SSL-Zertifikate [ERLEDIGT]

Vom Front-End bis SOAP.

Moderator: Moderatoren

Benutzeravatar
Martin Altmann
Foren-Administrator
Foren-Administrator
Beiträge: 16502
Registriert: Fr, 23. Sep 2005 4:58
Wohnort: Berlin
Hat sich bedankt: 111 Mal
Danksagung erhalten: 48 Mal
Kontaktdaten:

SSL-Zertifikate [ERLEDIGT]

Beitrag von Martin Altmann »

Moin,
hat jemand schon entsprechende Erfahrung mit der Nutzung der kostenfreien SSL-Zertifikate von Let's Encrypt :arrow: https://www.letsencrypt.org/ :?:
Mittlerweile bieten sie ja auch Wildcard-Zertifikate an, was die Sache vereinfacht. Seit wenigen Stunden gibt es auch einen Client für die Erneuerung der Zertifikate auf der Windows-Kommandozeile, der ebenfalls die Wildcard-Zertifikate unterstützt :arrow: https://github.com/do-know/Crypt-LE/releases/
Für die Wildcard-Zertifikate muss ein entsprechender TXT-Eintrag in das eigene DNS eingepflegt werden (DNS-01 challenge) :arrow: https://community.letsencrypt.org/t/acm ... ds/55578/1
Hat das schon jemand erfolgreich versucht?

Viele Grüße,
Martin
:grommit:
Webseite mit XB2.NET und ausschließlich statischem Content in Form von HTML-Dateien: https://www.altem.de/
Webseite mit XB2.NET und ausschließlich dynamischem Content in Form von in-memory-HTML: https://meldungen.altem.de/

Mitglied der XUG Osnabrück
Vorsitzender des Deutschsprachige Xbase-Entwickler e. V.
Benutzeravatar
brandelh
Foren-Moderator
Foren-Moderator
Beiträge: 15688
Registriert: Mo, 23. Jan 2006 20:54
Wohnort: Germersheim
Hat sich bedankt: 65 Mal
Danksagung erhalten: 33 Mal
Kontaktdaten:

Re: SSL-Zertifikate

Beitrag von brandelh »

Könnte ich mit so einem auch ein Zertifikat für meine dynamische (DSL) ....dyndns.org Adresse erstellen ?
Gruß
Hubert
Benutzeravatar
Jan
Marvin
Marvin
Beiträge: 14641
Registriert: Fr, 23. Sep 2005 18:23
Wohnort: 49328 Melle
Hat sich bedankt: 21 Mal
Danksagung erhalten: 87 Mal
Kontaktdaten:

Re: SSL-Zertifikate

Beitrag von Jan »

Ich hätte das schon längst mal versucht. Wenn ich nicht bei 1&1 wäre, die nur ihre kostenpflichtigen Zertifikate zulassen ...

Jan
Mitglied der XUG Osnabrück
Mitglied der XUG Berlin/Brandenburg
Mitglied des Deutschsprachige Xbase-Entwickler e. V.
Benutzeravatar
Martin Altmann
Foren-Administrator
Foren-Administrator
Beiträge: 16502
Registriert: Fr, 23. Sep 2005 4:58
Wohnort: Berlin
Hat sich bedankt: 111 Mal
Danksagung erhalten: 48 Mal
Kontaktdaten:

Re: SSL-Zertifikate

Beitrag von Martin Altmann »

Hubert,
nein - kein Wildcard-Zertifikat! Dafür musst Du einen TXT-Eintrag in den DNS der Domäne hinterlegen - Du kommst an die DNS-Server der Domäne dyndns.org aber nicht administrativ heran, um das zu tun!

