Xb2.NET mit SSL
Moderator: Moderatoren
- Jan
- Marvin
- Beiträge: 14662
- Registriert: Fr, 23. Sep 2005 18:23
- Wohnort: 49328 Melle
- Hat sich bedankt: 21 Mal
- Danksagung erhalten: 88 Mal
- Kontaktdaten:
Xb2.NET mit SSL
Moin,
das ist alles nicht so meine Welt. Mir fehlt da schon das Grundverständnis. Da könnt Ihr mir hoffentlich auf die Sprünge helfen.
Ein externer Entwickler hat für meinen Kunden einen Webserver mit Xb2.NET aufgebaut. Läuft alles wunderbar. Jetzt soll das Modul auf die Allgemeinheit losgelassen werden. Der Aufruf der Formulare geschieht einzig über einen Onlineshop, der von der Kundenfirewall als einzige IP und Port zum Webserver durchgelassen wird. Von daher ist das schon ganz ordentlich abgesichert. Zusätzlich soll das aber noch per SSL abgesichert werden.
Nun hat Boris in seiner Doku die SSL_FAQ.htm mitgliefert. Daraus werde ich aber nicht ganz schlau.
Was genau benötigt mein Kunde auf der Webserver-Seite? Reicht auch im produktiven Betrieb das selbsterstellte Zertifikat, auf das Boris für einen Testbetrieb hinweist? Oder ganz was anderes? Muß mein Kunde was kaufen, wenn ja, was?
Der Shop selber kommuniziert mit der Außenwelt schon per SSL. Das ist also nicht das Problem. Es geht einzig und alleine um die schon sehr eingeschränkte Verbindung Webserver-Shop:
Jan
das ist alles nicht so meine Welt. Mir fehlt da schon das Grundverständnis. Da könnt Ihr mir hoffentlich auf die Sprünge helfen.
Ein externer Entwickler hat für meinen Kunden einen Webserver mit Xb2.NET aufgebaut. Läuft alles wunderbar. Jetzt soll das Modul auf die Allgemeinheit losgelassen werden. Der Aufruf der Formulare geschieht einzig über einen Onlineshop, der von der Kundenfirewall als einzige IP und Port zum Webserver durchgelassen wird. Von daher ist das schon ganz ordentlich abgesichert. Zusätzlich soll das aber noch per SSL abgesichert werden.
Nun hat Boris in seiner Doku die SSL_FAQ.htm mitgliefert. Daraus werde ich aber nicht ganz schlau.
Was genau benötigt mein Kunde auf der Webserver-Seite? Reicht auch im produktiven Betrieb das selbsterstellte Zertifikat, auf das Boris für einen Testbetrieb hinweist? Oder ganz was anderes? Muß mein Kunde was kaufen, wenn ja, was?
Der Shop selber kommuniziert mit der Außenwelt schon per SSL. Das ist also nicht das Problem. Es geht einzig und alleine um die schon sehr eingeschränkte Verbindung Webserver-Shop:
Jan
Mitglied der XUG Osnabrück
Mitglied der XUG Berlin/Brandenburg
Mitglied des Deutschsprachige Xbase-Entwickler e. V.
Mitglied der XUG Berlin/Brandenburg
Mitglied des Deutschsprachige Xbase-Entwickler e. V.
- Martin Altmann
- Foren-Administrator
- Beiträge: 16555
- Registriert: Fr, 23. Sep 2005 4:58
- Wohnort: Berlin
- Hat sich bedankt: 116 Mal
- Danksagung erhalten: 48 Mal
- Kontaktdaten:
Re: Xb2.NET mit SSL
Das einfachste ist ein kostenfreies SSL-Zertifikat von Let's Encrypt (damit das selbsterstellte Zertifikat nicht als unsicher eingestuft wird).
Der Onlineshop läuft unter einem anderen Webserver an anderer Stelle? Oder wie ist Deine Aussage "Der Aufruf der Formulare geschieht einzig über einen Onlineshop, der von der Kundenfirewall als einzige IP und Port zum Webserver durchgelassen wird." zu verstehen?
Viele Grüße,
Martin
Der Onlineshop läuft unter einem anderen Webserver an anderer Stelle? Oder wie ist Deine Aussage "Der Aufruf der Formulare geschieht einzig über einen Onlineshop, der von der Kundenfirewall als einzige IP und Port zum Webserver durchgelassen wird." zu verstehen?
