OPSI eigenes SSL Zertifikat

islam
Beiträge: 85
Registriert: 19 Okt 2011, 12:08

OPSI eigenes SSL Zertifikat

Beitragvon islam » 08 Okt 2013, 15:40

Ich brauche dringend professionelle Hilfe zum Thema SSL Zertifikat für OPSI

Das eigentliche Ziel dass ich die Zertifikatseinstellung Server-seitig nicht dazu führt dass ich am Client keine Warnungen bekomme
wie in den Screenshots zu sehen.
Das Zertifikat was ich habe ist mit der Kette zusammen vertrauenswürdig und es sollten keine Warnungen erscheinen,
da das gleiche Zertifikat unter Apache verwendet wird und Problemlos in allen Browsern ohne Warnungen als vertrauenswürdig erscheint

1. Wie muss der richtige Aufbau der .pem Datei sein ?

- folgende Inhalte würde ich einbauen:
1) RSA Private Key
2) Zertifikat selbst
3) Zertifizierungskette (CA-Chain)
4) DH Parameters

Ich bin so vorgegangen indem ich eine .pem Datei erstellt habe
und sie ist bisher so aufgebaut

/etc/ssl/certs/opsi-cert.pem

Code: Alles auswählen

-----BEGIN RSA PRIVATE KEY-----
hier mein key
-----END RSA PRIVATE KEY-----
-----BEGIN CERTIFICATE-----
hier mein zert
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
zert trust chain element 1
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
zert trust chain element 2
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
deutsche telekom root CA2
-----END CERTIFICATE-----
-----BEGIN DH PARAMETERS-----
dh parameters
-----END DH PARAMETERS-----


den Pfad zum Zertifikat habe ich hier eingetragen

/etc/opsi/opsiconfd.conf

Code: Alles auswählen

ssl server cert = /etc/ssl/certs/opsi-cert.pem
ssl server key = /etc/ssl/certs/opsi-cert.pem


und danach neustart

Code: Alles auswählen

/etc/init.d/opsiconfd restart


Trotzdem erhalte ich eine Warnung beim Aufruf, das Zertifikat sei nicht vertrauenswürdig
Ich vermute dass die Zertifizierungskette nicht richtig abgerufen wird

Bild
Bild
Bild


Meine zweite Angelegenheit ist die Signierung der .jar Datei

Code: Alles auswählen

/usr/lib/configed/configed.jar


Sie ist auch von opsi.org signiert, was auch anscheinend nicht vertrauenswürdig ist, da eine Warnung auch erscheint
Gibt es dazu auch noch eine Möglichkeit dafür sie vertrauenswürdig zu machen?
Ist der Inhalt davon open-source so dass ich sie selber mit meinem Zertifikat signieren kann?

Bild
Bild
Bild

Ich suche nach einer Server-seitigen Lösung für die Warnungen und nicht durch installieren der Zertifikate im Browser oder sonst woauf dem Client

Denial Craig
Beiträge: 1
Registriert: 12 Okt 2013, 08:36

Re: OPSI eigenes SSL Zertifikat

Beitragvon Denial Craig » 12 Okt 2013, 08:49

Dieses Tutorial ist für mac ...!
Was ist mit Windows? ist es eine Anleitung zur Verfügung?

islam
Beiträge: 85
Registriert: 19 Okt 2011, 12:08

Re: OPSI eigenes SSL Zertifikat

Beitragvon islam » 12 Okt 2013, 10:45

Dieses Tutorial ist für mac ...!
Was ist mit Windows? ist es eine Anleitung zur Verfügung?


1. Das ist kein Tutorial, das ist eine Frage bzw. Beschreibung eines Problems.
2. Die Screenshots sind zwar unter Mac gemacht worden, bedeutet aber nicht dass die Java Warnung
im Web-Browser unter Windows oder ein anderes OS vom Inhalt anders sein wird.

Benutzeravatar
tobias
Beiträge: 1214
Registriert: 20 Aug 2008, 12:36
Wohnort: Braunschweig
Kontaktdaten:

Re: OPSI eigenes SSL Zertifikat

Beitragvon tobias » 17 Okt 2013, 21:02

Hi,

Zu 1)
Vertraut dein client denn der ausstellenden CA?
Was sagt der Browser wenn du auf das Webinterface zugreifst?

