Zur Homepage des Deutschsprachige Xbase-Entwickler e. V.
Xbase++-Wiki des Deutschsprachige Xbase-Entwickler e. V.

SSL-Zertifikate [ERLEDIGT]

Vom Front-End bis SOAP.

Moderator: Moderatoren

Benutzeravatar
Manfred
Foren-Administrator
Foren-Administrator
Beiträge: 17491
Registriert: Di, 29. Nov 2005 16:58
Wohnort: Kreis Wesel

Re: SSL-Zertifikate

Beitrag von Manfred » Fr, 16. Mär 2018 10:59

lt. AVM ist das der FB vollkommen wurscht. Sie leitet nur weiter. Da taucht dann auch meine Frage auf, ob ein Zugang über HTTPS auf eine Weiterleitung an ein dahintergschaltetes Gerät eine anfänglich als HTTPS geplante verbindung auf HTTP führen kann, weil es kein HTTPS kann. Oder würde sowas erst gar keine Verbindung hingebekommen? Ich meine, das wäre auch die Frage von Hubert.
Gruß Manfred
Mitglied der XUG Leverkusen
Mitglied der XUG Osnabrück
Schatzmeister des Deutschsprachige Xbase-Entwickler e.V.
großer Fan des Xbaseentwicklerwiki https://wiki.xbaseentwickler.de/index.p ... Hauptseite

Benutzeravatar
brandelh
Foren-Moderator
Foren-Moderator
Beiträge: 14211
Registriert: Mo, 23. Jan 2006 20:54
Wohnort: Germersheim
Kontaktdaten:

Re: SSL-Zertifikate

Beitrag von brandelh » Fr, 16. Mär 2018 11:00

Das klingt vernünftig, aber dennoch habe ich mal bei AVM nachgefragt.
Testen ... das ginge dann ja auch schon mit dem aktuellen von der Fritz.Box selbst erstellten Zertifkat, das ich in der Fritz.Box exportieren kann.

Wenn ich dann das so einrichte und im lokalen Browser mir das Zertifikat anzeigen lasse müsste ich dann auch sehen, welches verwendet wird und kann das so überprüfen :-)

MyFritz.NET wir mir immer sympatischer :-)
Gruß
Hubert

Benutzeravatar
Martin Altmann
Foren-Administrator
Foren-Administrator
Beiträge: 14075
Registriert: Fr, 23. Sep 2005 4:58
Wohnort: Berlin
Kontaktdaten:

Re: SSL-Zertifikate

Beitrag von Martin Altmann » Fr, 16. Mär 2018 11:05

Hubert,
brandelh hat geschrieben:
Fr, 16. Mär 2018 11:00
Testen ... das ginge dann ja auch schon mit dem aktuellen von der Fritz.Box selbst erstellten Zertifkat, das ich in der Fritz.Box exportieren kann.
dazu müsstest Du die Laborversion von Fritz!OS installiert haben...

Viele Grüße,
Martin
:grommit:
Webseite mit XB2.NET und ausschließlich statischem Content in Form von HTML-Dateien: https://www.altem.de/
Webseite mit XB2.NET und ausschließlich dynamischem Content in Form von in-memory-HTML: https://meldungen.altem.de/

Mitglied der XUG Osnabrück
stellv. Vorsitzender des Deutschsprachige Xbase-Entwickler e. V.

Benutzeravatar
Martin Altmann
Foren-Administrator
Foren-Administrator
Beiträge: 14075
Registriert: Fr, 23. Sep 2005 4:58
Wohnort: Berlin
Kontaktdaten:

Re: SSL-Zertifikate

Beitrag von Martin Altmann » Fr, 16. Mär 2018 11:09

Hier die Hinweise von avm :arrow: https://avm.de/fritz-labor/fritz-labor- ... s-encrypt/
bzw. Heise.de :arrow: https://www.heise.de/newsticker/meldung ... 17745.html
zu den Themen.

Viele Grüße,
Martin
:grommit:
Webseite mit XB2.NET und ausschließlich statischem Content in Form von HTML-Dateien: https://www.altem.de/
Webseite mit XB2.NET und ausschließlich dynamischem Content in Form von in-memory-HTML: https://meldungen.altem.de/

Mitglied der XUG Osnabrück
stellv. Vorsitzender des Deutschsprachige Xbase-Entwickler e. V.

