SSL-Zertifikat bestellen und in IP-Symcon einrichten

Und funzt wie nix gutes :smiley:
Sogar ein A+ beim Rating :wink:
Eine ‚Sorge‘ weniger wenn mein eigenes Zertifikat wieder abläuft.

Michael

Also habe genau nach Anleitung auch beim gleichen Hersteller ein Zertifikat gekauft für meine Domain (xxx.ch) ohne Subdomain. Hab ein .Cer zurückerhalten alles passt und dieses mit dem .key aus dem openssl verzeichnis wo ich den ganzen request erstellt hatte ins ips/cert verzeichnis kopiert… da hats ja noch ein paar andere :slight_smile: wenn ich den WEbserver aber nun starten will kommt use_certificate_file: no start line

Hab mal in das .cer reingeschaut und anfang sowie endecode sind drinn… -----BEGIN PKCS7-----

genau auch wie private key im .key

Woran könnte das noch liegen?

2.jpg1.jpg3.jpg

Es sollte beginnen mit -----BEGIN CERTIFICATE----- und beim Private Key mit -----BEGIN RSA PRIVATE KEY-----
paresy

Ok danke für den Tipp… einfach mal umbenannt in den Files auf die neuen Header und so klappts… Gruss

Hallo,

ich habe auf meinem Raspi Letsencrypt eingerichtet. Das funktioniert so weit.
Nun habe ich im cert Verzeichnis von Symcon die benötigten Dateien als Symlink mit den Dateien verbunden.

sudo ln -s -f /etc/letsencrypt/live/xxx.de/fullchain.pem /usr/share/symcon/cert/34192.pem

Allerdings wird das Zertifikat nicht verwendet. Funktioniert das mit Symlinks nicht?

Bin leider kein Linux-Spezi, darum habe ich mir das so toll ausgedacht und zusammengebastelt

Hat jemand sonst eine Idee was da falsch ist?

…ich geb´s auf…
nach 3 Stunden probieren… komme ich nicht von der Fehlermeldung: „use_private_key_file: problems getting password“ weg. Hat jemand eine zündende Idee?
Lieben Dank schon einmal…

//Sven

Ich sehe gerade, dass ihr den falschen Pfad nutzt. Es muss /var/lib/symcon/cert/… sein! :slight_smile:
Und ganz wichtig: Die Dateien dürfen keinerlei Passwortschutz haben!

paresy

Haben sich beim PI die pfade geändert ? ich habe kein /var/lib/symcon/cert/…

oder muss ich das /cert erst anlegen ?

Ja, du musst den Ordner anlegen :slight_smile:

paresy

Alles klar, Danke!

Hallo,

leider hänge ich auch.
Ich hatte für eine andere Anwendung über den IIS eine Zertifikatsanfoderung erstellt und ein Zertifikat beantragt.
Dieses läuft im ISS einwandfrei.
Nun habe ich den privaten Schlüssel exportiert (mit Passwort) und danach mit OPENSSL convertiert:
openssl.exe pkcs12 -in C:\privatekey.pfx -nocerts -out privatekey.pem
hier war auch wieder ein Passwort zu vergeben.
die PEM Datei habe ich im Kopf gekürzt (da stand was von windows drin) und dann den start und das Ende wie folgt geändert:
-----BEGIN RSA PRIVATE KEY----
-----END RSA PRIVATE KEY----
Die crt-Datei habe ich in folgendem Format genutzt: Linux (pem+cabundle)

Leider startet der Apache nicht, wegen folgendem Fehler:

error.jpg

Jemand eine Idee woran das liegen kann?

Vielen Dank.

Woran kann das liegen, wenn man die Fehlermeldung beim private key: „wrong tag“ bekommt?

Zur Info, habe es gelöst, der Befehl zum Umwandeln vom IIS Zertifikat (private key) war falsch, folgender geht:

openssl pkcs12 -in privatekey.pfx -out privatekey.key -nodes

Hi Paresy
ich versuche seit Tagen meine Symcon 4.3 Installation auf einem Raspberry sicher zu machen, sprich SSL einzuschalten.
Ich finde nirgends die Webserver Instanz was zum Henker :banghead: mache ich falsch?

Instanzen.PNG

Danke schon mal für eure Hilfe

Du musst die einfach neu erstellen. Du findest die unter Instanz erstellen -> Kern Instanzen. :slight_smile:

paresy

@paresy und @Pio: Vlt sollte man hier in der Doku (WebServer — IP-Symcon :: Automatisierungssoftware) das mit der default WebServer Instanz (3777) und einer neuen WebServer Instanz genauer beschreiben?! Die Frage kommt immer wieder mal auf…

Grüße,
Chris

@paresy: Ich glaube man könnte „StartSSL“ mal aus dem Beitrag #1 als Empfehlung raus nehmen… Mittlerweile erkennt die glaube ich kein Browser mehr als „sicher“ an. Zumindest keiner der „großen“ (Chrome, Apple, Firefox).

Grüße,
Chris

Du hast vollkommen Recht! Ich habe es entfernt :slight_smile:

paresy

Hallo,

habe ebenfalls ein Problem. Ich nutze IPS 4.4 aktuelle Updates.

IPS läuft auf meinem PRTG Server, für den ich schone in Zertifikat habe (Key und CRT Datei).

Habe die beiden Dateien in das IPS\Cert Verzeichnis kopiert und beide in <ID>.cer und <ID>.key umbenannt, sowie einen Unterordner old erstellt und dort die vorherigen Dateien hin verschoben).

Vorher hatte ich eine neue Webserver Instanz erstellt natürlich und der Instanz (ID oben verwendet) und in der Instanz dann einen nicht belegten Port verwendet und SSL aktiviert.

Beim speichern erhalte ich keine Fehlermeldung, kann jedoch auch die Seite nicht aufrufen - wenn ich dann den IPS Dienst neustarte, dann wird vor der Instanz ein rotes Ausrufezeichen angezeigt (Meldung: Server konnte nicht gestartet werden). Firewall ist zu Testzwecken deaktiviert.

Wenn ich den Hacken bei SSL entferne kann ich mich verbinden, ist der Hacken aktiv bekomme ich den Fehler vom Browser: ERR-CONNECTION_CLOSED.

Unter Meldungen sehe ich nichts was ich dem zuordnen könnte.

Hat jemand eine Idee was das sein kann, oder wie ich das Problem behebe?

Danke.

UPDATE: Habe zwichendurch eine Meldung erhalten use_tmp_dh_file. No such file or Directory. Eine <ID>.dh Datei habe ich wirklich nicht, benötige ich die und wenn ja, wie erstelle ich die? Auch ist mir aufgefallen das ich in dem CER nur das eigentliche Zertifikat habe und keins der Root-CA oder Intermediates - werden die auch benötigt und wenn wie erstelle ich die einfach erst das Intermediate und danach das Root Certifikat hinten in der CER Datei anhängen? Ich nutze ebenfalls ein Commodo für 5€ jedoch bei ssls.com bestellt - verwende die Zeritifkate ebenfalls für meine Web-, Galerie-, ESXI-, UTM, Exchange- und Autodiscover-Server ohne Problem - deswegen gehe ich davon aus das es kein Zeritifkatsproblem selber sein sollte.

Nochmal danke für eure Hilfe.

Steht den etwas im Log wenn IPS startet und die Webserver Instanz (mit Haken SSL aktiv) erstellt?
Michael