Verbesserte Zertifikate Verwaltung

Dennis hinzugefügt 3 Jahren her
noch nicht bewertet

'- Im Mobile Client wird trotz offiziellem SSL Zertifikat beim aktivieren des SoftPhones das selbst generierte SSL Zertifikat zur Überprüfung abgefragt. Also wird da irgendwie irgendwas nicht an die richtigen Stellen kopiert.

- Das Importieren des CA Zertifikats beim einrichten eines offiziellen Zertifikats funktioniert nur über einen Workaround, den man sich in Internetforen zusammensuchen muss!

- Es sind keine Wildcard Zertifikate möglich.

- Let's Encrypt auch nicht...

Antworten (12)

Foto
2

Gibt es eine Planung/Status für dieses Thema? Gerade der Import von Zertifikaten (Wildcard oder anderweitig generiert) ist unnötig komplex und aufwendig.

Foto
2

Also hier wird es doch echt mal Zeit oder?!


.... Es sind keine Wildcard Zertifikate möglich.

Foto
1

ja das wird schon mal Zeit das das klappt.

idr. haben kunden bei mir, bis auf Ausnhamen, Wildcard Zertifikate.

Da wäre es praktisch diese mit nutzen zu können wenn es schon da ist.

Foto
1

Ja wirklich!!

Wichtig wär mal eine Dokumentation die Jeder versteht für den Aktuellen Weg!!

Foto
1

Let's Encrypt onboard wäre toll.

Foto
1

Lets Encrypt ja aber wenn die Anlage von Extern nicht erreichbar ist 80/443

dann vielleicht über eine andere Challenge "DNS-01 challenge"

Foto
1

Mal ehrlich - es werden so viele HTTPs Dienste benötigt!

Die Kunden haben zum Großteil offiziell gekaufte Wildcard-Zertifikate um den ganzen Aufwand zu ersticken... ich will nicht über LetsEncrypt nachdenken müssen und irgendwelche DNS-Challenges erfüllen und und und - ich hab das Zertifikat für *.meinedomain.tld doch sowieso!

Foto
1

@samaxl

klar wenn man ein Wildcard hat soll man es auch nutzen können. für alles andere wer mag kann ja dann LetsEnc. nutzen.

Foto
1

+1 Wildcard Zertifikat!

Wir haben es derzeit über einen reverse Proxy gelöst. Umständlich aber tut...

Foto
1

Rein technisch ist die Nutzung eines Wildcard Zertifikat möglich.

Jedoch wird diese vermutlich nicht supportet. (Über den Button "Neues Zertifikat" kann jederzeit ein selbst signiertes Zertifikat der Starface eingespielt werden)

Diese Informationen wurden aus Eigeninteresse zusammengestellt, es besteht keine Garantie auf Vollständigkeit und ich empfehle nicht dies auf produktiven Systemen umzusetzen. ;)

Vorab:

  • Die in den Befehlen genutzten Pfade stammen aus der Starface 7, der Starface 6 Pfad weicht ab (/usr/share/tomcat6/...) ( Webserver Restart Befehl bei Starface 6: service tomcat6 restart)
  • Das Zertifikat muss im .p12 (PKCS#12) Format und dem Passwort "changeit" vorliegen. Es kann ein Wildcard oder Lite Zertifkat sein
  • Im Folgenden wird der Keystore ersetzt
  • In der Datei /opt/tomcat/conf/server.xml ist den Zeilen Connector port="8081" und Connector port="50081" der Speicherort des Keytore Pfad durch keystoreFile="/opt/tomcat/ssl/tomcat.keystore" definiert. Dies sollte man nicht anpassen, da nach einem Update die Datei überschrieben wird. Da hier kein keystorePass definiert ist, MÜSSEN die Passwörter des Keystore File UND des Zertifikats changeit sein!


1. Redirect deaktivieren

Damit man sich (im Fehlerfall) nicht aus der Weboberfläche aussperrt, sollte kurzzeitig das HTTP Redirect von Port 80 auf 443 über das Admin Menü deaktiviert werden

2. CLI Verbindung aufbauen

Benutzer: root

Passwort: Seriennummer + Code (Siehe Hardware Rückseite)

2. Zertifikat hochladen

Nun über einen sftp Client (FileZilla) mit der Anlage verbinden und das Zertifikat als cert.p12 in den Ordner /root laden.

