hat schon jemand ne Idee wie man die Zertifikatsmeldung weg bekommt?
Unsere Clients haben alle ein Computerzertifikat fürs W-Lan auth, ausgestellt von einem eigenen CA
Wäre cool wenn man das Zertifikat auch für OPSI nutzen könnte.
Gruß
Tobias
swondemand-Seite wird nicht angezeigt.
Re: swondemand-Seite wird nicht angezeigt.
Ich habe bei uns ein Zertifikat für localhost erstellt welches bei der Installation des CLients in den entsprechenden Ordner kopiert wird. Dann wird das entsprechende "Gegenstück" noch in den Zertifikatspeicher des Rechners importiert und schon ist localhost zertifiziert.
Toll ist anders, aber immerhin kommt keine Abfrage mehr.
Toll ist anders, aber immerhin kommt keine Abfrage mehr.
-
embl-structures
- Beiträge: 327
- Registriert: 13 Jan 2010, 18:41
- Wohnort: Heidelberg
- Kontaktdaten:
Re: swondemand-Seite wird nicht angezeigt.
Hi coce, kannst Du das evtl. als Skript oder Anleitung (oder sogar als OPSI-Paket?) publizieren? Windows ist nicht wirklich meine Sache und ich kann zwar unter Linux ein Zertifikat fuer 'localhost' erstellen, aber was ich dann damit unter Windows machen soll ist mir schleierhaft.coce hat geschrieben:Ich habe bei uns ein Zertifikat für localhost erstellt welches bei der Installation des CLients in den entsprechenden Ordner kopiert wird. Dann wird das entsprechende "Gegenstück" noch in den Zertifikatspeicher des Rechners importiert und schon ist localhost zertifiziert.
Toll ist anders, aber immerhin kommt keine Abfrage mehr.
@UIB: Ist angedacht, diese Situation irgendwie via OPSI selber zu loesen?
Gruss
frank
Re: swondemand-Seite wird nicht angezeigt.
Hallo zusammen,
wir haben schon mal darüber diskutiert, allerdings fehlt uns da eine allgemeine Lösung. Wenn jemand eine eigene CA zum signieren von Zertifikaten hat, kann er die gerne verwenden. Es gibt aber diverse Möglichkeiten, die dort zu Tage kommen, es gibt Firmen die handhaben das ohne festen Workflow, es gibt aber auch welche, die Strikte vorgehensweisen, mit solchen Fällen haben, zum Beispiel über eine komplett firmeneigene Root-CA Strategie, was der opsiclientd (im übrigen auch der opsiconfd) kann, ist ein anderes Zertifikat zu benutzen. Es wird bei der installation der beiden jeweils ein Zertifikat erstellt. Man kann diverse wege beschreiten, dies zu modifizieren.
Das Zertifikat zu erstellen ist aber nur ein Weg. Es zu importieren ist der zweite Schritt, genau da sind die internen Diskussionen auseinander gelaufen. Eine Idee war, das erstellte opsiclientd-Zertifikat in den Zertifikatsspeicher zu installieren und in Firefox zu importieren, allerdings bekommt man dann unter Umständen Probleme, wenn das Zertifikat neu erstellt wird. Dann kommt nicht eine Abfrage, sondern der Browser verweigert dann komplett den Dienst, da das übersendete Zertifikat, nicht zu dem im Speicher passt. Ganz zu schweigen von Clients in ActiveDirectory Umgebungen, die Ihre Zertifikate über die Domäne erhalten.
Der zusätzliche Service von Server-Zertifikaten, die man über uib kaufen kann, zeigt, dass auch wir uns darüber schon gedanken gemacht haben:
http://www.uib.de/www/service_support/s ... ertifikate
Eine allgemeine Lösung für das hier beschrieben Probleme wird es aus meiner Sicht nicht so schnell geben. Vorallem im freien Support Bereich nicht. Wenn es aus der Community Ideen zur Umsetzung gibt sind wir gerne bereit mit zu diskutieren. Und wie immer kann eine Androhung von einem Auftrag, sprich "mit Geld winken" auch hier die Prioritäten verschieben.