Benutzeravatar
brandelh
Foren-Moderator
Foren-Moderator
Beiträge: 14211
Registriert: Mo, 23. Jan 2006 20:54
Wohnort: Germersheim
Kontaktdaten:

Re: SSL-Zertifikate

Beitrag von brandelh » Fr, 16. Mär 2018 11:15

Ich habe den "externen Port" meiner Freigabe "SERVER" in der Fritz.Box auf 6666 umgestellt, die Weiterleitung steht auf 6666 => 443.

https://xyz.dyndns.org - Anfragen (auf 443 Standard wegen https) werden nun nicht mehr behandelt, Timeout.

https://xyz.dyndns.org:6666/ - Anfrage braucht etwas, dann kommt diese Fehlermeldung:
Diese Website ist nicht erreichbar
Die Webseite unter https://hubert-brandel.dyndns.org:6666/ ist möglicherweise vorübergehend nicht verfügbar oder wurde dauerhaft an eine neue Webadresse verschoben.
ERR_UNSAFE_PORT
ERR_UNSAFE_PORT das lese ich so, dass HTTPS nur auf 443 funktioniert.

Ich befürchte, dass es so einfach nicht geht und laut Beschreibung benötigt Lets Encrypt auf der Fritz.Labor.Fassung kurzfristig 443 um das Zertifikat zu bekommen und zu erneuern.
Das lässt mich befürchten, dass es grundsätzlich nicht gleichzeitig geht. Wie auch immer ich versuche mal das Windowsprogramm und ob ich ein solches manuell erstellt dem Apache unterjubeln kann, bis das automatische Tool verfügbar ist.

Die AVM Hinweise habe ich durch, dort steht eindeutig:
HTTPS-Zugriffe auf FRITZ!Box per öffentlicher oder lokaler IP-Adresse, 'fritz.box' im Heimnetz oder über einen DynDNS-Anbieter nutzen nicht das Zertifikat von letsencrypt.org.
Gruß
Hubert

Benutzeravatar
Manfred
Foren-Administrator
Foren-Administrator
Beiträge: 17491
Registriert: Di, 29. Nov 2005 16:58
Wohnort: Kreis Wesel

Re: SSL-Zertifikate

Beitrag von Manfred » Fr, 16. Mär 2018 11:24

Hubert,
ich hatte sowieso vor am WE noch etwas zu experimentieren. Ich meine aber, HTTPS ging über verschiedene Ports. Ich hoffe ich habe Dich jetzt nicht falsch verstanden oder interpretiert.
Gruß Manfred
Mitglied der XUG Leverkusen
Mitglied der XUG Osnabrück
Schatzmeister des Deutschsprachige Xbase-Entwickler e.V.
großer Fan des Xbaseentwicklerwiki https://wiki.xbaseentwickler.de/index.p ... Hauptseite

Benutzeravatar
Martin Altmann
Foren-Administrator
Foren-Administrator
Beiträge: 14075
Registriert: Fr, 23. Sep 2005 4:58
Wohnort: Berlin
Kontaktdaten:

Re: SSL-Zertifikate

Beitrag von Martin Altmann » Fr, 16. Mär 2018 11:28

Hubert,
brandelh hat geschrieben:
Fr, 16. Mär 2018 11:15
HTTPS-Zugriffe auf FRITZ!Box per öffentlicher oder lokaler IP-Adresse, 'fritz.box' im Heimnetz oder über einen DynDNS-Anbieter nutzen nicht das Zertifikat von letsencrypt.org.
avm bezeichnet nicht sich selbst als DynDNS-Anbieter. Davon gehe ich zumindest aus!
Testen können wir es natürlich erst, wenn die Version offiziell draußen ist (zumindest würde ich mir keine Laborversion einspielen wollen).

Viele Grüße,
Martin
:grommit:
Webseite mit XB2.NET und ausschließlich statischem Content in Form von HTML-Dateien: https://www.altem.de/
Webseite mit XB2.NET und ausschließlich dynamischem Content in Form von in-memory-HTML: https://meldungen.altem.de/

Mitglied der XUG Osnabrück
stellv. Vorsitzender des Deutschsprachige Xbase-Entwickler e. V.

