SSL-Zertifikat bestellen und in IP-Symcon einrichten

Gosef · 6. März 2017 um 07:34

Alles klar, Danke!

PatrickS · 17. Mai 2017 um 21:30

Hallo,

leider hänge ich auch.
Ich hatte für eine andere Anwendung über den IIS eine Zertifikatsanfoderung erstellt und ein Zertifikat beantragt.
Dieses läuft im ISS einwandfrei.
Nun habe ich den privaten Schlüssel exportiert (mit Passwort) und danach mit OPENSSL convertiert:
openssl.exe pkcs12 -in C:\privatekey.pfx -nocerts -out privatekey.pem
hier war auch wieder ein Passwort zu vergeben.
die PEM Datei habe ich im Kopf gekürzt (da stand was von windows drin) und dann den start und das Ende wie folgt geändert:
-----BEGIN RSA PRIVATE KEY----
-----END RSA PRIVATE KEY----
Die crt-Datei habe ich in folgendem Format genutzt: Linux (pem+cabundle)

Leider startet der Apache nicht, wegen folgendem Fehler:

Jemand eine Idee woran das liegen kann?

Vielen Dank.

PatrickS · 19. Juni 2017 um 08:27

Woran kann das liegen, wenn man die Fehlermeldung beim private key: „wrong tag“ bekommt?

PatrickS · 8. Juli 2017 um 09:10

Zur Info, habe es gelöst, der Befehl zum Umwandeln vom IIS Zertifikat (private key) war falsch, folgender geht:

openssl pkcs12 -in privatekey.pfx -out privatekey.key -nodes

Mikey · 8. August 2017 um 12:55

Hi Paresy
ich versuche seit Tagen meine Symcon 4.3 Installation auf einem Raspberry sicher zu machen, sprich SSL einzuschalten.
Ich finde nirgends die Webserver Instanz was zum Henker mache ich falsch?

Danke schon mal für eure Hilfe

paresy · 8. August 2017 um 12:56

Du musst die einfach neu erstellen. Du findest die unter Instanz erstellen -> Kern Instanzen.

paresy

Bayaro · 8. August 2017 um 13:05

@paresy und @Pio: Vlt sollte man hier in der Doku (WebServer IP-Symcon :: Automatisierungssoftware) das mit der default WebServer Instanz (3777) und einer neuen WebServer Instanz genauer beschreiben?! Die Frage kommt immer wieder mal auf…

Grüße,
Chris

Bayaro · 26. Dezember 2017 um 00:20

@paresy: Ich glaube man könnte „StartSSL“ mal aus dem Beitrag #1 als Empfehlung raus nehmen… Mittlerweile erkennt die glaube ich kein Browser mehr als „sicher“ an. Zumindest keiner der „großen“ (Chrome, Apple, Firefox).

Grüße,
Chris

paresy · 26. Dezember 2017 um 15:42

Du hast vollkommen Recht! Ich habe es entfernt

paresy

pleibling · 6. Januar 2018 um 13:55

Hallo,

habe ebenfalls ein Problem. Ich nutze IPS 4.4 aktuelle Updates.

IPS läuft auf meinem PRTG Server, für den ich schone in Zertifikat habe (Key und CRT Datei).

Habe die beiden Dateien in das IPS\Cert Verzeichnis kopiert und beide in <ID>.cer und <ID>.key umbenannt, sowie einen Unterordner old erstellt und dort die vorherigen Dateien hin verschoben).

Vorher hatte ich eine neue Webserver Instanz erstellt natürlich und der Instanz (ID oben verwendet) und in der Instanz dann einen nicht belegten Port verwendet und SSL aktiviert.

Beim speichern erhalte ich keine Fehlermeldung, kann jedoch auch die Seite nicht aufrufen - wenn ich dann den IPS Dienst neustarte, dann wird vor der Instanz ein rotes Ausrufezeichen angezeigt (Meldung: Server konnte nicht gestartet werden). Firewall ist zu Testzwecken deaktiviert.

Wenn ich den Hacken bei SSL entferne kann ich mich verbinden, ist der Hacken aktiv bekomme ich den Fehler vom Browser: ERR-CONNECTION_CLOSED.

Unter Meldungen sehe ich nichts was ich dem zuordnen könnte.

Hat jemand eine Idee was das sein kann, oder wie ich das Problem behebe?

Danke.

UPDATE: Habe zwichendurch eine Meldung erhalten use_tmp_dh_file. No such file or Directory. Eine <ID>.dh Datei habe ich wirklich nicht, benötige ich die und wenn ja, wie erstelle ich die? Auch ist mir aufgefallen das ich in dem CER nur das eigentliche Zertifikat habe und keins der Root-CA oder Intermediates - werden die auch benötigt und wenn wie erstelle ich die einfach erst das Intermediate und danach das Root Certifikat hinten in der CER Datei anhängen? Ich nutze ebenfalls ein Commodo für 5€ jedoch bei ssls.com bestellt - verwende die Zeritifkate ebenfalls für meine Web-, Galerie-, ESXI-, UTM, Exchange- und Autodiscover-Server ohne Problem - deswegen gehe ich davon aus das es kein Zeritifkatsproblem selber sein sollte.