Viele Grüße,
Martin
:grommit:
Webseite mit XB2.NET und ausschließlich statischem Content in Form von HTML-Dateien: https://www.altem.de/
Webseite mit XB2.NET und ausschließlich dynamischem Content in Form von in-memory-HTML: https://meldungen.altem.de/

Mitglied der XUG Osnabrück
Vorsitzender des Deutschsprachige Xbase-Entwickler e. V.
Benutzeravatar
brandelh
Foren-Moderator
Foren-Moderator
Beiträge: 15688
Registriert: Mo, 23. Jan 2006 20:54
Wohnort: Germersheim
Hat sich bedankt: 65 Mal
Danksagung erhalten: 33 Mal
Kontaktdaten:

Re: SSL-Zertifikate

Beitrag von brandelh »

OK - ich meinte eigentlich für genau einen Namen z.B. MeinTest.dyndns.org die bisherigen "freien" SSL Zertifikate verlangen immer eine fixe IP und verbieten meine "lokale" ...
für öffentliche Sachen aus gutem Grunde, aber ich will ja nur eines für meine eigenen Sachen, damit ich die per HTTPS:// aufrufen kann, mit der eigenen geht das meist, nachdem ich die als Ausnahme definiert habe.
Schöner wäre eines, das auch ohne Ausnahme ginge, aber eben nur wegen der Verschlüsselung.
Gruß
Hubert
Benutzeravatar
Martin Altmann
Foren-Administrator
Foren-Administrator
Beiträge: 16502
Registriert: Fr, 23. Sep 2005 4:58
Wohnort: Berlin
Hat sich bedankt: 111 Mal
Danksagung erhalten: 48 Mal
Kontaktdaten:

Re: SSL-Zertifikate

Beitrag von Martin Altmann »

Hubert,
Du meinst doch sicherlich Deinen PC zuhause, oder?
Laut Manfred ist im Fritz!OS bereits der Support von letsencrypt.org-Zertifikaten in der Laborversion eingebaut.
Demnächst kannst Du also mit deiner Fritzbox entsprechende Zertifikate nutzen. Wenn Du dann Deine Fritzbox mittels myfritz.net registrierst, kannst Du mit Deiner myfritz.net-Adresse entsprechend drauf zugreifen.

Viele Grüße,
Martin
:grommit:
Webseite mit XB2.NET und ausschließlich statischem Content in Form von HTML-Dateien: https://www.altem.de/
Webseite mit XB2.NET und ausschließlich dynamischem Content in Form von in-memory-HTML: https://meldungen.altem.de/

Mitglied der XUG Osnabrück
Vorsitzender des Deutschsprachige Xbase-Entwickler e. V.
Benutzeravatar
brandelh
Foren-Moderator
Foren-Moderator
Beiträge: 15688
Registriert: Mo, 23. Jan 2006 20:54
Wohnort: Germersheim
Hat sich bedankt: 65 Mal
Danksagung erhalten: 33 Mal
Kontaktdaten:

Re: SSL-Zertifikate

Beitrag von brandelh »

danke für die Infos, da muss ich mir mal myFritz.net nochmal näher ansehen ...
Gruß
Hubert
Benutzeravatar
Martin Altmann
Foren-Administrator
Foren-Administrator
Beiträge: 16502
Registriert: Fr, 23. Sep 2005 4:58
Wohnort: Berlin
Hat sich bedankt: 111 Mal
Danksagung erhalten: 48 Mal
Kontaktdaten:

Re: SSL-Zertifikate

Beitrag von Martin Altmann »

Manfred kann Dir bei Fragen gut helfen - er hat das alles gerade durch.

Viele Grüße,
Martin
:grommit:
Webseite mit XB2.NET und ausschließlich statischem Content in Form von HTML-Dateien: https://www.altem.de/
Webseite mit XB2.NET und ausschließlich dynamischem Content in Form von in-memory-HTML: https://meldungen.altem.de/

Mitglied der XUG Osnabrück
Vorsitzender des Deutschsprachige Xbase-Entwickler e. V.
Benutzeravatar
Manfred
Foren-Administrator
Foren-Administrator
Beiträge: 21165
Registriert: Di, 29. Nov 2005 16:58
Wohnort: Kreis Wesel
Hat sich bedankt: 206 Mal
Danksagung erhalten: 67 Mal

Re: SSL-Zertifikate

Beitrag von Manfred »

:shock:
Gruß Manfred
Mitglied der XUG Osnabrück
Schatzmeister des Deutschsprachige Xbase-Entwickler e.V.
großer Fan des Xbaseentwicklerwiki https://wiki.xbaseentwickler.de/index.p ... Hauptseite
Doof kann man sein, man muß sich nur zu helfen wissen!!
Benutzeravatar
Martin Altmann
Foren-Administrator
Foren-Administrator
Beiträge: 16502
Registriert: Fr, 23. Sep 2005 4:58
Wohnort: Berlin
Hat sich bedankt: 111 Mal
Danksagung erhalten: 48 Mal
Kontaktdaten:

Re: SSL-Zertifikate

Beitrag von Martin Altmann »

Wieso so überrascht?
Zugriff auf Deinen RasPi, Zugriff auf Storage - hast Du doch alles erfolgreich konfiguriert. Oder nicht?