Benutzeravatar
brandelh
Foren-Moderator
Foren-Moderator
Beiträge: 14211
Registriert: Mo, 23. Jan 2006 20:54
Wohnort: Germersheim
Kontaktdaten:

Re: SSL-Zertifikate

Beitrag von brandelh » Fr, 16. Mär 2018 11:29

die eigene Web-Oberfläche wird von AVM ja auch über Port 445 angemeldet, somit müssten auch andere Ports gehen.
Wenn ich das so aufrufe, wird mir das Zertifikat von meinem SERVER angezeigt und nicht das von der Fritz.Box - die Anmeldung scheitert dann nur am user, da ich den nur für intern freigegeben habe.

Evtl. braucht man eben tatsächlich eine neuere als meine FRITZ!Box 7390 und das BETA - OS das sich um die Zertifikate kümmert.

Meine AVM Anfrage in die Richtung läuft auf jeden Fall.
Gruß
Hubert

Benutzeravatar
Martin Altmann
Foren-Administrator
Foren-Administrator
Beiträge: 14075
Registriert: Fr, 23. Sep 2005 4:58
Wohnort: Berlin
Kontaktdaten:

Re: SSL-Zertifikate

Beitrag von Martin Altmann » Di, 27. Mär 2018 9:42

Moin,
b2T!
Martin Altmann hat geschrieben:
Mi, 14. Mär 2018 14:41
Hat das schon jemand erfolgreich versucht?
Dann antworte ich mir mal selbst: Ja.
Wildcard-Zertifikat erfolgreich generiert/geholt.
Meinen Xb2.NET-Server erweitert auf SSL-Funktionalität inkl. forcen einer SSL-Verbindung - klappt mit den erwarteten Zertifikatsfehlermeldungen (Zertifikat für eine andere Domain ausgestellt als localhost).
Heute Abend werde ich das ganze dann einem "Livetest" unterziehen (wenn ich rechtzeitig vor dem #GERBRA-Spiel zu Hause bin).

Viele Grüße,
Martin
:grommit:
Webseite mit XB2.NET und ausschließlich statischem Content in Form von HTML-Dateien: https://www.altem.de/
Webseite mit XB2.NET und ausschließlich dynamischem Content in Form von in-memory-HTML: https://meldungen.altem.de/

Mitglied der XUG Osnabrück
stellv. Vorsitzender des Deutschsprachige Xbase-Entwickler e. V.

ramses
1000 working lines a day
1000 working lines a day
Beiträge: 859
Registriert: Mi, 28. Jul 2010 17:16

Re: SSL-Zertifikate [ERLEDIGT]

Beitrag von ramses » Mi, 11. Apr 2018 7:25

Hallo Hubert

du kannst problemlos "Lets encrypt" Wildcard - Zerifikate für DDNS Namen von DDNS, NO-IP usw. beziehen. Solange diese DDNS-Provider (Namen) in der public_suffix_liste enthalten sind. Dein Webserver und das LE-Tool müssen Zugriff auf ein ".well-known" Verzeichnis haben und dieses muss über Port 80 lesbar sein. HTTPS ist dann nur über Port 443 möglich. Port 80+443 auf deinen Webserver weiterleiten.

Erfahrungen mit Fritz-Boxen haben wir jedoch nicht. Diese werden von uns grundsätzlich aus Sicherheitsgründen nicht verwendet.

Gruss Carlo

Benutzeravatar
brandelh
Foren-Moderator
Foren-Moderator
Beiträge: 14211
Registriert: Mo, 23. Jan 2006 20:54
Wohnort: Germersheim
Kontaktdaten:

Re: SSL-Zertifikate [ERLEDIGT]

Beitrag von brandelh » Mi, 11. Apr 2018 8:07

ramses hat geschrieben:
Mi, 11. Apr 2018 7:25
du kannst problemlos "Lets encrypt" Wildcard - Zerifikate für DDNS Namen von DDNS, NO-IP usw. beziehen.
Solange diese DDNS-Provider (Namen) in der public_suffix_liste enthalten sind.
danke für die Info, aber ich steh grad mal wieder auf dem Schlauch ;-)
public_suffix_liste ist das was bei Lets encrypt ?
".well-known" muss ich also so ein Verzeichnis unter dem HTTP-Root anlegen, denn der ist ja direkt von außen erreichbar ?
ramses hat geschrieben:
Mi, 11. Apr 2018 7:25
Erfahrungen mit Fritz-Boxen haben wir jedoch nicht. Diese werden von uns grundsätzlich aus Sicherheitsgründen nicht verwendet.
Was nehmt denn Ihr um das Internet vom Hausnetz zu trennen ?