Zu 2)
Ich glaube die Jar könnte nur UIB signieren (oder du compilierst sie dir selber) lassen und das kostet denke ich nicht grade wenig Geld
(Nur eine Vermutung)
Veröffentliche deine WINST Scripte im OPSI Wiki und leiste so einen wertvollen Beitrag für die Community !!!
https://forum.opsi.org/wiki/

islam
Beiträge: 85
Registriert: 19 Okt 2011, 12:08

Re: OPSI eigenes SSL Zertifikat

Beitragvon islam » 17 Okt 2013, 21:41

Hi,

Zu 1)
Vertraut dein client denn der ausstellenden CA?
Was sagt der Browser wenn du auf das Webinterface zugreifst?

Auf dem gleichen Server habe ich ein Apache laufen
Mit dem Zertifikat habe ich überhaupt keine Problem und es erscheint auf allen
Clients als vertrauenswürdig.
Das liegt aber daran dass der Apache den zusammengesetzten Aufbau des Zertifikats (Zertifikat + Vertrauenskette + Vertrauenswürdige CA) versteht.
Das Java Applet aber nicht!
Vielleicht ist es auch gar nicht ein opsi spezifisches Problem.
Könnte sein das man Java Applets keine Zertifikatsketten (Trust Chain) angeben kann.
Wie gesagt opsi zumindest liefert nur das erste Zertifikat in der Datei an die clients
und ignoriert den Rest der Kette und damit erscheint der Server als
nicht vertrauenswürdig.

Benutzeravatar
tobias
Beiträge: 1214
Registriert: 20 Aug 2008, 12:36
Wohnort: Braunschweig
Kontaktdaten:

Re: OPSI eigenes SSL Zertifikat

Beitragvon tobias » 17 Okt 2013, 22:13

Liefert opsi das denn korrekt aus wenn du direkt auf https://opsiserver:4447 gehst? Das läuft dann ja nicht über deinen Apache sonder stammt vom opsi Server.
Veröffentliche deine WINST Scripte im OPSI Wiki und leiste so einen wertvollen Beitrag für die Community !!!
https://forum.opsi.org/wiki/

islam
Beiträge: 85
Registriert: 19 Okt 2011, 12:08

Re: OPSI eigenes SSL Zertifikat

Beitragvon islam » 17 Okt 2013, 22:18

nein tut es leider nicht.
Siehe 1. Screenshot oben

cegesoma
Beiträge: 2
Registriert: 12 Mär 2015, 16:51

Re: OPSI eigenes SSL Zertifikat

Beitragvon cegesoma » 15 Mär 2017, 17:28

I know this is an old topic, but I came here for the same problem and found the following solution, so mentioning it here for other users.

Perhaps it is useful to include this change in the next OPSI release.

You need to modify the code in /usr/lib/python2.7/dist-packages/OPSI/Service/__init__.py:
change

Code: Alles auswählen

                context.use_certificate_file(self._sslServerCertFile)
into

Code: Alles auswählen

                context.use_certificate_chain_file(self._sslServerCertFile)

Benutzeravatar
ueluekmen
Beiträge: 1887
Registriert: 28 Mai 2008, 10:53

Re: OPSI eigenes SSL Zertifikat

Beitragvon ueluekmen » 15 Mär 2017, 22:29

Hi cegesoma,

normally we don't like that people repost old threads, but in this case it was the best way. Thank you for the patch. I will open a internal Ticket for that. But it could take some time, because we have first to detect the cert type correctly and we have to build our own chain to implement reliable tests for it. I remember that I had contact with the user islam about that problem, but it was not a payed support call and our customers have priority and they have everytime a lot of work for us. :D :D
opsi support - uib gmbh
For productive opsi installations we recommend support contracts.
http://www.uib.de

frmue
Beiträge: 2
Registriert: 14 Mär 2019, 14:12

Re: OPSI eigenes SSL Zertifikat

Beitragvon frmue » 14 Mär 2019, 14:16

Hi,

are there any updates on this?
I just experienced the same problem on a fresh installation of OPSI 4.1.
Patching the python file works. But that's not a permanent solution, because it may get overwritten with any future update.