Viele Grüße,
Martin
Webseite mit XB2.NET und ausschließlich statischem Content in Form von HTML-Dateien: https://www.altem.de/
Webseite mit XB2.NET und ausschließlich dynamischem Content in Form von in-memory-HTML: https://meldungen.altem.de/
Mitglied der XUG Osnabrück
Vorsitzender des Deutschsprachige Xbase-Entwickler e. V.
- Martin Altmann
- Foren-Administrator
- Beiträge: 16555
- Registriert: Fr, 23. Sep 2005 4:58
- Wohnort: Berlin
- Hat sich bedankt: 116 Mal
- Danksagung erhalten: 48 Mal
- Kontaktdaten:
Re: Xb2.NET mit SSL
Im übrigen brauchst Du für SSL bei Xb2.NET wenige Zeilen mehr, als ohne SSL. Also ganz einfach eigentlich.
Kann ich Dir gerne am 14.03. in Osnabrück zeigen (oder auch Manfred).
Viele Grüße,
Martin
Kann ich Dir gerne am 14.03. in Osnabrück zeigen (oder auch Manfred).
Viele Grüße,
Martin
Webseite mit XB2.NET und ausschließlich statischem Content in Form von HTML-Dateien: https://www.altem.de/
Webseite mit XB2.NET und ausschließlich dynamischem Content in Form von in-memory-HTML: https://meldungen.altem.de/
Mitglied der XUG Osnabrück
Vorsitzender des Deutschsprachige Xbase-Entwickler e. V.
- Jan
- Marvin
- Beiträge: 14662
- Registriert: Fr, 23. Sep 2005 18:23
- Wohnort: 49328 Melle
- Hat sich bedankt: 21 Mal
- Danksagung erhalten: 88 Mal
- Kontaktdaten:
Re: Xb2.NET mit SSL
Hallo Martin,
stimmt. Es gibt einen Shop, der läuft auf einem externen Server. In dem Shop kann man per Menüeintrag oder Button Formulare aufrufen, die dann vom Webserver im Haus des Kunden bereit gestellt werden. Dieser Webserver ist durch die Firewall so abgeschottet, das nur eine einzige IP auf einem vorgegebenen Port da von außen durch kommt. Und diese Verbindung soll nun noch stärker abgesichert werden durch SLL.
Jan
stimmt. Es gibt einen Shop, der läuft auf einem externen Server. In dem Shop kann man per Menüeintrag oder Button Formulare aufrufen, die dann vom Webserver im Haus des Kunden bereit gestellt werden. Dieser Webserver ist durch die Firewall so abgeschottet, das nur eine einzige IP auf einem vorgegebenen Port da von außen durch kommt. Und diese Verbindung soll nun noch stärker abgesichert werden durch SLL.
Jan
Mitglied der XUG Osnabrück
Mitglied der XUG Berlin/Brandenburg
Mitglied des Deutschsprachige Xbase-Entwickler e. V.
Mitglied der XUG Berlin/Brandenburg
Mitglied des Deutschsprachige Xbase-Entwickler e. V.
- Jan
- Marvin
- Beiträge: 14662
- Registriert: Fr, 23. Sep 2005 18:23
- Wohnort: 49328 Melle
- Hat sich bedankt: 21 Mal
- Danksagung erhalten: 88 Mal
- Kontaktdaten:
Re: Xb2.NET mit SSL
Hallo Martin,
Danke für das Angebot auf dem XUG-Treffen. Da können wir das auch gerne vertiefen, wie gesagt, as ist alles ziemliches Neuland für mich. Aber es wäre gut, wenn wir die notwendigen Schritte jetzt schon in die Wege leiten könnten.
Jan
Danke für das Angebot auf dem XUG-Treffen. Da können wir das auch gerne vertiefen, wie gesagt, as ist alles ziemliches Neuland für mich. Aber es wäre gut, wenn wir die notwendigen Schritte jetzt schon in die Wege leiten könnten.
Jan
Mitglied der XUG Osnabrück
Mitglied der XUG Berlin/Brandenburg
Mitglied des Deutschsprachige Xbase-Entwickler e. V.
Mitglied der XUG Berlin/Brandenburg
Mitglied des Deutschsprachige Xbase-Entwickler e. V.
- Martin Altmann
- Foren-Administrator
- Beiträge: 16555
- Registriert: Fr, 23. Sep 2005 4:58
- Wohnort: Berlin
- Hat sich bedankt: 116 Mal
- Danksagung erhalten: 48 Mal
- Kontaktdaten:
Re: Xb2.NET mit SSL
OK.