Ich persönlich denke, dass die von AVM mehr Ahnung von Firewall haben als ich, daher würde ich mir das nicht zutrauen das selbst zu machen.
Gruß
Hubert

Benutzeravatar
brandelh
Foren-Moderator
Foren-Moderator
Beiträge: 14211
Registriert: Mo, 23. Jan 2006 20:54
Wohnort: Germersheim
Kontaktdaten:

Re: SSL-Zertifikate [ERLEDIGT]

Beitrag von brandelh » Mi, 11. Apr 2018 8:12

Gruß
Hubert

ramses
1000 working lines a day
1000 working lines a day
Beiträge: 859
Registriert: Mi, 28. Jul 2010 17:16

Re: SSL-Zertifikate [ERLEDIGT]

Beitrag von ramses » Mi, 11. Apr 2018 15:34

Hallo Hubert

genau auf deiner DNS Adresse muss unter Port 80 im RootVerzeichnis ein Verzeichnis(e) .well-known/acme-challenge vorhanden sein.
Das LE Tool muss dieses auch sehen, dieses schreibt in dieses Verzeichnis Dateien die dann über einen Zugriff über Port 80 auf vorhanden sein geprüft werden. Damit wird getestet ob du beim anfordern des Zertifikats auch Herr und Meister der Domain bist. Dann, und nur dann erhälts du auch ein Zertifikat. Funktioniert wirklich einwandfrei.

Als Router/Firewall verwenden wir z.B. die grösseren Zyxel-Zywall oder Fortinet. Sicher haben die AVM Leute mehr Ahnung von Firewall's als wir beide, leider bauen sind aber Multifunktionsgeräte (von allem ein wenig aber nichts umfassendes) mit jeder Menge "Geheimer Funktionen" sowie Provideranpassungen usw.

Gruss Carlo

Benutzeravatar
brandelh
Foren-Moderator
Foren-Moderator
Beiträge: 14211
Registriert: Mo, 23. Jan 2006 20:54
Wohnort: Germersheim
Kontaktdaten:

Re: SSL-Zertifikate [ERLEDIGT]

Beitrag von brandelh » Mi, 11. Apr 2018 15:52

LE tool ... finde ich nicht auf der Let's encrypt seinte, die fragen nach SHELL Access damit meinen die doch ob man eine CMD öffnen kann oder ?

Ich sehe auch eine Anleitung wie man den Web-Server der Synology mit einem zertifikat bestücken kann, so eine habe ich ja ... wenn ich die nun auf 80 umbiege und mir das Zertifikat hole,
kann ich das dann einfach beim Apache hinein kopieren ?

Oder welches würdet Ihr für Win 7 Pro + Apache empfehlen ?
Gruß
Hubert

Benutzeravatar
Martin Altmann
Foren-Administrator
Foren-Administrator
Beiträge: 14075
Registriert: Fr, 23. Sep 2005 4:58
Wohnort: Berlin
Kontaktdaten:

Re: SSL-Zertifikate [ERLEDIGT]

Beitrag von Martin Altmann » Mi, 11. Apr 2018 16:00

Hubert,
das LE-Tool ist doch der zweite Link in meinem ersten Beitrag!