4. Bestehenden Keystore sichern

Mit dem folgenden Kommando wird der bestehende Keystore in den Ordner /root/ mit dem Namen tomcat_backup.keystore kopiert.

cp /opt/tomcat/ssl/tomcat.keystore /root/tomcat_backup.keystore

Der Keystore kann im Falle eines Fehlers wieder zurückgespielt werden (siehe weiter unten).

Danach via sftp Client prüfen, ob die Datei tomcat_backup.keystore vorhanden ist.

5. Zertifikat in einen neuen Keystore importieren

Mit Keytool wird nun ein neuer Keystore unter dem Namen tomcat.keystore im Ordner /root erzeugt.

Dieser erhält das Passwort "changeit".

Das Zertifikat wird ebenfalls importiert und das Passwort des Zertifikats mitgegeben.

Das Passwort des Zertifikats muss changeit heißen, sonst wird später der Webserver nicht starten.

keytool -importkeystore -deststorepass changeit -destkeystore /root/tomcat.keystore -srckeystore /root/cert.p12 -srcstoretype PKCS12 -srcstorepass changeit

Nun kommt eine Meldung, dass der Keystore erfolgreich erstellt wurde und das Zertifikat importiert ist.

Wird gemeldet, dass das Passwort vom Zertifikat falsch ist, so muss ein neuer .p12 File mit dem Passwort changeit erstellt werden.

Dies kann zum Beispiel über eine Sophos UTM erfolgen.

Mit FileZilla prüften, ob die Datei tomcat.keystore nun im Ordner /root liegt.

6. Benutzerrechte anpassen

Nun müssen die Zugriffrechte auf den alten sowie den neu erzeugten Keystore erweitert werden.

chown root:tomcat /root/tomcat.keystore && chmod 664 /root/tomcat.keystore

7. Keystore austauschen

Jetzt wird der neue Keystore in den richtigen Ordner verschoben und die alte Keystore Datei überschrieben.

mv -bf /root/tomcat.keystore /opt/tomcat/ssl/tomcat.keystore

8. Neustart des Webservers

Damit das neue Zertifikat angewandt wird muss Tomcat neu gestartet werden.

service tomcat restart

9. Zugriff prüfen

10. Redirect aktivieren

Nun kann wieder der Redirect von Port 80 auf 443 aktiviert werden.

Das Zertifikatsfeld in der GUI ist nun leer.

11. Im Fehlerfall

Mit dem folgenden Kommando kann der alte Keystore verschoben und aktiviert werden.

mv -bf /root/tomcat_backup.keystore /opt/tomcat/ssl/tomcat.keystore

Neustarten von Tomcat:

service tomcat restart

Wichtig: Die Datei liegt nun nicht mehr als Backup vor. Bei weiteren Arbeiten wieder Punkt 4. ausführen!

Basierend auf: https://gist.github.com/sf-janz/91c3935efbdddfef73d417664bebdc8c


Den Upload eines Zertifkats in den Keystore via Starface GUI zu implementieren sollte in einem angemessenen zeitlichen Rahmen möglich sein. Alternativ wäre eine offizielle Stellungnahme, ob das beschriebene Verfahren supportet wird, eine Option.

Foto
1

Rein technisch ist die Nutzung eines Wildcard Zertifikat möglich.Jedoch wird diese vermutlich nicht supportet.
Das ist ja schön - aber dann eben keine Lösung -.-

Foto
1

Das Wildcard kann man wunderbar für den Tomcat Webserver benutzen. Nur die Anbindung der Mobile Clients via SIPS klappt nicht, da nach RFC5922 Wildcards nicht unterstützt werden (https://datatracker.ietf.org/doc/html/rfc5922 s. Abschnitt 7.2). Also macht nur ein einfaches SAN Cert für eine saubere Implementierung auf der Starface Sinn. Unter folgendem Forenbeitrag habe ich eine Anleitung für den Zertifikatstausch verfasst: https://support.starface.de/forum/showthread.php?9425-vrohandenes-Wildcard-Zertifikat-einspielen&p=58360#post58360

Kommentar schreiben
 
Dateianlage anfügen