Erst mal musst Du Dir ein Zertifikat beantragen.
Wenn Du das bei Let's Encrypt machst, musst Du ihnen beweisen, dass die Serveradresse (Name), für die Du das beantragst, auch Dir gehörst. Dafür gibt es mehrere Möglichkeiten (Stand: vor einigen Jahren, ob immer noch alle Möglichkeiten so akzeptiert werden, musst Du mal prüfen):
Du musst auf dem Webserver eine Datei mit einem bestimmten Namen und einem bestimmten Inhalt hinterlegen (beides wird Dir bei der Beantragung mitgeteilt). Der Webserver muss aus dem Internet erreichbar sein und Zugriff auf diese Datei haben, damit die Prüf-Anfrage von außen nicht ins Leere läuft.
Du musst Zugriff auf die DNS-Konfiguration der Domäne haben und einen neuen Eintrag (als einfachen Texteintrag) mit einem bestimmten Inhalt hinterlegen. Die DNS-Abfrage auf diesen A-Record liefert dann den Inhalt zurück. Auch hier bekommst Du beides vorgegeben.
Die Gültigkeit beträgt drei Monate. Du kannst Dir dann eine Batch schreiben, die Du wöchentlich auf dem Xb2.Net-Webserver laufen lässt, um Dein Zertifikat zu verlängern.
Für den Vereinsserver und meinen Server habe ich das auch so gemacht (mit der DNS-Variante).
Viele Grüße,
Martin
Erst mal musst Du Dir ein Zertifikat beantragen.
Wenn Du das bei Let's Encrypt machst, musst Du ihnen beweisen, dass die Serveradresse (Name), für die Du das beantragst, auch Dir gehörst. Dafür gibt es mehrere Möglichkeiten (Stand: vor einigen Jahren, ob immer noch alle Möglichkeiten so akzeptiert werden, musst Du mal prüfen):
Du musst auf dem Webserver eine Datei mit einem bestimmten Namen und einem bestimmten Inhalt hinterlegen (beides wird Dir bei der Beantragung mitgeteilt). Der Webserver muss aus dem Internet erreichbar sein und Zugriff auf diese Datei haben, damit die Prüf-Anfrage von außen nicht ins Leere läuft.
Du musst Zugriff auf die DNS-Konfiguration der Domäne haben und einen neuen Eintrag (als einfachen Texteintrag) mit einem bestimmten Inhalt hinterlegen. Die DNS-Abfrage auf diesen A-Record liefert dann den Inhalt zurück. Auch hier bekommst Du beides vorgegeben.
Die Gültigkeit beträgt drei Monate. Du kannst Dir dann eine Batch schreiben, die Du wöchentlich auf dem Xb2.Net-Webserver laufen lässt, um Dein Zertifikat zu verlängern.
Für den Vereinsserver und meinen Server habe ich das auch so gemacht (mit der DNS-Variante).
Viele Grüße,
Martin
Webseite mit XB2.NET und ausschließlich statischem Content in Form von HTML-Dateien: https://www.altem.de/
Webseite mit XB2.NET und ausschließlich dynamischem Content in Form von in-memory-HTML: https://meldungen.altem.de/
Mitglied der XUG Osnabrück
Vorsitzender des Deutschsprachige Xbase-Entwickler e. V.
- brandelh
- Foren-Moderator
- Beiträge: 15707
- Registriert: Mo, 23. Jan 2006 20:54
- Wohnort: Germersheim
- Hat sich bedankt: 71 Mal
- Danksagung erhalten: 38 Mal
- Kontaktdaten:
Re: Xb2.NET mit SSL
dass die Verbindung vom externen Server auf den internen Server mit SSL verschlüsselt wird ist schon wichtig,
da sonst jemand den Netzwerkverkehr mit persönlichen Daten einsehen und manipulieren könnte.
Ich habe auf meinem kleinen internen Server auch ein "Let's Encrypt" Zertifikat, das nix gekostet hat und sogar eine DynDns.ORG Adresse akzeptiert.
Auf dem WebServer muss man dafür nur wenig eintragen und ein Verzeichnis installieren, alle 3 Monate kommt dann die eMail, dass ich das verlängern muss, geht mit CMD Datei.