Nochmal danke für eure Hilfe.

Nall-chan · 6. Januar 2018 um 13:57

Steht den etwas im Log wenn IPS startet und die Webserver Instanz (mit Haken SSL aktiv) erstellt?
Michael

pleibling · 6. Januar 2018 um 15:36

Hallo Michael,

danke für deine schnelle Antwort, nur das folgende.

Hilft das weiter?

Danke für deine/eure Mühen.

paresy · 6. Januar 2018 um 15:56

Hast du vielleicht die Standard dhp Datei gelöscht?

paresy

pleibling · 6. Januar 2018 um 22:51

Danke für deine Hilfe Michael,

das war es in der Tat - wie ich geschrieben hatte: ich hatte alle Dateien verschoben.

Mit der Datei zurück und Dienstneustart hat es nun geklappt - kann nun per SSL auf die Seite zugreifen :).

Danke dir/euch :).

qwik · 16. Januar 2019 um 13:46

Huhu - hier ist eine kleine Anleitung für die Einbindung eines Let’s Encrypt Zertifikates: https://www.symcon.de/forum/threads/29364-heise-Let-s-Encrypt-Ab-dem-3-Dezember-Gratis-SSL-Zertifikate-f%C3%BCr-alle?p=383078#post383078

pinkie2 · 18. September 2020 um 12:39

Irgendwie komme ich bei der einrichtung von SSL nicht weiter.

In der Dokumentation heißt es ich kann in der Web-Konsole PEM und PEM inkl dem Key hochladen. Dort kann ich bei mir aber nur SSL aktivieren, sonst nichts. Ein Neustart hat auch nichts verändert.

Hier im Thread heißt es ich brauch die CER und KEY mit der ID der INsatnz. Hat aber auch nichts gebracht.

Wenn ich SSL aktiviere, geht Port 82 für HTTP auch nicht mehr.

Ich bin aufgeschmissen…

paresy · 18. September 2020 um 12:52

Die Doku ist bereits für unsere 5.5er Version aktualisiert, welche seit gestern in der Public Beta ist.

paresy

void · 8. Dezember 2020 um 14:47

Hallo paresy,

bisher konnte ich die Erneuerung meines LE Zertifikats schön automatisieren.

Certbot -> neues Zertifkat samt Key ins passende Verzeichnis kopieren lassen, mit der Webserver-ID benennen und Neustart von Symcon. Lief wunderbar bis vor kurzem.

Jetzt muss ich das übers Webinterface alle paar Monate manuell machen. Bringt einen nicht um, passt aber nicht zu einem smarten Home und dessen Software.

Ich hab gesehen das die Einträge für Cert/Key/CA in der settings.json gespeichert werden. Welches Format ist das? Kann ich das aus meinem Zertifikat und Key rausrechnen lassen? Dann könnte ich das problemlos wieder automatisieren. Oder gibt es einen anderen Weg?

Noch eine Kleinigkeit:
Wenn man weiterhin das Zertifikat und den Key in C:\ProgramData\Symcon\cert ablegt und es mit der ID des Webservers benennt, IPS neu startet, dann funktioniert SSL nicht mehr und über das Webinterface oder die Konsole ist die Verwaltung des Webservers kaputt.

Fehler:

Meldung: Konnte nicht prüfen, ob die Instanz Suchen unterstützt. InstanceInterface is not available (Code: -32603)

paresy · 8. Dezember 2020 um 14:53

Hast du die neuste Version von IPS drauf? Wir hatten da noch einen Fehler im letzten Update korrigiert.

Ich habe in dem Zuge übrigens ein Modul gebaut, welches das für dich automatisiert: https://www.symcon.de/forum/threads/44900-Modul-Let-s-Encrypt

Du musst nur IPS noch IP-Symcon ab und zu neu starten, damit der Server das neue Zertifikat lädt (aber wir Updaten ja eh regelmäßig ;))

paresy

void · 9. Dezember 2020 um 13:36

Hallo paresy,

ich hol mir für meine ganze IT ein Wildcard Zertifikat von LE per DNS Challenge. IPS ist dann ein Dienst von vielen der damit aktualisiert wird. Deswegen wäre das LE Modul einzusetzen jetzt doppelt gemoppelt für mich.

Aber ich hab mir deinen Modul Code angesehen und da steht ja drin wie es gemacht wird, wenn man das Zertifikat erst mal hat. Hab ich gleich ausprobiert und läuft wunderbar.

Vielen Dank.

Bzgl. des kleinen Schluckaufs, wenn man das Zertifkat mit WebServerID ins Verzeichnis legt:
Ich hab die 5.5 vom 26.10 drauf, also nicht top aktuell. Dann hat sich das vermutlich eh erledigt.

Grüßle,
Maikl