Viele Grüße,
Martin
:grommit:
Webseite mit XB2.NET und ausschließlich statischem Content in Form von HTML-Dateien: https://www.altem.de/
Webseite mit XB2.NET und ausschließlich dynamischem Content in Form von in-memory-HTML: https://meldungen.altem.de/

Mitglied der XUG Osnabrück
stellv. Vorsitzender des Deutschsprachige Xbase-Entwickler e. V.

ramses
1000 working lines a day
1000 working lines a day
Beiträge: 859
Registriert: Mi, 28. Jul 2010 17:16

Re: SSL-Zertifikate [ERLEDIGT]

Beitrag von ramses » Mi, 11. Apr 2018 16:22

Hallo Hubert

mit "SHELL Access" ist gemeint dass du SCHREIBRECHTE auf das .well-known Verzeichnis haben musst und das Zertifikat Tool (LE) ausführen können musst. Shell bezieht sich hier eher auf ein *nix System.

Zudem musst du noch einen Job einrichten der dir das Zertifikat erneutet. Z.b jeden Tag um 1:20 das LE-Tool mit der Option --renew 10 aufruft. (Zertifikat 10 Tage vor Ablauf erneuern)
Das LE Tool ist für Windows, für ein NAS musst du das zum NAS passende Tool suchen und installieren. Wichtig ist einfach dass das Tool und der Webserver auf dem gleichen Gerät laufen sonst funktioniert die Zertifikatanforderung nicht. Hast du das Zertifikat erhalten kannst du dieses für 90 Tage nutzen auch auf einem anderen Gerät/Server.

Gruss Carlo

Benutzeravatar
brandelh
Foren-Moderator
Foren-Moderator
Beiträge: 14211
Registriert: Mo, 23. Jan 2006 20:54
Wohnort: Germersheim
Kontaktdaten:

Re: SSL-Zertifikate [ERLEDIGT]

Beitrag von brandelh » Mi, 11. Apr 2018 20:16

danke an alle Helfenden, offensichtlich stehe ich auf dem Schlauch aber ich versuche mein Bestes ...
Gruß
Hubert

Benutzeravatar
brandelh
Foren-Moderator
Foren-Moderator
Beiträge: 14211
Registriert: Mo, 23. Jan 2006 20:54
Wohnort: Germersheim
Kontaktdaten:

Re: SSL-Zertifikate [ERLEDIGT]

Beitrag von brandelh » Mi, 11. Apr 2018 22:23

führender . verweigert mein Explorer, mal sehen ob es mit ren geht

ren xxx .xxx wird der punkt vorne gesetzt
Gruß
Hubert

ramses
1000 working lines a day
1000 working lines a day
Beiträge: 859
Registriert: Mi, 28. Jul 2010 17:16

Re: SSL-Zertifikate [ERLEDIGT]

Beitrag von ramses » Do, 12. Apr 2018 5:24

Hallo Hubert

du musst den Explorer so einstellen dass er "versteckte" Dateien anzeigt. Explorer unter Windows interpretieren Namen die mit Punkt beginnen als "versteckt". Musst du unter Optionen "geschützte Systemdateien ausblenden" deaktivieren und "ausgeblendete Dateien Ordner und Laufwerke anzeigen" aktivieren dann gehts (unter Win 10).

Gruss Carlo

Benutzeravatar
brandelh
Foren-Moderator
Foren-Moderator
Beiträge: 14211
Registriert: Mo, 23. Jan 2006 20:54
Wohnort: Germersheim
Kontaktdaten:

Re: SSL-Zertifikate [ERLEDIGT]

Beitrag von brandelh » Do, 12. Apr 2018 6:34

das hatte ich extra gemacht, aber der Explorer von Win 7 pro hat den Namen mit führendem Punkt nicht akzeptiert("Geben Sie einen Dateinamen ein"), mit ren in CMD Box ging es aber.
Ein Zertifikat konnte ich dank eurer Hilfe auch erstellen und die Einbindung in den 2.2.x Apache war kein Problem.

Beim Update auf den 2.4.33 gibt es noch Rechteprobleme, die haben da was an der Syntax geschraubt, aber das bekomme ich auch noch hin.
Gruß
Hubert

ramses
1000 working lines a day
1000 working lines a day
Beiträge: 859
Registriert: Mi, 28. Jul 2010 17:16

Re: SSL-Zertifikate [ERLEDIGT]

Beitrag von ramses » Do, 12. Apr 2018 11:58

Hallo Hubert

am einfachsten, sofern du nicht allzuviele Anpassungen gemacht hast, ist es die beiden config files neu zu erstellen. Bezw. das httpd.conf.sample und httpd-ssl.conf.sample als Muster zu nehmen und deine speziellen Einstellungen da erneut einzubauen. Ursache sind nicht Rechte-Probleme sondern Umbauten in der Modulaufteilung die mit der 24-2.4.33 gekommen sind. Jedenfalls habe ich es unter Freebsd so gemacht da die neue Version schon gar nicht erst gestartet hat. Jetzt läuft sie einwandfrei.