Wenn man ein eigenes Zertifikat erstellt, kann das länger laufen, muss aber auf dem externen Server als vertrauenswürdig eingestellt werden, was dem gar nicht gefällt, da ja selbst erstellt.
Martin war schneller, aber ich schreibe dennoch
Gruß
Hubert
Hubert
- Tom
- Der Entwickler von "Deep Thought"
- Beiträge: 9394
- Registriert: Do, 22. Sep 2005 23:11
- Wohnort: Berlin
- Hat sich bedankt: 104 Mal
- Danksagung erhalten: 364 Mal
- Kontaktdaten:
Re: Xb2.NET mit SSL
Das serversignierte Zertifikat, das Boris zum Testen mitliefert, wird inzwischen von den meisten Klienten verweigert. Zum Testen sollte es reichen. LE ist aber wirklich simpel. Zertifikatsanträge funktionieren nicht mit statischen IP-Adressen, aber mit einem DDNS geht es. Das Zertifikat wird dann exportiert und dem SSL-Kontext zu gewiesen. Das sind zwei ergänzende Zeilen beim Erzeugen der Serverinstanz, feddisch.
Herzlich,
Tom
Tom
- Martin Altmann
- Foren-Administrator
- Beiträge: 16555
- Registriert: Fr, 23. Sep 2005 4:58
- Wohnort: Berlin
- Hat sich bedankt: 116 Mal
- Danksagung erhalten: 48 Mal
- Kontaktdaten:
Re: Xb2.NET mit SSL
Dann mal ein wenig ausführlicher:
Bei Boris ist openSSL dabei (in einem Unterverzeichnis). Zusätzlich brauchst Du für Let's Encrypt einen Client (ich nutze le64). Dann mustt Du wie folgt vorgehen:
Angepasste Schlüssel erzeugen:
openssl genrsa -out private.key 4096
openssl genrsa -out server.key 2048
Initial Beantragen:
Mit Datei im Filesystem (hinter --path steht der entsprechende Pfad):
le64.exe --key private.key --csr server.csr --csr-key server.key --crt server.crt --domains "server.domain.de" --generate-missing --unlink --path .well-known/acme-challenge --live --email "name@host.de"
Mit DNS-Eintrag
le64.exe --key private.key --csr server.csr --csr-key server.key --crt server.crt --domains "server.domain.de" --generate-missing --handle-as dns --api 2 --live --email "name@host.de"
Verlängern (da würde ich dann die filebasierte Variante bevorzugen, macht es einfacher):
..\le64.exe --key private.key --csr server.csr --csr-key server.key --crt server.crt --domains "server.domain.de" --generate-missing --unlink --path .well-known/acme-challenge --live --email "name@host.de" --renew 30
Task unter Windows einrichten für das Verlängern (s.o.)
schtasks /create /tn Renew_LE_Certificate /tr "C:\.....\renew_le_certs.bat" /sc weekly /st 23:23:00 /ru "SYSTEM"
Inhalt der batch:
Musst Du natürlich anpassen.
Allerdings: Auf Deinen Xb2.NET-Server muss ein genereller Zugriff von außenj (über Port 80 und 443) möglich sein - generell! Sonst kann Let's Encrypt keine Prüfung/Verlängerung vornehmen!
Viele Grüße,
Martin
Bei Boris ist openSSL dabei (in einem Unterverzeichnis). Zusätzlich brauchst Du für Let's Encrypt einen Client (ich nutze le64). Dann mustt Du wie folgt vorgehen:
Angepasste Schlüssel erzeugen:
openssl genrsa -out private.key 4096
openssl genrsa -out server.key 2048
Initial Beantragen:
Mit Datei im Filesystem (hinter --path steht der entsprechende Pfad):
le64.exe --key private.key --csr server.csr --csr-key server.key --crt server.crt --domains "server.domain.de" --generate-missing --unlink --path .well-known/acme-challenge --live --email "name@host.de"
Mit DNS-Eintrag
le64.exe --key private.key --csr server.csr --csr-key server.key --crt server.crt --domains "server.domain.de" --generate-missing --handle-as dns --api 2 --live --email "name@host.de"
Verlängern (da würde ich dann die filebasierte Variante bevorzugen, macht es einfacher):
..\le64.exe --key private.key --csr server.csr --csr-key server.key --crt server.crt --domains "server.domain.de" --generate-missing --unlink --path .well-known/acme-challenge --live --email "name@host.de" --renew 30
Task unter Windows einrichten für das Verlängern (s.o.)
