifikats.
Das MxMC kann:
- Ein eigenes Root-Zertifikat erzeugen
- Dieses als interne Vertrauensinstanz definieren
- Für jede Kamera ein abgeleitetes, signiertes Geräte-Zertifikat erstellen
- Diese Zertifikate automatisiert auf die Kameras verteilen
Details hierzu finden sie in dem folgenden Community Artikel:
Easy SSL Zertifikate Generierung and Verteilung auf Kameragruppen
Alternativ kann auch ein unternehmenseigenes Root-Zertifikat in das MxMC hochgeladen werden. Das MxMC erstellt daraus gerätespezifische Zertifikate für jede MOBOTIX IoT Kamera. Die Vertrauenskette bleibt dabei vollständig konsistent.
Ergebnis: Saubere interne Zertifikatsstruktur
Root-Zertifikat (im MxMC erstellt oder importiert)
→ signiert Kamerazertifikate
→ Kameras präsentieren signierte Zertifikate gegenüber Clients
Der entscheidende Vorteil:
Das Root-Zertifikat muss nur einmalig auf den Client-Systemen (PCs, Servern, VMS-Servern) als vertrauenswürdig installiert werden.
Danach werden automatisch alle Kameras akzeptiert, deren Zertifikate von diesem Root-Zertifikat signiert wurden.
Praktische Vorteile
- Keine manuelle Zertifikatsbestätigung pro Kamera
- Einheitliche interne Vertrauenskette
- Skalierbare Lösung für größere Installationen
- Volle HTTPS-Verschlüsselung bleibt erhalten
Funktional entspricht dies einer unternehmenseigenen Certificate Authority (CA), speziell für die Kamerainfrastruktur.
Root-Zertifikat im Betriebssystem oder Browser hinterlegen
Voraussetzung:
Im MxMC wurde ein Self-Signed Root-Zertifikat erstellt und exportiert.
Dieses Root-Zertifikat muss auf den Client-Systemen als vertrauenswürdig importiert werden.
Windows (Google Chrome und Microsoft Edge)
Chrome und Edge verwenden die Windows-Zertifikatsverwaltung.
Vorgehensweise:
- Systemsteuerung öffnen
- „Netzwerk und Internet“ → „Internetoptionen“
- Reiter „Inhalte“ → „Zertifikate“
- Reiter „Vertrauenswürdige Stammzertifizierungsstellen“
- „Importieren“ auswählen
- Exportierte Root-Zertifikatsdatei (z. B. mxmc-root.cer) auswählen
- Import abschließen und Sicherheitswarnung bestätigen
Nach erfolgreichem Import vertrauen Chrome und Edge allen signierten MOBOTIX Kamerazertifikaten.
macOS (Google Chrome und Safari)
Chrome und Safari nutzen die macOS-Schlüsselbundverwaltung.
Vorgehensweise:
- „Schlüsselbundverwaltung“ öffnen
- Passenden Schlüsselbund auswählen (System oder System-Roots)
- Root-Zertifikat importieren
- Zertifikat öffnen → Bereich „Vertrauen“
- Option „Immer vertrauen“ aktivieren
- Änderungen mit Administratorpasswort bestätigen
Linux
Das Root-Zertifikat muss in die systemweite Zertifikatsverwaltung importiert werden.
Je nach Distribution unterscheidet sich das Vorgehen. Falls der Browser einen eigenen Zertifikatsspeicher nutzt, muss das Zertifikat zusätzlich dort importiert werden.
Mozilla Firefox (alle Betriebssysteme)
Firefox verwendet einen eigenen Zertifikatsspeicher.
Vorgehensweise:
- Einstellungen öffnen
- „Datenschutz & Sicherheit“
- Bereich „Sicherheit“ → „Zertifikate anzeigen“
- Reiter „Zertifizierungsstellen“
- „Importieren“ auswählen
- Root-Zertifikat auswählen
- Option „Dieser CA vertrauen, um Websites zu identifizieren“ aktivieren
Wichtiger Sicherheitshinweis
Das im MxMC erstellte Root-Zertifikat ist die zentrale Vertrauensinstanz Ihrer Kamerainfrastruktur.
Der zugehörige private Schlüssel muss sicher gespeichert und vor unbefugtem Zugriff geschützt werden.
Wird das Root-Zertifikat einmalig auf den Clients installiert, entfällt die manuelle Bestätigung einzelner Kamerazertifikate. Die gesamte Vertrauenskette basiert dann auf Ihrer eigenen internen Zertifizierungsstelle.
Werkszertifikat der MOBOTIX AG
Jede MOBOTIX Kamera wird vor Verlassen des Werks mit einem gerätespezifischen SSL-Zertifikat ausgestattet.
Dieses Zertifikat ist von einem MOBOTIX-eigenen Self-Signed Root-Zertifikat abgeleitet. Das zugehörige Root-Zertifikat sowie der private Schlüssel werden bei MOBOTIX sicher verwahrt und sind vor unbefugtem Zugriff geschützt.
Beispielhafte Browser-Ansicht eines Kamera-Werkszertifikats, dessen Gültigkeit abgelaufen ist (erkennbar am Feld „Expires On“):
Die gleichen Zertifikatsdetails können auch im Kamera-Menü unter „Admin → Webserver“ eingesehen werden.
Gültigkeitsdauer der Werkszertifikate
- Aktuelle MOBOTIX ONE Kameras: 25 Jahre
- Frühere Modelle (z. B. MOBOTIX T24): 15 Jahre
Nach Ablauf dieser Zeit muss das Zertifikat ersetzt werden.
Verwaltung von SSL-Zertifikaten in der Kamera
Über das Webinterface der Kamera (Admin-Bereich → Webserver) kann der Benutzer:
- Ein eigenes SSL-Zertifikat hochladen
- Ein neues Self-Signed-Zertifikat mit individueller Gültigkeitsdauer erstellen
Für Installationen mit mehreren Kameras empfiehlt sich die zentrale Verwaltung über den SSL-Zertifikatsmanager im MOBOTIX Management Center (MxMC).
Mit dieser Funktion können neue Zertifikate effizient erstellt und auf mehrere Kameras gleichzeitig verteilt werden.
Zusammenspiel zwischen SSL-Zertifikat und IP-Adresse der Kamera
Im Werkszertifikat ist als Bestandteil der Zertifikatsdaten die Factory-IP-Adresse der Kamera hinterlegt.
Wird die Kamera beispielsweise per DHCP in einem anderen Subnetz betrieben (z. B. 192.168.1.x statt 10.x.x.x), kann der Browser eine Warnmeldung anzeigen.
Der Grund:
Die aktuell verwendete IP-Adresse stimmt nicht mit der im Zertifikat hinterlegten Adresse überein.
In diesem Fall sollte ein neues Zertifikat erstellt und der Kamera zugewiesen werden – beispielsweise über das MxMC. Dabei wird automatisch die aktuell konfigurierte IP-Adresse berücksichtigt.
Wichtiger Hinweis bei IP-Adressänderungen
Bei zukünftigen Änderungen der Netzwerkstruktur ist darauf zu achten, dass:
- Kameras möglichst die gleiche IP-Adresse beibehalten
- oder bei IP-Änderungen ein neues Zertifikat erstellt wird
Typische Szenarien für IP-Änderungen:
- Wechsel des DSL-Routers oder Internetanbieters
- Änderung oder Neu-Konfiguration des DHCP-Servers
- Umstellung des Netzwerks oder Subnetzwechsel
Wird die IP-Adresse geändert, ohne das Zertifikat anzupassen, kann dies erneut zu Browser-Warnmeldungen führen.