Viele Grüße,
Martin
:grommit:
Webseite mit XB2.NET und ausschließlich statischem Content in Form von HTML-Dateien: https://www.altem.de/
Webseite mit XB2.NET und ausschließlich dynamischem Content in Form von in-memory-HTML: https://meldungen.altem.de/

Mitglied der XUG Osnabrück
Vorsitzender des Deutschsprachige Xbase-Entwickler e. V.
Benutzeravatar
Manfred
Foren-Administrator
Foren-Administrator
Beiträge: 21165
Registriert: Di, 29. Nov 2005 16:58
Wohnort: Kreis Wesel
Hat sich bedankt: 206 Mal
Danksagung erhalten: 67 Mal

Re: SSL-Zertifikate

Beitrag von Manfred »

nee, nicht ganz. Nur auf eine selbstgebastelte (own)Netzcloud. Aber es ging da ja auch um ein eigenes zertifikat. So wie ich Hubert verstanden habe, war es genau das, was er schon hat. Aber er wollte was anderes haben. Außerdem klang Deine Erklärung so, als wenn ich schon ein halbes Webcloudsystem laufen hätte. Da bin ich noch weit von entfernt. Aber Andreas und ich basteln noch daran. mal sehen, was die Zukunft so bringt.
Gruß Manfred
Mitglied der XUG Osnabrück
Schatzmeister des Deutschsprachige Xbase-Entwickler e.V.
großer Fan des Xbaseentwicklerwiki https://wiki.xbaseentwickler.de/index.p ... Hauptseite
Doof kann man sein, man muß sich nur zu helfen wissen!!
Benutzeravatar
Martin Altmann
Foren-Administrator
Foren-Administrator
Beiträge: 16502
Registriert: Fr, 23. Sep 2005 4:58
Wohnort: Berlin
Hat sich bedankt: 111 Mal
Danksagung erhalten: 48 Mal
Kontaktdaten:

Re: SSL-Zertifikate

Beitrag von Martin Altmann »

Nein - es ging darum, dass man von außen auf ein internes System kommt. Das geht bei Dir.
Wenn das neue Fritz!OS kommt, unterstützt es ja Let's encrypt (so deine Aussage mir gegenüber laut Log).

Viele Grüße,
Martin
:grommit:
Webseite mit XB2.NET und ausschließlich statischem Content in Form von HTML-Dateien: https://www.altem.de/
Webseite mit XB2.NET und ausschließlich dynamischem Content in Form von in-memory-HTML: https://meldungen.altem.de/

Mitglied der XUG Osnabrück
Vorsitzender des Deutschsprachige Xbase-Entwickler e. V.
Benutzeravatar
brandelh
Foren-Moderator
Foren-Moderator
Beiträge: 15688
Registriert: Mo, 23. Jan 2006 20:54
Wohnort: Germersheim
Hat sich bedankt: 65 Mal
Danksagung erhalten: 33 Mal
Kontaktdaten:

Re: SSL-Zertifikate

Beitrag von brandelh »

Ja aber dort steht auch, dass man auf seine Fritz.Box, seine Fritz.Nas etc. kommt, aber eben nicht auf einen Server dahinter (der Apache des Servers benötigt ein Zertifikat),
der per dyndns Adresse durch die Fritz.Box geroutet wird.

Für Apache ist was in Arbeit, aber die vielen englischen Texte ... und einen apache aus Test und Stabel selbst zusammenbauen, das ist mir zu aufwändig.
Gruß
Hubert
Benutzeravatar
Martin Altmann
Foren-Administrator
Foren-Administrator
Beiträge: 16502
Registriert: Fr, 23. Sep 2005 4:58
Wohnort: Berlin
Hat sich bedankt: 111 Mal
Danksagung erhalten: 48 Mal
Kontaktdaten:

Re: SSL-Zertifikate

Beitrag von Martin Altmann »

Nun,
Manfred ist von außen mit seinem myfritz.net-Namen und dem konfigurierten Port dahinter auf die interne Ressource durchgekommen.