schtasks /create /tn Renew_LE_Certificate /tr "C:\.....\renew_le_certs.bat" /sc weekly /st 23:23:00 /ru "SYSTEM"
Inhalt der batch:
Code: Alles auswählen
@echo off
set LOG=C:\LOG\CERTS\certrenew_%date:~-4%%date:~3,2%%date:~0,2%_%time:~0,2%%time:~3,2%%time:~6,2%
C:\...\le64.exe --key C:\...\private.key --csr C:\...\server.csr --csr-key C:\...\server.key --crt C:\....\server.crt --domains "server.domain.de" --generate-missing --unlink --path C:/.../wwwroot/.well-known/acme-challenge/ --live --email "name@host.de" --renew 30 > %LOG% 2>&1
Allerdings: Auf Deinen Xb2.NET-Server muss ein genereller Zugriff von außenj (über Port 80 und 443) möglich sein - generell! Sonst kann Let's Encrypt keine Prüfung/Verlängerung vornehmen!
Viele Grüße,
Martin
Webseite mit XB2.NET und ausschließlich statischem Content in Form von HTML-Dateien: https://www.altem.de/
Webseite mit XB2.NET und ausschließlich dynamischem Content in Form von in-memory-HTML: https://meldungen.altem.de/
Mitglied der XUG Osnabrück
Vorsitzender des Deutschsprachige Xbase-Entwickler e. V.
- Jan
- Marvin
- Beiträge: 14662
- Registriert: Fr, 23. Sep 2005 18:23
- Wohnort: 49328 Melle
- Hat sich bedankt: 21 Mal
- Danksagung erhalten: 88 Mal
- Kontaktdaten:
Re: Xb2.NET mit SSL
Martin,
und da scheitert das dann schon. Diese Ports sind alle dicht gemacht worden zur Absicherung. Was bedeuten würde: Um die Sicherheit von SLL zu erhalten, muß ich die Sicherheit des Außenangriffs verringern. Cholera mit Pest vertreiben.
Oder seh ich das falsch?
Jan
und da scheitert das dann schon. Diese Ports sind alle dicht gemacht worden zur Absicherung. Was bedeuten würde: Um die Sicherheit von SLL zu erhalten, muß ich die Sicherheit des Außenangriffs verringern. Cholera mit Pest vertreiben.
Oder seh ich das falsch?
Jan
Mitglied der XUG Osnabrück
Mitglied der XUG Berlin/Brandenburg
Mitglied des Deutschsprachige Xbase-Entwickler e. V.
Mitglied der XUG Berlin/Brandenburg
Mitglied des Deutschsprachige Xbase-Entwickler e. V.
- Jan
- Marvin
- Beiträge: 14662
- Registriert: Fr, 23. Sep 2005 18:23
- Wohnort: 49328 Melle
- Hat sich bedankt: 21 Mal
- Danksagung erhalten: 88 Mal
- Kontaktdaten:
Re: Xb2.NET mit SSL
Bevor ich das vergesse: Mein Kunde hat für verschiedene Zwecke diverse Zertifikate. Dem würde das nichts ausmachen, da noch ein weiteres zu kaufen. Es geht dabei also nicht um möglichst günstig (geht es natürlich letztendlich doch, welcher Chef gibt schon gerne Geld aus?).
Jan
Jan
Mitglied der XUG Osnabrück
Mitglied der XUG Berlin/Brandenburg
Mitglied des Deutschsprachige Xbase-Entwickler e. V.
Mitglied der XUG Berlin/Brandenburg
Mitglied des Deutschsprachige Xbase-Entwickler e. V.
- Martin Altmann
- Foren-Administrator
- Beiträge: 16555
- Registriert: Fr, 23. Sep 2005 4:58
- Wohnort: Berlin
- Hat sich bedankt: 116 Mal
- Danksagung erhalten: 48 Mal
- Kontaktdaten:
Re: Xb2.NET mit SSL
Siehst Du falsch.
Du beschränkst den Zugriff ja auf die zwei Ports (80 und 443), damit ist eine Einschränkung schon gegeben.
Dafür erhältst Du ja ein Zertifikat.
Wenn Dein Kunde das partout nicht will, dann muss halt ein kostenpflichtiges Zertifikat gekauft und genutzt werden. Aber auch da an Verlängerungen denken.
Viele Grüße,
Martin
Du beschränkst den Zugriff ja auf die zwei Ports (80 und 443), damit ist eine Einschränkung schon gegeben.
