SSL-Zertifikat bestellen und in IP-Symcon einrichten

Heute in Heise : http://www.heise.de/newsticker/meldung/Let-s-Encrypt-Meilenstein-zu-kostenlosen-SSL-Zertifikaten-fuer-alle-2679600.html

Hallo zusammen,
habe nun auch ein SSL Zertifikat wie oben beschrieben eingerichtet. Das hat soweit auch geklappt.

Jetzt habe ich aber das Problem, dass wenn ich intern das Webfront, direkt über die IP-Adresse des Servers aufrufe, bekomme ich den Zertifikatsfehler. Wenn ich es über die Externe Domain aufrufe, muß ich dann immer das Passwort eingeben (auch von Intern).

Wie löst man das Problem, dass man Intern trotz Zertifikat das Webfront ohne Passwort und ohne Fehler aufrufen kann?

Da stehe ich irgendwie auf dem Schlauch. Vielen Dank für einen Tipp wo ich suchen muß.

Grüße Helmut

Du kannst einen zweiten WebServer ohne SSL für die internen Anfragen erstellen. Ansonsten kannst du mit aktiviertem SSL das Problem nicht lösen. Ohne Domain ist das Zertifikat ungültig und über die Domains ist es eben kein interner Zugriff.

paresy

Hallo allerseits,

ich bin gerade etwas irritiert:

Ich hab Zertifikate erstellt, mit der ID der WebFront im Ordner cert abgelegt, aber wenn ich es aufrufe, bekomme ich immer das Zertifkat von ipsymcom.de angezeigt.

Müsste da nicht mein eigenes sein? Es handelt sich aber um ein selbsterstelltes - aber vom Prinzip müsste es doch das gleiche sein?

fragt sich,
Jörg

Du musst die ID vom WebServer nehmen, nicht die vom WebFront.
Michael

Hallo,

ich bin auch daran interessiert, meinen IPS-Zugang mit SSL bzw. TLS abzusichern. Da ich den Server unter SBS 2011 betreibe, habe ich bereits ein Zertifikat, welches bereits für Zugriffe auf andere Komponenten des Netztwerks benutz wird.
Nun habe ich hierzu allerdings nur eine cert-Datei und mir fehlt diese Key-Datei. Die cert habe ich entsprechend umbenannt auf die ID des IPS-Webservers, aber der Webserver lässt sich nicht starten. Es kommt ein Fehler beim Laden des Zertifikats. Kann mir an dieser Stelle jemand weiterhelfen ?

Vielen Dank im Voraus

chrissiboy

Kannst du das Zertifikat nicht exportieren (Zertifikatspeicher), und dabei den Haken bei ‚privaten Schlüssel mit exportieren‘ (oder so ähnlich) setzen ?
Dann solltest du eigentlich eine pfx (PKCS12) Datei haben inkl. privaten Key.
Diese dann mit OpenSSL ‚zerlegen‘ und kovertieren.

So habe ich das mal gemacht… war jetzt etwas aus dem Kopf.
Sonst einfach mal die Suchmachine deiner dazu Wahl befragen.

Michael

melde mich erst jetzt, da ich in Urlaub war… aber mit guten Nachrichten :
es hat auf Anhieb so funktioniert - vielen Dank Michael

Hallo,

nun habe ich doch noch ein Problem:

Seit IPS von extern über HTTPS läuft, wird eine eingebundene externe Web-Seite nicht mehr angezeigt. Es handelt sich hierbei um die Seite des Trendnet Broadcast-Servers, die meine Kamera-Ansichten zeigt. Ich weiß nicht, ob das daran liegt, dass diese Seite nur HTTP ist und leider auch nicht umgestellt werden kann (Bietet der Server leider nicht an). Intern, wo IPS nur unter HTTP läuft klappt es.
Desweiteren bietet diese Seite von diesem Broadcast-Webserver an, beim Aufruf gleich UID und PW mitzugeben. Wenn ich das direkt im Browser mache, funktioniert das. Im Umfeld von IPS bekomme ich einen jSON-Fehler:

AJAX error in: /api-json.dyn?cmd=getswversion
error:
SyntaxError: JSON.parse: unexpected character at line 1 column 1 of the JSON data

Der Aufruf sieht so aus :

http://10.0.0.250:8080/desktopclient.html?u=xxxxxxxxx&p=xxxxxxxxxxxxxxxxxxxxxxx

Hat vlt. jemand eine Idee, wie ich das HTTPS-Problem lösen kann und mit welchem Zeichen der JSON ein Problem hat ?