Gruss Carlo

Benutzeravatar
brandelh
Foren-Moderator
Foren-Moderator
Beiträge: 14211
Registriert: Mo, 23. Jan 2006 20:54
Wohnort: Germersheim
Kontaktdaten:

Re: SSL-Zertifikate [ERLEDIGT]

Beitrag von brandelh » Do, 12. Apr 2018 15:05

Genau, ich habe vor jeder geänderten Zeile ein

# HB --- was hab ich gemacht ...

bis auf einer und da musste ich dann Suchen ( /cgi-bin/ Alias ), hinzu kam, dass ich noch einen Tippfehler beim Pfad der SSL Zertifikate hatte und 2 Zeilen als ungültig (überholt) bemängelt wurden.
Mit einem richtigen Editor und etwas größerer Schrift hab ich es dann schnell gefunden.

Jetzt läuft mein Homeserver mit LetsEncrypt Zertifikat (bis es abläuft und ich mir was mit dauerhaftem Update überlegen muss) ;-)
Gruß
Hubert

Benutzeravatar
Martin Altmann
Foren-Administrator
Foren-Administrator
Beiträge: 14075
Registriert: Fr, 23. Sep 2005 4:58
Wohnort: Berlin
Kontaktdaten:

Re: SSL-Zertifikate [ERLEDIGT]

Beitrag von Martin Altmann » Do, 12. Apr 2018 15:11

Ablauf?
Ist doch einfach mit einer Batchdatei erledigt!
Einfach das selbe Kommando rein, dass Du zur Beantragung genommen hast aber ergänzt um den entsprechenden Paramter --renew 10
Die Batch dann mittels schtasks (in einer Eingabeaufforderung als Administrator!) täglich laufen lassen (als SYSTEM - Achtung: Pfade in der Batch mit angeben!!!)

Viele Grüße,
Martin
:grommit:
Webseite mit XB2.NET und ausschließlich statischem Content in Form von HTML-Dateien: https://www.altem.de/
Webseite mit XB2.NET und ausschließlich dynamischem Content in Form von in-memory-HTML: https://meldungen.altem.de/

Mitglied der XUG Osnabrück
stellv. Vorsitzender des Deutschsprachige Xbase-Entwickler e. V.

Benutzeravatar
brandelh
Foren-Moderator
Foren-Moderator
Beiträge: 14211
Registriert: Mo, 23. Jan 2006 20:54
Wohnort: Germersheim
Kontaktdaten:

Re: SSL-Zertifikate [ERLEDIGT]

Beitrag von brandelh » Do, 12. Apr 2018 15:18

insoweit ... aber die neuen Zertifikate müssen dann noch ins Verzeichnis des Apache (den Befehl kenne ich) und so wie ich das verstanden habe muss der neu gestartet werden.

Falls der natürlich die neuen automatisch übernimmt, wäre das Klasse.
Gruß
Hubert

Benutzeravatar
Martin Altmann
Foren-Administrator
Foren-Administrator
Beiträge: 14075
Registriert: Fr, 23. Sep 2005 4:58
Wohnort: Berlin
Kontaktdaten:

Re: SSL-Zertifikate [ERLEDIGT]

Beitrag von Martin Altmann » Do, 12. Apr 2018 15:19

Das kannst Du alles in der Batch für die Aktualisierung mit abhandeln.

Viele Grüße,
Martin
:grommit:
Webseite mit XB2.NET und ausschließlich statischem Content in Form von HTML-Dateien: https://www.altem.de/
Webseite mit XB2.NET und ausschließlich dynamischem Content in Form von in-memory-HTML: https://meldungen.altem.de/

Mitglied der XUG Osnabrück
stellv. Vorsitzender des Deutschsprachige Xbase-Entwickler e. V.

Antworten