Dafür erhältst Du ja ein Zertifikat.
Wenn Dein Kunde das partout nicht will, dann muss halt ein kostenpflichtiges Zertifikat gekauft und genutzt werden. Aber auch da an Verlängerungen denken.
Viele Grüße,
Martin
Webseite mit XB2.NET und ausschließlich statischem Content in Form von HTML-Dateien: https://www.altem.de/
Webseite mit XB2.NET und ausschließlich dynamischem Content in Form von in-memory-HTML: https://meldungen.altem.de/
Mitglied der XUG Osnabrück
Vorsitzender des Deutschsprachige Xbase-Entwickler e. V.
- Tom
- Der Entwickler von "Deep Thought"
- Beiträge: 9394
- Registriert: Do, 22. Sep 2005 23:11
- Wohnort: Berlin
- Hat sich bedankt: 104 Mal
- Danksagung erhalten: 364 Mal
- Kontaktdaten:
Re: Xb2.NET mit SSL
Man muss die Ports nur kurz für die Validierung öffnen. Danach können sie wieder zugemacht werden. Und LE-Zertifikate kosten nicht viel, nämlich nichts.
Herzlich,
Tom
Tom
- Jan
- Marvin
- Beiträge: 14662
- Registriert: Fr, 23. Sep 2005 18:23
- Wohnort: 49328 Melle
- Hat sich bedankt: 21 Mal
- Danksagung erhalten: 88 Mal
- Kontaktdaten:
Re: Xb2.NET mit SSL
Hallo Tom,
wie oben schon erwähnt geht es hier nicht wirklich um den Preis.
Jan
wie oben schon erwähnt geht es hier nicht wirklich um den Preis.
Jan
Mitglied der XUG Osnabrück
Mitglied der XUG Berlin/Brandenburg
Mitglied des Deutschsprachige Xbase-Entwickler e. V.
Mitglied der XUG Berlin/Brandenburg
Mitglied des Deutschsprachige Xbase-Entwickler e. V.
- Tom
- Der Entwickler von "Deep Thought"
- Beiträge: 9394
- Registriert: Do, 22. Sep 2005 23:11
- Wohnort: Berlin
- Hat sich bedankt: 104 Mal
- Danksagung erhalten: 364 Mal
- Kontaktdaten:
Re: Xb2.NET mit SSL
Der Weg, um von einem CA ein Zertfikat für einen SSL-Webserver zu bekommen, ist immer ähnlich. Die Authentifizierung erfolgt über die URL und letztlich über den Server selbst. Aber das ist ein einmaliger Vorgang. Man kann kurz den IIS in Betrieb nehmen, das Verzeichnis erstellen, den Abruf durchführen und den IIS wieder stilllegen. Danach braucht man die Ports erst wieder, wenn das Zertifikat verlängert werden soll. Aber anders geht's meines Wissens überhaupt nicht.
Herzlich,
Tom
Tom
- Marcus Herz
- 1000 working lines a day
- Beiträge: 862
- Registriert: Mo, 16. Jan 2006 8:13
- Wohnort: Allgäu
- Hat sich bedankt: 40 Mal
- Danksagung erhalten: 197 Mal
- Kontaktdaten:
- Martin Altmann
- Foren-Administrator
- Beiträge: 16555
- Registriert: Fr, 23. Sep 2005 4:58
- Wohnort: Berlin
- Hat sich bedankt: 116 Mal
- Danksagung erhalten: 48 Mal
- Kontaktdaten:
Re: Xb2.NET mit SSL
Kann ich nicht lesen, da kostenpflichtig.
Aber ich nehme an, du spielst auf die Zertifikate an, die kurzfristig zurückgezogen werden. Betrifft mich nicht, dass ich le64 als Clienttool genutzt habe!
Die Ursache war das Clienttool - nicht Let‘s Encrypt!
Viele Grüße,
Martin
Aber ich nehme an, du spielst auf die Zertifikate an, die kurzfristig zurückgezogen werden. Betrifft mich nicht, dass ich le64 als Clienttool genutzt habe!
Die Ursache war das Clienttool - nicht Let‘s Encrypt!
Viele Grüße,
Martin
Webseite mit XB2.NET und ausschließlich statischem Content in Form von HTML-Dateien: https://www.altem.de/
Webseite mit XB2.NET und ausschließlich dynamischem Content in Form von in-memory-HTML: https://meldungen.altem.de/
Mitglied der XUG Osnabrück
Vorsitzender des Deutschsprachige Xbase-Entwickler e. V.
