OPSI eigenes SSL Zertifikat

[islam]

Ich brauche dringend professionelle Hilfe zum Thema SSL Zertifikat für OPSI

Das eigentliche Ziel dass ich die Zertifikatseinstellung Server-seitig nicht dazu führt dass ich am Client keine Warnungen bekomme
wie in den Screenshots zu sehen.
Das Zertifikat was ich habe ist mit der Kette zusammen vertrauenswürdig und es sollten keine Warnungen erscheinen,
da das gleiche Zertifikat unter Apache verwendet wird und Problemlos in allen Browsern ohne Warnungen als vertrauenswürdig erscheint

1. Wie muss der richtige Aufbau der .pem Datei sein ?

- folgende Inhalte würde ich einbauen:
1) RSA Private Key
2) Zertifikat selbst
3) Zertifizierungskette (CA-Chain)
4) DH Parameters

Ich bin so vorgegangen indem ich eine .pem Datei erstellt habe
und sie ist bisher so aufgebaut

/etc/ssl/certs/opsi-cert.pem

Code: Alles auswählen

-----BEGIN RSA PRIVATE KEY-----
hier mein key
-----END RSA PRIVATE KEY-----
-----BEGIN CERTIFICATE-----
hier mein zert
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
zert trust chain element 1
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
zert trust chain element 2
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
deutsche telekom root CA2
-----END CERTIFICATE-----
-----BEGIN DH PARAMETERS-----
dh parameters
-----END DH PARAMETERS-----

den Pfad zum Zertifikat habe ich hier eingetragen

/etc/opsi/opsiconfd.conf

Code: Alles auswählen

ssl server cert = /etc/ssl/certs/opsi-cert.pem
ssl server key = /etc/ssl/certs/opsi-cert.pem

und danach neustart

Code: Alles auswählen

/etc/init.d/opsiconfd restart

Trotzdem erhalte ich eine Warnung beim Aufruf, das Zertifikat sei nicht vertrauenswürdig
Ich vermute dass die Zertifizierungskette nicht richtig abgerufen wird






Meine zweite Angelegenheit ist die Signierung der .jar Datei

Code: Alles auswählen

/usr/lib/configed/configed.jar

Sie ist auch von opsi.org signiert, was auch anscheinend nicht vertrauenswürdig ist, da eine Warnung auch erscheint
Gibt es dazu auch noch eine Möglichkeit dafür sie vertrauenswürdig zu machen?
Ist der Inhalt davon open-source so dass ich sie selber mit meinem Zertifikat signieren kann?





Ich suche nach einer Server-seitigen Lösung für die Warnungen und nicht durch installieren der Zertifikate im Browser oder sonst woauf dem Client

[Denial Craig]

Dieses Tutorial ist für mac ...!
Was ist mit Windows? ist es eine Anleitung zur Verfügung?

[islam]

Dieses Tutorial ist für mac ...!
Was ist mit Windows? ist es eine Anleitung zur Verfügung?

1. Das ist kein Tutorial, das ist eine Frage bzw. Beschreibung eines Problems.
2. Die Screenshots sind zwar unter Mac gemacht worden, bedeutet aber nicht dass die Java Warnung
im Web-Browser unter Windows oder ein anderes OS vom Inhalt anders sein wird.

[tobias]

Hi,

Zu 1)
Vertraut dein client denn der ausstellenden CA?
Was sagt der Browser wenn du auf das Webinterface zugreifst?

Zu 2)
Ich glaube die Jar könnte nur UIB signieren (oder du compilierst sie dir selber) lassen und das kostet denke ich nicht grade wenig Geld
(Nur eine Vermutung)

[islam]

Hi,

Zu 1)
Vertraut dein client denn der ausstellenden CA?
Was sagt der Browser wenn du auf das Webinterface zugreifst?

Auf dem gleichen Server habe ich ein Apache laufen
Mit dem Zertifikat habe ich überhaupt keine Problem und es erscheint auf allen
Clients als vertrauenswürdig.
Das liegt aber daran dass der Apache den zusammengesetzten Aufbau des Zertifikats (Zertifikat + Vertrauenskette + Vertrauenswürdige CA) versteht.
Das Java Applet aber nicht!
Vielleicht ist es auch gar nicht ein opsi spezifisches Problem.
Könnte sein das man Java Applets keine Zertifikatsketten (Trust Chain) angeben kann.
Wie gesagt opsi zumindest liefert nur das erste Zertifikat in der Datei an die clients
und ignoriert den Rest der Kette und damit erscheint der Server als
nicht vertrauenswürdig.

[tobias]

Liefert opsi das denn korrekt aus wenn du direkt auf https://opsiserver:4447 gehst? Das läuft dann ja nicht über deinen Apache sonder stammt vom opsi Server.

[islam]

nein tut es leider nicht.
Siehe 1. Screenshot oben

[cegesoma]

I know this is an old topic, but I came here for the same problem and found the following solution, so mentioning it here for other users.

Perhaps it is useful to include this change in the next OPSI release.

You need to modify the code in /usr/lib/python2.7/dist-packages/OPSI/Service/__init__.py:
change

Code: Alles auswählen

                context.use_certificate_file(self._sslServerCertFile)

into

Code: Alles auswählen

                context.use_certificate_chain_file(self._sslServerCertFile)

[ueluekmen]

Hi cegesoma,

normally we don't like that people repost old threads, but in this case it was the best way. Thank you for the patch. I will open a internal Ticket for that. But it could take some time, because we have first to detect the cert type correctly and we have to build our own chain to implement reliable tests for it. I remember that I had contact with the user islam about that problem, but it was not a payed support call and our customers have priority and they have everytime a lot of work for us.

[frmue]

Hi,

are there any updates on this?
I just experienced the same problem on a fresh installation of OPSI 4.1.
Patching the python file works. But that's not a permanent solution, because it may get overwritten with any future update.