wir haben schon mal darüber diskutiert, allerdings fehlt uns da eine allgemeine Lösung. Wenn jemand eine eigene CA zum signieren von Zertifikaten hat, kann er die gerne verwenden. Es gibt aber diverse Möglichkeiten, die dort zu Tage kommen, es gibt Firmen die handhaben das ohne festen Workflow, es gibt aber auch welche, die Strikte vorgehensweisen, mit solchen Fällen haben, zum Beispiel über eine komplett firmeneigene Root-CA Strategie, was der opsiclientd (im übrigen auch der opsiconfd) kann, ist ein anderes Zertifikat zu benutzen. Es wird bei der installation der beiden jeweils ein Zertifikat erstellt. Man kann diverse wege beschreiten, dies zu modifizieren.
Das Zertifikat zu erstellen ist aber nur ein Weg. Es zu importieren ist der zweite Schritt, genau da sind die internen Diskussionen auseinander gelaufen. Eine Idee war, das erstellte opsiclientd-Zertifikat in den Zertifikatsspeicher zu installieren und in Firefox zu importieren, allerdings bekommt man dann unter Umständen Probleme, wenn das Zertifikat neu erstellt wird. Dann kommt nicht eine Abfrage, sondern der Browser verweigert dann komplett den Dienst, da das übersendete Zertifikat, nicht zu dem im Speicher passt. Ganz zu schweigen von Clients in ActiveDirectory Umgebungen, die Ihre Zertifikate über die Domäne erhalten.
Der zusätzliche Service von Server-Zertifikaten, die man über uib kaufen kann, zeigt, dass auch wir uns darüber schon gedanken gemacht haben:
http://www.uib.de/www/service_support/s ... ertifikate
Eine allgemeine Lösung für das hier beschrieben Probleme wird es aus meiner Sicht nicht so schnell geben. Vorallem im freien Support Bereich nicht. Wenn es aus der Community Ideen zur Umsetzung gibt sind wir gerne bereit mit zu diskutieren. Und wie immer kann eine Androhung von einem Auftrag, sprich "mit Geld winken" auch hier die Prioritäten verschieben.
Vielen Dank für die Nutzung von opsi. Im Forum ist unser Support begrenzt.
Für den professionellen Einsatz und individuelle Beratung empfehlen wir einen Support-Vertrag und eine Schulung.
Gerne informieren wir Sie zu unserem Angebot.
uib GmbH
Telefon: +49 6131 27561 0
E-Mail: sales@uib.de
-
embl-structures
- Beiträge: 327
- Registriert: 13 Jan 2010, 18:41
- Wohnort: Heidelberg
- Kontaktdaten:
Re: swondemand-Seite wird nicht angezeigt.
Eine allgemeine und hier schon erwaehnte einfache Loesung waere, die swondemand-Seiten von localhost ohne (!) SSL anzubieten: Kein SSL, kein Zertifikat, keine Sicherheitswarnung. So einfach! Lokale Seiten via https anzubieten macht m.E. sowieso keine Sinn. Was spricht gegen diese Loesung? Die Zertifikatswarnungen sind jedenfalls ein echter "Show-Stopper"ueluekmen hat geschrieben:wir haben schon mal darüber diskutiert, allerdings fehlt uns da eine allgemeine Lösung.
frank
Re: swondemand-Seite wird nicht angezeigt.
ohne https wäre in der tat schöner. Das Problem ist aber das die Seite vom Webservice bereitgestellt wird und dieser kommuniziert mit dem server nunmal verschlüsselt....
Bin aktuell auch wieder dabei mir da was zu überlegen und zu probieren denn so wie das OnDemand immoment funktioniert ist ist es unbrauchbar und wird von und so nicht eingesetzt werden => Designfehler
Bin aktuell auch wieder dabei mir da was zu überlegen und zu probieren denn so wie das OnDemand immoment funktioniert ist ist es unbrauchbar und wird von und so nicht eingesetzt werden => Designfehler
-
embl-structures
- Beiträge: 327
- Registriert: 13 Jan 2010, 18:41
- Wohnort: Heidelberg
- Kontaktdaten:
Re: swondemand-Seite wird nicht angezeigt.