Viele Grüße,
Martin
:grommit:
Webseite mit XB2.NET und ausschließlich statischem Content in Form von HTML-Dateien: https://www.altem.de/
Webseite mit XB2.NET und ausschließlich dynamischem Content in Form von in-memory-HTML: https://meldungen.altem.de/

Mitglied der XUG Osnabrück
Vorsitzender des Deutschsprachige Xbase-Entwickler e. V.
Benutzeravatar
Herbert
Der Entwickler von "Deep Thought"
Der Entwickler von "Deep Thought"
Beiträge: 1991
Registriert: Do, 14. Aug 2008 0:22
Wohnort: Gmunden am Traunsee, Österreich
Danksagung erhalten: 3 Mal
Kontaktdaten:

Re: SSL-Zertifikate

Beitrag von Herbert »

Martin Altmann hat geschrieben: Do, 15. Mär 2018 16:09 Nun,
Manfred ist von außen mit seinem myfritz.net-Namen und dem konfigurierten Port dahinter auf die interne Ressource durchgekommen.
Hmm, könnte das wohl auch "Andern" gelingen?
Grüsse Herbert
Immer in Bewegung...
Benutzeravatar
brandelh
Foren-Moderator
Foren-Moderator
Beiträge: 15688
Registriert: Mo, 23. Jan 2006 20:54
Wohnort: Germersheim
Hat sich bedankt: 65 Mal
Danksagung erhalten: 33 Mal
Kontaktdaten:

Re: SSL-Zertifikate

Beitrag von brandelh »

das ist kein Problem, wenn die interne Resource genau das anzeigt was sie soll ...
bei mir ist das ja auch so (über dyndns.org) - ich versuche das mal mit MyFritz - dyndns.org ist ja seit einiger Zeit kostenpflichtig und die 5 jahre meines Vertrages sind bald rum.
Gruß
Hubert
Benutzeravatar
brandelh
Foren-Moderator
Foren-Moderator
Beiträge: 15688
Registriert: Mo, 23. Jan 2006 20:54
Wohnort: Germersheim
Hat sich bedankt: 65 Mal
Danksagung erhalten: 33 Mal
Kontaktdaten:

Re: SSL-Zertifikate

Beitrag von brandelh »

Stellt sich die Frage, ob das von der Fritz.Box (neue Laborversion) geladene Zertifikat exportiert und in einem dahinter liegenden Server Apache ... importiert werden kann.
Leider ist meine Fritz.Box zu alt und Laborversionen bin ich auch kein Freund von ... warten wir es ab. Ich prüfe mal oben den LINK ...
Gruß
Hubert
Benutzeravatar
Martin Altmann
Foren-Administrator
Foren-Administrator
Beiträge: 16502
Registriert: Fr, 23. Sep 2005 4:58
Wohnort: Berlin
Hat sich bedankt: 111 Mal
Danksagung erhalten: 48 Mal
Kontaktdaten:

Re: SSL-Zertifikate

Beitrag von Martin Altmann »

Hubert,
brandelh hat geschrieben: Fr, 16. Mär 2018 8:44 Stellt sich die Frage, ob das von der Fritz.Box (neue Laborversion) geladene Zertifikat exportiert und in einem dahinter liegenden Server Apache ... importiert werden kann.
wozu sollte das notwendig sein? Dein Fritz!Box terminiert die Verschlüsselung - der Verkehr durchs Internet ist verschlüsselt, das reicht!
Alternativ kannst Du mittels Portforwarding an deiner Fritz!Box statt an Port 80 halt an 443 deines internen PCs weiterleiten.