Moin!

Leider ist das Problem uralt und bekannt…ich hatte darüber auch schon mal etwas geschrieben.

Wenn man über HTTPS zugreift, dann werden keine externen Webseiten mehr angezeigt (nur eine weiße Seite)! Schaltet man HTTPS ab und stellt die Verbindung zum IPS-WebFront über HTTP her, dann funktionieren die externen Webseiten im WebFront wieder.

Deshalb habe ich damals einen internen HTTP Server gemacht (mit externen Webseiten) und einen externen HTTPS Server für die App-Anbindung (ohne externe Webseiten, brauche ich da sowieso nicht).

Grüße,
Chris

Hier nochmal dazu ein technischer Artikel, der erklärt das dies ein Sicherheitsfeature ist: How to fix a website with blocked mixed content - Security | MDN

paresy

ok - danke für die schnellen Antworten -

könnte noch jemand etwas zu dem AJAX/JSON-Problem sagen ? Als Sonderzeichen sehe ich eigtl. nur das „?“ und das „&“ …
Sind diese Zeichen kritisch ?

Ich wollte gerade ein neues Zertifikat für IPS konfigurieren, leider Probleme:

Ich nutze auch Namecheap (welche dann Comodo nutzen) als CA.
Ich habe mit:

openssl req -nodes -new -newkey rsa:2048 -sha256 -out csr.pem

einen CSR und einen private.key erstellt. Den private key habe ich direkt in mein /ips/cert Verzeichnis kopiert mit dem Namen <Webserver_id>.key. Die webserver ID ist bei mir 11456. Also 11456.key.
Das Zertifikat wird direkt als CRT Datei zugestellt, also habe ich es auch in 11456.crt umbenannt und ins cert Verzeichnis gespeichert.

Namecheap liefert auch gleich eine Apache konforme CA bundle Datei mit, in dieser sind 2 Intermediate Zertifikate drin.
Diese datei als 11456.pem ebenfalls in den Ordner kopiert.

Nach restart von IPS startet aber leider der Webserver nicht. Wenn ich in der Konsole in die Instanz gehe, dann erhalte ich beim Startversuch des Webservers immer folgenden Fehler:

use_private_key_file: key values mismatch

Die Meldung hilft nur nicht wirklich weiter, weil ich nicht weiss, welcher value denn „mismatched“…also keine Ahnung habe, wo ich suchen muss?:confused:

Hat jemand ne Idee?

Mein Fehler. Endung cer und crt :frowning:

Hat schon jemand mit StartSSL einen Webserver eingerichtet? Zielsystem wäre V4.

Ich verstehe nicht so ganz, was gemacht werden muss :(.

Wenn ich eine Subdomain Validation auf die …ipmagic.de machen möchte, dann muss ein Validation Code an webmaster oder hostmaster oder postmaster @…ipmagic.de geschickt werden. Das funktioniert natürlich nicht.

Du brauchst schon eine Domain auf deinen Namen :slight_smile:
Am besten eine wo du die DNS-Einträge selbst ändern kannst.
Dort dann einen CNAME Eintrag auf die dyndns Adresse und schon kannst du dein Heim über deine Domain (für die du dann auch das Zertifikat bekommst) erreichen.
Michael

Wenn du den Symcon Connect Dienst nutzen willst (=ipmagic.de), dann musst du nichts weiter tun. Wir werden mit dem Release von IP-Symcon 4.0 für die ipmagic.de Domain ein Wildcard Zertifikat besorgen, sodass dort automatisch SSL für euch aktiv ist!

paresy

Ja das nenne ich mal Service :cool:

Michael

Ok, ein Anfang :).

Meine Idee ist eigentlich, dass die URL nur dann sinnvoll nutzbar ist, wenn es ein passendes Clientzertifikat auf dem Endgerät gibt, aber dazu fehlt mir aktuell noch etwas „Grundlagen Wissen“.

Ist übrigens ab jetzt für alle Verfügbar! :slight_smile:

paresy