- Martin Altmann
- Foren-Administrator
- Beiträge: 16555
- Registriert: Fr, 23. Sep 2005 4:58
- Wohnort: Berlin
- Hat sich bedankt: 116 Mal
- Danksagung erhalten: 48 Mal
- Kontaktdaten:
Re: Xb2.NET mit SSL
Sind auch nur ein paar. 3 Millionen von 1 Milliarde ausgestellter Zertifikate.
Viele Grüße,
Martin
Viele Grüße,
Martin
Webseite mit XB2.NET und ausschließlich statischem Content in Form von HTML-Dateien: https://www.altem.de/
Webseite mit XB2.NET und ausschließlich dynamischem Content in Form von in-memory-HTML: https://meldungen.altem.de/
Mitglied der XUG Osnabrück
Vorsitzender des Deutschsprachige Xbase-Entwickler e. V.
-
- Der Entwickler von "Deep Thought"
- Beiträge: 2518
- Registriert: Mi, 28. Jul 2010 17:16
- Hat sich bedankt: 12 Mal
- Danksagung erhalten: 77 Mal
Re: Xb2.NET mit SSL
Hallo Tom
für ein neues Zertifikat brauchts aber auch kein ISS das geht locker auch mit xb2.net.
Im Root Verzeichnis des webservers müssen zwei Odner vorhanden sein.
\.well-known\acme-challenge
(Punkt im Namen vor well-known beachten)
Das LE Tool muss bei der Erneuerung schreibender Zugriff auf diesen Ordner haben.
Es, das Tool schreibt hier Dateien rein die dann über Port 80 auf vorhanden sein geprüft werden.
Ist diese Prüfung erfolgreich wird ein neuses Zertifikat ausgegeben und die Prüfdateien wieder entfernt.
Das ganze lässt sich leicht in einem Thread des xb2 Server automatisieren.
für ein neues Zertifikat brauchts aber auch kein ISS das geht locker auch mit xb2.net.
Im Root Verzeichnis des webservers müssen zwei Odner vorhanden sein.
\.well-known\acme-challenge
(Punkt im Namen vor well-known beachten)
Das LE Tool muss bei der Erneuerung schreibender Zugriff auf diesen Ordner haben.
Es, das Tool schreibt hier Dateien rein die dann über Port 80 auf vorhanden sein geprüft werden.
Ist diese Prüfung erfolgreich wird ein neuses Zertifikat ausgegeben und die Prüfdateien wieder entfernt.
Das ganze lässt sich leicht in einem Thread des xb2 Server automatisieren.
Valar Morghulis
Gruss Carlo
Gruss Carlo
- Martin Altmann
- Foren-Administrator
- Beiträge: 16555
- Registriert: Fr, 23. Sep 2005 4:58
- Wohnort: Berlin
- Hat sich bedankt: 116 Mal
- Danksagung erhalten: 48 Mal
- Kontaktdaten:
Re: Xb2.NET mit SSL
Ja, im Prinzip - ein wenig mehr muss schon gemacht werden in Deinem Xb2.NET-Webserver.
Du musst in Deiner :FitlerRequest-Funktion auch darauf reagieren.
Viele Grüße,
Martin
Du musst in Deiner :FitlerRequest-Funktion auch darauf reagieren.
Viele Grüße,
Martin
Webseite mit XB2.NET und ausschließlich statischem Content in Form von HTML-Dateien: https://www.altem.de/
Webseite mit XB2.NET und ausschließlich dynamischem Content in Form von in-memory-HTML: https://meldungen.altem.de/
Mitglied der XUG Osnabrück
Vorsitzender des Deutschsprachige Xbase-Entwickler e. V.
-
- Der Entwickler von "Deep Thought"
- Beiträge: 2518
- Registriert: Mi, 28. Jul 2010 17:16
- Hat sich bedankt: 12 Mal
- Danksagung erhalten: 77 Mal
Re: Xb2.NET mit SSL
Hallo Jan
wenn nur die verbindung vom Shop Server mit deinem Programm SLL abgesichert werden soll, also der Shopserver Proxy ist, kannst du auch ein selbssigniertes Zertifikat erstellen und dieses auf dem Shopserver installieren. Ich habe einige solche Verbindungen mit statischen IP's
wenn nur die verbindung vom Shop Server mit deinem Programm SLL abgesichert werden soll, also der Shopserver Proxy ist, kannst du auch ein selbssigniertes Zertifikat erstellen und dieses auf dem Shopserver installieren. Ich habe einige solche Verbindungen mit statischen IP's
Valar Morghulis
Gruss Carlo
Gruss Carlo
-
- Der Entwickler von "Deep Thought"
- Beiträge: 2518
- Registriert: Mi, 28. Jul 2010 17:16
- Hat sich bedankt: 12 Mal
- Danksagung erhalten: 77 Mal
Re: Xb2.NET mit SSL
Hallo Martin
ja du musst 3 Zeilen einfügen: (Am besten weit oben.)