Viele Grüße,
Martin
:grommit:
Webseite mit XB2.NET und ausschließlich statischem Content in Form von HTML-Dateien: https://www.altem.de/
Webseite mit XB2.NET und ausschließlich dynamischem Content in Form von in-memory-HTML: https://meldungen.altem.de/

Mitglied der XUG Osnabrück
Vorsitzender des Deutschsprachige Xbase-Entwickler e. V.
Benutzeravatar
brandelh
Foren-Moderator
Foren-Moderator
Beiträge: 15688
Registriert: Mo, 23. Jan 2006 20:54
Wohnort: Germersheim
Hat sich bedankt: 65 Mal
Danksagung erhalten: 33 Mal
Kontaktdaten:

Re: SSL-Zertifikate

Beitrag von brandelh »

Martin Altmann hat geschrieben: Fr, 16. Mär 2018 8:58 wozu sollte das notwendig sein? Dein Fritz!Box terminiert die Verschlüsselung - der Verkehr durchs Internet ist verschlüsselt, das reicht!
Alternativ kannst Du mittels Portforwarding an deiner Fritz!Box statt an Port 80 halt an 443 deines internen PCs weiterleiten.
Viele Grüße,
Martin
Ich denke nicht, dass die Fritz.Box selbst verschlüsselt und dann an einen internen Server weiterreicht, solange man keine Tunnel nutzt, die Verschlüsselung ist doch teil des internen Web-Servers.
Aktuell mache ich ja Portforwarding an der Fritz!Box, wobei ich sowohl Port 80 als auch 443 an den internen PCs weiterleite, 8080 dann an die NAS, wo auch ein Web-Server läuft.
Auf die Fritz.Box Oberfläche selbst greife ich über Port 455 (oder ähnlich) zu, bisher erlaube ich dies aber nicht über das Internet.
Gruß
Hubert
Benutzeravatar
Martin Altmann
Foren-Administrator
Foren-Administrator
Beiträge: 16502
Registriert: Fr, 23. Sep 2005 4:58
Wohnort: Berlin
Hat sich bedankt: 111 Mal
Danksagung erhalten: 48 Mal
Kontaktdaten:

Re: SSL-Zertifikate

Beitrag von Martin Altmann »

Hubert,
sobald das Fritz!OS die Let's encrypt-Zertifikate unterstützt, holt sie sich ein Zertifikat und erneuert es regelmässig!
Selbstverständlich verschlüsselt sie dann, wenn Du nicht mittels http://<kryptischer_Name>.myfritz.net:4711/ sondern mittels https://<kryptischer_Name>.myfritz.net:4711/ drauf zugreifst - sonst wäre das ja witzlos!
4711 habe ich jetzt mal als Port für Deine definierte Portweiterleitung genommen...

Viele Grüße,
Martin
:grommit:
Webseite mit XB2.NET und ausschließlich statischem Content in Form von HTML-Dateien: https://www.altem.de/
Webseite mit XB2.NET und ausschließlich dynamischem Content in Form von in-memory-HTML: https://meldungen.altem.de/

Mitglied der XUG Osnabrück
Vorsitzender des Deutschsprachige Xbase-Entwickler e. V.
Benutzeravatar
Manfred
Foren-Administrator
Foren-Administrator
Beiträge: 21165
Registriert: Di, 29. Nov 2005 16:58
Wohnort: Kreis Wesel
Hat sich bedankt: 206 Mal
Danksagung erhalten: 67 Mal

Re: SSL-Zertifikate

Beitrag von Manfred »

ich kann eurem Kontext nicht so ganz folgen, oder zumindest dem von Hubert nicht. Wenn man eine HTTPS Verbindung zur Fritzbox aufbaut, dann sollte die doch zunächst erstmal im Internet verschlüsselt sein. Und das macht doch die FB zu dem Zeitpunkt, wenn der HTTPS Zugang gewählt wird. Egal, ob jetzt über den fritz.net Dienst, oder direkt per IP des Endrechners. Was dann im lokalen netzwerk (Portweiterleitung) passiert ist doch dann eigentlich egal. Wer hört Dich lokal in Deiner Wohnung ab? Wichtig ist doch das Internet. Umgekehrt wäre ja auch blöde: Über das Internet unverschlüsselt, aber intern verschlüsselt.
Gruß Manfred
Mitglied der XUG Osnabrück
Schatzmeister des Deutschsprachige Xbase-Entwickler e.V.
großer Fan des Xbaseentwicklerwiki https://wiki.xbaseentwickler.de/index.p ... Hauptseite
Doof kann man sein, man muß sich nur zu helfen wissen!!
Benutzeravatar
brandelh
Foren-Moderator
Foren-Moderator
Beiträge: 15688
Registriert: Mo, 23. Jan 2006 20:54
Wohnort: Germersheim
Hat sich bedankt: 65 Mal
Danksagung erhalten: 33 Mal
Kontaktdaten:

Re: SSL-Zertifikate

Beitrag von brandelh »

Wenn Martin Recht hat, wären alle meine Sicherheitsprobleme gelöst, aber ich denke dass die einfache Port-Weiterleitung eben nicht verschlüsselt.
Ich denke dass die Verschlüsselung im jeweiligen Web-Server Modul stattfindet.