Dann sollte es doch eigentlich moeglich sein, im 'swondemand' CGI-Skript das Zertifikat des Servers zu hinterlegen, so dass dieses korrekt verschluesselt kommunizieren kann:tobias hat geschrieben:ohne https wäre in der tat schöner. Das Problem ist aber das die Seite vom Webservice bereitgestellt wird und dieser kommuniziert mit dem server nunmal verschlüsselt....
User <-- unverschluesselt --> http://localhost:4441/swondemand <-- verschluesselt --> OPSI webservice
Sehe ich auch so, aber es waere gut, von Seiten UIB zu hoeren, ob in dieser Richtung etwas geplant ist. SOD koennte im Prinzip viele Probleme loesen.tobias hat geschrieben:Bin aktuell auch wieder dabei mir da was zu überlegen und zu probieren denn so wie das OnDemand immoment funktioniert ist ist es unbrauchbar und wird von und so nicht eingesetzt werden => Designfehler
frank
Re: swondemand-Seite wird nicht angezeigt.
naja die website kommt ja nicht vom server sondern wird schon vom client bereitgestellt benötigt also nen eigenes zertifikat.
Die Seite is ja ein Zugriff auf den Lokalen Webservice über den der Server mit dem Client kommuniziert.
Ehrlich gesagt kenn ich mich mit Zertifikaten und son murks nicht wirklich aus
Eine Idee wäre es einfach auf eine Website zu verzichten und lieber eine einfache Application bereitzustellen ODER das ganze Serverseitig zu implementieren
Die Seite is ja ein Zugriff auf den Lokalen Webservice über den der Server mit dem Client kommuniziert.
Ehrlich gesagt kenn ich mich mit Zertifikaten und son murks nicht wirklich aus
Eine Idee wäre es einfach auf eine Website zu verzichten und lieber eine einfache Application bereitzustellen ODER das ganze Serverseitig zu implementieren
Re: swondemand-Seite wird nicht angezeigt.
kleiner hinweis der evtl. vielen behilflich sein könne.
Man kann das Zertifikat importieren - dazu werde ich demnächst ein Paket bauen kommt dann natürlich ins Wiki ! der Link im Startmenü verlinkt aber auf
localhost:4441 das Zertifikat ist aber auf <hostname>.<domain> ausgestellt ! Wenn man das Zertifikat importiert wird trotz dem jeder Browser meckern. Außer man ruft die Seite mit <hostname>.<domain>:4441 auf
das Problem das das Zertifikat ablaufen kann besteht natürlich weiterhin. Gucke ich mir aber die Laufzeit eines Rechners bei uns an, ist dieser innerhalb dieser Gültigkeitsdauer ohnehin reif für eine Neuinstallation.
Einzige Frage: Was passiert bei einer Neuinstallation des OPSi Clients? Wird da immer ein neues Zertifikat generiert? Wenn ja würde eine Integration in den Installer des opsi-clients sinnvoll sein oder eine Abhängigkeit zu einem anderen Paket (Import des Zertifikats)
Man kann das Zertifikat importieren - dazu werde ich demnächst ein Paket bauen kommt dann natürlich ins Wiki ! der Link im Startmenü verlinkt aber auf
localhost:4441 das Zertifikat ist aber auf <hostname>.<domain> ausgestellt ! Wenn man das Zertifikat importiert wird trotz dem jeder Browser meckern. Außer man ruft die Seite mit <hostname>.<domain>:4441 auf
das Problem das das Zertifikat ablaufen kann besteht natürlich weiterhin. Gucke ich mir aber die Laufzeit eines Rechners bei uns an, ist dieser innerhalb dieser Gültigkeitsdauer ohnehin reif für eine Neuinstallation.
Einzige Frage: Was passiert bei einer Neuinstallation des OPSi Clients? Wird da immer ein neues Zertifikat generiert? Wenn ja würde eine Integration in den Installer des opsi-clients sinnvoll sein oder eine Abhängigkeit zu einem anderen Paket (Import des Zertifikats)
Re: swondemand-Seite wird nicht angezeigt.
Hi,
hier mein Paket für den Zertifikatsimport:
wiki/userspace:zertifikats_import
gestestet mit Windows 7 32Bit
hier mein Paket für den Zertifikatsimport:
wiki/userspace:zertifikats_import
gestestet mit Windows 7 32Bit