Die sind in Boris Beispiel auch dokumentiert.
Das erneuerte Zertifikat wird von der aktuellen Version xb2.net automatisch erkannt und eingebunden.
Beides funktioniert wirklich ohne weiteres zutun.
ja du musst 3 Zeilen einfügen: (Am besten weit oben.)
Code: Alles auswählen
if "/.well-known/acme-challenge/" $ cPath
Return(.T.)
endif
Das erneuerte Zertifikat wird von der aktuellen Version xb2.net automatisch erkannt und eingebunden.
Beides funktioniert wirklich ohne weiteres zutun.
Valar Morghulis
Gruss Carlo
Gruss Carlo
- Martin Altmann
- Foren-Administrator
- Beiträge: 16555
- Registriert: Fr, 23. Sep 2005 4:58
- Wohnort: Berlin
- Hat sich bedankt: 116 Mal
- Danksagung erhalten: 48 Mal
- Kontaktdaten:
Re: Xb2.NET mit SSL
Moin,
yup. Aber
Du musst einen Callbackslot belegen, der bei der Änderung des Zertifikats getriggert wird. Dort musst Du Deinen SSLContext löschen und bauen:
Viele Grüße,
Martin
yup. Aber
das stimm nicht ganz (es sei denn, es hat sich bei der 3.8/4 geändert)!
Du musst einen Callbackslot belegen, der bei der Änderung des Zertifikats getriggert wird. Dort musst Du Deinen SSLContext löschen und bauen:
Code: Alles auswählen
oSWebServer:onCertificateChange := {||MySSLContext(.t.),MySSLContext()}
Martin
Webseite mit XB2.NET und ausschließlich statischem Content in Form von HTML-Dateien: https://www.altem.de/
Webseite mit XB2.NET und ausschließlich dynamischem Content in Form von in-memory-HTML: https://meldungen.altem.de/
Mitglied der XUG Osnabrück
Vorsitzender des Deutschsprachige Xbase-Entwickler e. V.
- brandelh
- Foren-Moderator
- Beiträge: 15707
- Registriert: Mo, 23. Jan 2006 20:54
- Wohnort: Germersheim
- Hat sich bedankt: 71 Mal
- Danksagung erhalten: 38 Mal
- Kontaktdaten:
Re: Xb2.NET mit SSL
wird bei direktem Return .t. nicht die Prüfung ob der Inhalt OK ist unterlaufen ?
@Martin,
ich kann den Artikel ohne bezahlen lesen und über den LINK habe ich gleich mal meines geprüft, keine Probleme
@Martin,
ich kann den Artikel ohne bezahlen lesen und über den LINK habe ich gleich mal meines geprüft, keine Probleme
Gruß
Hubert
Hubert
- Martin Altmann
- Foren-Administrator
- Beiträge: 16555
- Registriert: Fr, 23. Sep 2005 4:58
- Wohnort: Berlin
- Hat sich bedankt: 116 Mal
- Danksagung erhalten: 48 Mal
- Kontaktdaten:
Re: Xb2.NET mit SSL
Hubert,
wird es - ist ja auch der Sinn in dem Fall.
Spiegelartikel: Stimmt - kam auf dem Smartphone nicht so rüber.
Viele Grüße,
Martin
wird es - ist ja auch der Sinn in dem Fall.
Spiegelartikel: Stimmt - kam auf dem Smartphone nicht so rüber.
Viele Grüße,
Martin
Webseite mit XB2.NET und ausschließlich statischem Content in Form von HTML-Dateien: https://www.altem.de/
Webseite mit XB2.NET und ausschließlich dynamischem Content in Form von in-memory-HTML: https://meldungen.altem.de/
Mitglied der XUG Osnabrück
Vorsitzender des Deutschsprachige Xbase-Entwickler e. V.