Wie kann man das aber prüfen ... muss ich mir ansehen.
Gruß
Hubert
Benutzeravatar
Manfred
Foren-Administrator
Foren-Administrator
Beiträge: 21165
Registriert: Di, 29. Nov 2005 16:58
Wohnort: Kreis Wesel
Hat sich bedankt: 206 Mal
Danksagung erhalten: 67 Mal

Re: SSL-Zertifikate

Beitrag von Manfred »

Hubert,
kläre mich auf. Was meinst Du damit? Man gibt doch in der Konfiguration der Portweiterleitung an, ob http oder https und den Port. Sicherlich müssen beide Seiten verschlüsseln (können), aber wenn der Server an letzter Stelle auf verschlüsselung steht und auch so aufgerufen wird, dann sollte doch die Weiterleitung verschlüsselt sein.. Aber wo willst Du die hinleiten? Soll die Weiterleitung wieder irgendwo ins Internet gehen, oder bleibt die lokal? Das verstehe ich jetzt nicht so ganz.
Gruß Manfred
Mitglied der XUG Osnabrück
Schatzmeister des Deutschsprachige Xbase-Entwickler e.V.
großer Fan des Xbaseentwicklerwiki https://wiki.xbaseentwickler.de/index.p ... Hauptseite
Doof kann man sein, man muß sich nur zu helfen wissen!!
Benutzeravatar
brandelh
Foren-Moderator
Foren-Moderator
Beiträge: 15688
Registriert: Mo, 23. Jan 2006 20:54
Wohnort: Germersheim
Hat sich bedankt: 65 Mal
Danksagung erhalten: 33 Mal
Kontaktdaten:

Re: SSL-Zertifikate

Beitrag von brandelh »

PC-Irgendwo startet eine HTTPS Anfrage an xyz.myfritz.box ... nun muss zunächst einmal eine verschlüsselte Verbindung aufgebaut werden.
Port 443 der Fritz.Box wird also angesprochen, wenn dieser nicht weitergeleitet ist (als keine Port Weiterleitung) kümmert sich der interne Web-Server der Fritz.Box (der auch Fritz.nas anzeigt) um die Schlüsselaushandlung und die Verbindung steht. Anfragen werden nun verschlüsselt von PC-irgendwo zu Fritz.Box Web-Server gesendet und so beantwortet.

Wenn aber 443 umgeleitet wird auf meinen internen Rechner SERVER, dann leitet die Fritz.Box (meiner Meinung nach) einfach die Daten unverändert an den Web-Server dieses Rechners (Apache) und der muss die Verbindung aushandeln.

Natürlich leite ich immer nur im eigenen Heimnetz weiter.
Gruß
Hubert
Benutzeravatar
Martin Altmann
Foren-Administrator
Foren-Administrator
Beiträge: 16502
Registriert: Fr, 23. Sep 2005 4:58
Wohnort: Berlin
Hat sich bedankt: 111 Mal
Danksagung erhalten: 48 Mal
Kontaktdaten:

Re: SSL-Zertifikate

Beitrag von Martin Altmann »

Hubert,
wenn die Fritz!Box entsprechende Zertifikate einbindet, dann kannst du nicht mehr von außen mittels Port 443 auf deinen internen PC gehen! Da musst Du diesen Port natürlich anpassen. Z.B. auf 8443 und diesen dann von außen ansprechen.

Viele Grüße,
Martin
:grommit:
Webseite mit XB2.NET und ausschließlich statischem Content in Form von HTML-Dateien: https://www.altem.de/
Webseite mit XB2.NET und ausschließlich dynamischem Content in Form von in-memory-HTML: https://meldungen.altem.de/

Mitglied der XUG Osnabrück
Vorsitzender des Deutschsprachige Xbase-Entwickler e. V.
Antworten