Die Anleitung setzt vorraus, dass ihr eine gültige Domain besitzt und diese bereits korrekt eingerichtet habt, sodass IP-Symcon darauf per https erreichbar ist und nur noch eine Fehlermeldung kommt, dass ihr kein gültiges Zertifiktat besitzt.
Um ein Zertifikat zu bestellen, muss vorher ein CSR (Certificate Signing Request) erstellt werden. OpenSSL wird benötigt (Download), um den folgenden Schritt in der Kommandozeile auszuführen. Dabei ist 12345 durch die fünstellige ID eures SSL aktivierten WebServers zu ersetzen.
Wenn die FQDN abgefragt wird, ist die vollständige Domain mit der ggf. gewünschten Subdomain anzugeben!
Der Inhalt der csr-Datei wird zum Anbieter eures SSL-Zertifikates gesendet, welcher euch dann das passende SSL-Zertifikat erstellt und normalerweise an eure E-Mail zusendet. Wie genau der Ablauf ist, hängt von eurem Anbieter ab. Sobald ihr die E-Mail von eurem Anbieter bekommen habt, könnt ihr die dort enthaltene .cer oder .crt Datei in 12345.cer umbenennen und zusammen mit der 12345.key in den IP-Symcon\cert Ordner kopieren, wobei 12435 wieder die ID eures WebServers ist, bei dem ihr SSL aktivert habt.
Alternativ, um Probleme bei alten mobilen Browsern zu vermeiden, könnt ihr auch eine .pem Datei erstellen, welche die Zertifikatskette (CA-Bundle) enthält. Als Beispiel habe ich die Zertifikatskette von Comodo erstellt und hier angehängt, welche ich für mein Zertifikat genutzt habe.
Zum Schluss müsst ihr den IP-Symcon Dienst beenden und wieder starten.
Danach könnt ihr auf Qualys SSL Labs gehen und die Sicherheit eures IP-Symcon Servers begutachten.
Dann habe ich gerade mal ~15 USD „gespendet“ (keine Sorge ich werde es überleben )
By the way der SSL Dienst (SSLS.COM) verschickt das Zertifikat an eine E-Mail Adresse des FQDN. Mein DYNDNS lässt keine E-Mails Weiterleitung / Abfrage zu ! mit dem Ergebnis das ich das Zertifikat nicht zugeschickt bekomme
Wenn man eine Domain hat, sollte man schon dafür sorgen das Mails an diese Domain irgendwo landen. Dafür gibt es die MX-Einträge. Meine zeigen auch auf eine andere Adresse wo der Mailserver dranhängt.
Das muss ja nicht gleich mit dem Cname sein, wo deine Dyndns Adresse eingetragen ist.
Michael
Das stimmt nur bedingt. Ich habe eine (public) Domain und dafür gibt es auch einen MX Record und eine Mailbox.
Meine externe Webseite für meine Hausautomatisierung ist allerdings alles andere als PUBLIC !!!
Den DYNDNS Namen nutze ich nur privat und auch nur weil ich keine statische IP Adresse habe. Ich will definitiv nicht das Mails an diese Domain geschickt werden außer natürlich der Mail mit dem Zertifikat aber halt nur die und sonst keine
Man muss das halt alles mit Humor nehmen und basteln heißt halt auch aus Fehlern zu lernen und ich werde das mit dem Zertifikat schon hinbekommen … irgendwann
Ich habe bei mir home.meindomain.de an meine DynDNS Adresse per CNAME weitergeleitet und dann dafür das Zertifikat gekauft. Die Mails werden dann an webmaster@meinedomain.de geschickt, welche wiederrum kurzfristig an mich weitergeleitet wurden
Aber du könntest ja kurz einen MailServer aufsetzen, um die Mail zu empfangen :eek:
Irgendwas muss ich falsch gemacht haben. Nachdem ich den neuen Key und das Zertifikat installiert habe startet mein Webserver nicht mehr und zeigt die folgende Fehlermeldung :
Bitte mal die Dateiendung vom Zertifikat prüfen, das Zertifikat muss die endung CER default typ ist CRT… (einfach umbenennen )
und das intermediate Zertifikat muss die endung PEM haben …
und bitte sicherstellen das das Zertifikat als „Apache 2“ bestellt worden ist
wenn ihr es für einen Windows IIS Bestellt habt müsst ihr das Zertifikat konvertieren…
Ich habe die Keys überprüft und sie sind in der Tat unterschiedlich, keine Ahnung warum.
Ich habe jetzt ein neues Zertifikat beantragt das leider erst am Montag ausgestellt wird (Die Jungs müssen irgendwas überprüfen obwohl ich mittlerweile Mails auf meine FQDN erhalte und die Eigentümerschaft der FQDN über den validation code bestätigen kann )
ich war sicher das meine Keys falsch sind (Das Tool vom SSL provider sagt das zumindest) aber nachdem ich mein neues Zertifikat erst am Montag bekommen habe ich den Tipp mit der File Extension umgesetzt und unglaublich aber wahr ES FUNKTIONIERT !