forum.opsi.org

hat schon jemand ne Idee wie man die Zertifikatsmeldung weg bekommt?
Unsere Clients haben alle ein Computerzertifikat fürs W-Lan auth, ausgestellt von einem eigenen CA
Wäre cool wenn man das Zertifikat auch für OPSI nutzen könnte.


Gruß
Tobias

Ich habe bei uns ein Zertifikat für localhost erstellt welches bei der Installation des CLients in den entsprechenden Ordner kopiert wird. Dann wird das entsprechende "Gegenstück" noch in den Zertifikatspeicher des Rechners importiert und schon ist localhost zertifiziert.

Toll ist anders, aber immerhin kommt keine Abfrage mehr.

coce hat geschrieben:Ich habe bei uns ein Zertifikat für localhost erstellt welches bei der Installation des CLients in den entsprechenden Ordner kopiert wird. Dann wird das entsprechende "Gegenstück" noch in den Zertifikatspeicher des Rechners importiert und schon ist localhost zertifiziert.

Toll ist anders, aber immerhin kommt keine Abfrage mehr.

Hi coce, kannst Du das evtl. als Skript oder Anleitung (oder sogar als OPSI-Paket?) publizieren? Windows ist nicht wirklich meine Sache und ich kann zwar unter Linux ein Zertifikat fuer 'localhost' erstellen, aber was ich dann damit unter Windows machen soll ist mir schleierhaft.

@UIB: Ist angedacht, diese Situation irgendwie via OPSI selber zu loesen?

Gruss
frank

Hallo zusammen,

wir haben schon mal darüber diskutiert, allerdings fehlt uns da eine allgemeine Lösung. Wenn jemand eine eigene CA zum signieren von Zertifikaten hat, kann er die gerne verwenden. Es gibt aber diverse Möglichkeiten, die dort zu Tage kommen, es gibt Firmen die handhaben das ohne festen Workflow, es gibt aber auch welche, die Strikte vorgehensweisen, mit solchen Fällen haben, zum Beispiel über eine komplett firmeneigene Root-CA Strategie, was der opsiclientd (im übrigen auch der opsiconfd) kann, ist ein anderes Zertifikat zu benutzen. Es wird bei der installation der beiden jeweils ein Zertifikat erstellt. Man kann diverse wege beschreiten, dies zu modifizieren.

Das Zertifikat zu erstellen ist aber nur ein Weg. Es zu importieren ist der zweite Schritt, genau da sind die internen Diskussionen auseinander gelaufen. Eine Idee war, das erstellte opsiclientd-Zertifikat in den Zertifikatsspeicher zu installieren und in Firefox zu importieren, allerdings bekommt man dann unter Umständen Probleme, wenn das Zertifikat neu erstellt wird. Dann kommt nicht eine Abfrage, sondern der Browser verweigert dann komplett den Dienst, da das übersendete Zertifikat, nicht zu dem im Speicher passt. Ganz zu schweigen von Clients in ActiveDirectory Umgebungen, die Ihre Zertifikate über die Domäne erhalten.

Der zusätzliche Service von Server-Zertifikaten, die man über uib kaufen kann, zeigt, dass auch wir uns darüber schon gedanken gemacht haben:

http://www.uib.de/www/service_support/s ... ertifikate

Eine allgemeine Lösung für das hier beschrieben Probleme wird es aus meiner Sicht nicht so schnell geben. Vorallem im freien Support Bereich nicht. Wenn es aus der Community Ideen zur Umsetzung gibt sind wir gerne bereit mit zu diskutieren. Und wie immer kann eine Androhung von einem Auftrag, sprich "mit Geld winken" auch hier die Prioritäten verschieben.

ueluekmen hat geschrieben:wir haben schon mal darüber diskutiert, allerdings fehlt uns da eine allgemeine Lösung.

Eine allgemeine und hier schon erwaehnte einfache Loesung waere, die swondemand-Seiten von localhost ohne (!) SSL anzubieten: Kein SSL, kein Zertifikat, keine Sicherheitswarnung. So einfach! Lokale Seiten via https anzubieten macht m.E. sowieso keine Sinn. Was spricht gegen diese Loesung? Die Zertifikatswarnungen sind jedenfalls ein echter "Show-Stopper"

frank

ohne https wäre in der tat schöner. Das Problem ist aber das die Seite vom Webservice bereitgestellt wird und dieser kommuniziert mit dem server nunmal verschlüsselt....

Bin aktuell auch wieder dabei mir da was zu überlegen und zu probieren denn so wie das OnDemand immoment funktioniert ist ist es unbrauchbar und wird von und so nicht eingesetzt werden => Designfehler

tobias hat geschrieben:ohne https wäre in der tat schöner. Das Problem ist aber das die Seite vom Webservice bereitgestellt wird und dieser kommuniziert mit dem server nunmal verschlüsselt....

Dann sollte es doch eigentlich moeglich sein, im 'swondemand' CGI-Skript das Zertifikat des Servers zu hinterlegen, so dass dieses korrekt verschluesselt kommunizieren kann:

User <-- unverschluesselt --> http://localhost:4441/swondemand <-- verschluesselt --> OPSI webservice

tobias hat geschrieben:Bin aktuell auch wieder dabei mir da was zu überlegen und zu probieren denn so wie das OnDemand immoment funktioniert ist ist es unbrauchbar und wird von und so nicht eingesetzt werden => Designfehler

Sehe ich auch so, aber es waere gut, von Seiten UIB zu hoeren, ob in dieser Richtung etwas geplant ist. SOD koennte im Prinzip viele Probleme loesen.

frank

naja die website kommt ja nicht vom server sondern wird schon vom client bereitgestellt benötigt also nen eigenes zertifikat.
Die Seite is ja ein Zugriff auf den Lokalen Webservice über den der Server mit dem Client kommuniziert.

Ehrlich gesagt kenn ich mich mit Zertifikaten und son murks nicht wirklich aus

Eine Idee wäre es einfach auf eine Website zu verzichten und lieber eine einfache Application bereitzustellen ODER das ganze Serverseitig zu implementieren

kleiner hinweis der evtl. vielen behilflich sein könne.

Man kann das Zertifikat importieren - dazu werde ich demnächst ein Paket bauen kommt dann natürlich ins Wiki ! der Link im Startmenü verlinkt aber auf

localhost:4441 das Zertifikat ist aber auf <hostname>.<domain> ausgestellt ! Wenn man das Zertifikat importiert wird trotz dem jeder Browser meckern. Außer man ruft die Seite mit <hostname>.<domain>:4441 auf

das Problem das das Zertifikat ablaufen kann besteht natürlich weiterhin. Gucke ich mir aber die Laufzeit eines Rechners bei uns an, ist dieser innerhalb dieser Gültigkeitsdauer ohnehin reif für eine Neuinstallation.

Einzige Frage: Was passiert bei einer Neuinstallation des OPSi Clients? Wird da immer ein neues Zertifikat generiert? Wenn ja würde eine Integration in den Installer des opsi-clients sinnvoll sein oder eine Abhängigkeit zu einem anderen Paket (Import des Zertifikats)

Hi,

hier mein Paket für den Zertifikatsimport:
wiki/userspace:zertifikats_import

gestestet mit Windows 7 32Bit