Sicherheitswarnung für Zertifikat des opsi-configed

[Nils]

Hallo zusammen,

es geht um das Erstellen eines Zertifikates für den opsi-configed. Mit diesem (neuen Zertifikat) möchte ich erreichen, dass in der Java-Sicherheitswarnung unter "Anbieter" nicht mehr "UNBEKANNT" eingetragen wird. Hintergrund ist der, dass in einem zukünftigen Release lt. Meldung das Ausführen von Java-Anwendungen von "unbekannten" Herausgebern nicht mehr möglich sein wird.
Leider finde ich keine Möglichkeit, dies zu bewerkstelligen.
Vermutlich habe ich irgendwo einen (Denk-)Fehler. Aber: Wie kann ich für den opsi-configed ein Zertifikat erstellen, welches nicht mehr "anonym" ist? Oder schaue ich an einer falschen Stelle?
Per

Code: Alles auswählen

opsi-setup --renew-opsiconfd-cert

habe ich bereits ein neues Zertifikat erstellt. Leider jedoch ohne den gewünschten Erfolg. Vom bisherigen Zertifikat habe ich vorher natürlich eine Sicherungskopie erstellt.

Vielen Dank im Voraus für eine kurze Info.
Viele Grüße und einen schönen Tag.
Nils

[r.roeder]

Hallo,

der "Denkfehler" ist, dass das jar-File im buildservice gebaut und demzufolge dort! signiert wird, nicht durch den configserver.

Im Moment muss man die security halt abnicken, ein wirkliches Problem gibt es ja nur bei Seiten, die nicht aus dem Intranet kommen.

Auf Dauer müssen wir uns aber etwas ausdenken.

Grüße
R. Röder

[Nils]

Hallo Herr Röder,

vielen Dank für Ihre Info.
Bisher kann ich diese Sicherheitswarnung noch "abnicken", von daher stellt dies noch kein akutes Problem dar. Laut Sicherheitswarnung wird diese Möglichkeit für jar-Files, deren Anbieter "unbekannt" ist, jedoch in einem zukünftigen Release deaktiviert werden. Somit dürfte es dann zu einem Problem werden. Wobei die Aussage "in einem zukünftigen Release" natürlich recht unpräzise ist. Aufgrund der Tatsache, dass Java in der letzen Zeit recht viele negative Schlagzeilen wegen Sicherheitslücken gemacht hat, gehe ich aber davon aus, dass diese Option wohl relativ bald deaktiviert werden wird.
Aber ich denke auch, dass sie sicher bald eine Lösung hierfür parat haben werden.

Nochmals vielen Dank für Ihre Info.
Ich wünsche Ihnen einen schönen sowie erfolgreichen Tag.
Viele Grüße
Nils

[brainy84]

Hallo zusammen,

ich hätte auch Interesse an einer Lösung. Gibt es hier schon was Neues?

MfG

brainy84

[Nils]

Hallo brainy84,

ich habe bisher noch keine neuen Infos.

Viele Grüße und trotzdem noch einen schönen Tag.
Nils

[brainy84]

Hi Nils,

danke für die info...ich hoffe da kommt noch was.

MfG

brainy84

[ueluekmen]

Hallo zusammen,

es stimmt dass diese Sicherheitseinstellung kommen wird. Der opsi-configed wird von uns schon die ganze Zeit signiert. Allerdings passt unsere Signierung nicht mit dem Sicherheitsfeature von Java zusammen. Deshalb bauen wir momentan unsere Signierung um, damit wir rechtzeitig zu diesem besagten Java-Release eine Lösung parat haben. Wie die genau aussieht kann man noch nicht abschliessend sagen, aber es wird wahrscheinlich darauf hinauslaufen, dass wir mit dem opsi-configed ein Zertifikat ausliefern werden, welches dann importiert werden muss.

Sobald wir eine Lösung haben, werden wir diese veröffentlichen und ankündigen. Dann wird es auch wie gewohnt eine entsprechende Dokumentation dazu geben, welche die Problematik beschreibt und eine Lösung dokumentiert.

Meines Wissens ist diese Feature für Januar, bzw. Februar nächsten Jahres geplant. Bitte den News-Bereich aus dem Forum im Auge behalten, bzw. die opsi-Announce-Mailingliste abbonieren.

Grüße
e. ueluekmen