Hallo,
auf dem opsi-server wird ja bei der Installation ein ssl-zertifikat soweit ich mich nicht täusche generiert.
Nun habe ich noch Apache2 auf dem Server laufen und möchte eine webdav Freigabe einrichten welche dann über https laufen soll.
Kann ich für die https Konfiguration das ssl-zertifikat von opsi nutzen oder muss ich ein neues ausstellen lassen?
Wo ist das opsi-Zertifikat auf dem Server gespeichert?
Vielen Dank und viele Grüße
staybb
Bestehendes ssl Zertifikat nutzen für Apache
Re: Bestehendes ssl Zertifikat nutzen für Apache
Code: Alles auswählen
SSLCertificateFile /etc/opsi/opsiconfd.pem
-
thomas.besser
- Beiträge: 472
- Registriert: 09 Sep 2009, 09:40
Re: Bestehendes ssl Zertifikat nutzen für Apache
Wir nutzen das von OPSI mitgelieferte (self-signed) Zertifikat gar nicht, sondern eines unser eigenen CA.
Und das liegt auf dem Debian wheezy unter /etc/ssl/certs, der private key unter /etc/ssl/private. Dann das Paket 'ssl-cert' installiert und den User 'opsiconfd' der Gruppe 'ssl-cert' hinzugefügt. Somit darf opsiconfd auf /etc/ssl/private/ zugreifen.
Der Apache sollte das Zertifikat unter /etc/opsi/ lesen können, da der Hauptprozess als root läuft. Und IMO kümmert der sich um die Verschlüsselung.
Gruß
Thomas
Und das liegt auf dem Debian wheezy unter /etc/ssl/certs, der private key unter /etc/ssl/private. Dann das Paket 'ssl-cert' installiert und den User 'opsiconfd' der Gruppe 'ssl-cert' hinzugefügt. Somit darf opsiconfd auf /etc/ssl/private/ zugreifen.
Der Apache sollte das Zertifikat unter /etc/opsi/ lesen können, da der Hauptprozess als root läuft. Und IMO kümmert der sich um die Verschlüsselung.
Gruß
Thomas
-
n.wenselowski
- Ex-uib-Team
- Beiträge: 3194
- Registriert: 04 Apr 2013, 12:15
Re: Bestehendes ssl Zertifikat nutzen für Apache
Hallo zusammen,
in der Datei /etc/opsi/opsiconfd.conf wird festgelegt welches Zertifikat verwendet werden soll.
Das Setting heisst "ssl server cert".
Gruß
Niko
in der Datei /etc/opsi/opsiconfd.conf wird festgelegt welches Zertifikat verwendet werden soll.
Das Setting heisst "ssl server cert".
Gruß
Niko
Code: Alles auswählen
import OPSI
Re: Bestehendes ssl Zertifikat nutzen für Apache
dieses Zertikat wird sicherlich auch für SWondemand der Clients verwendet, oder?
D.h. wenn ich beim Apache ein Zertikat aus unserer PKI-Kette (GEI->DFN->Telekom) installiere,
entfällt die clientseitiges SSL-Ausnahmebestätigung.
D.h. wenn ich beim Apache ein Zertikat aus unserer PKI-Kette (GEI->DFN->Telekom) installiere,
entfällt die clientseitiges SSL-Ausnahmebestätigung.
Leibniz-Institut für Bildungsmedien | Georg-Eckert-Institut (GEI)
---
'opsi4instituts' = Communityprojekt für wissenschaftliche Einrichtungen
offenes Repository, Update-Notifier
wiki.o4i.org - www.gei.de/institut/direktion/it-service/opsi4instituts
---
'opsi4instituts' = Communityprojekt für wissenschaftliche Einrichtungen
offenes Repository, Update-Notifier
wiki.o4i.org - www.gei.de/institut/direktion/it-service/opsi4instituts
Re: Bestehendes ssl Zertifikat nutzen für Apache
Hi GEI,
der opsi-client-agent hat sein eigenes Zertifikat. Das Zertifikat vom Service wird dafür nicht verwendet. Du kannst aber wenn du selber signieren kannst mit deinem Zertifikat versuchen per OPSI-Produkt das Clientzertifikat aus zu tauschen und den Client zu rebooten. Wenn du Glück hast und er akzeptiert das Zertifikat dann verhält es sich so, wie du es gerne hättest.
Achso, der Link zum SoftwareOnDemand geht auf localhost. Das muss so sein, damit der User sich auf der Seite nicht einloggen muss. Es müsste aber auch gehen, wenn man statt localhost, den fqdn vom Client für SoftwareOnDemand Page verwendet.
der opsi-client-agent hat sein eigenes Zertifikat. Das Zertifikat vom Service wird dafür nicht verwendet. Du kannst aber wenn du selber signieren kannst mit deinem Zertifikat versuchen per OPSI-Produkt das Clientzertifikat aus zu tauschen und den Client zu rebooten. Wenn du Glück hast und er akzeptiert das Zertifikat dann verhält es sich so, wie du es gerne hättest.
Achso, der Link zum SoftwareOnDemand geht auf localhost. Das muss so sein, damit der User sich auf der Seite nicht einloggen muss. Es müsste aber auch gehen, wenn man statt localhost, den fqdn vom Client für SoftwareOnDemand Page verwendet.
Vielen Dank für die Nutzung von opsi. Im Forum ist unser Support begrenzt.
Für den professionellen Einsatz und individuelle Beratung empfehlen wir einen Support-Vertrag und eine Schulung.
Gerne informieren wir Sie zu unserem Angebot.
uib GmbH
Telefon: +49 6131 27561 0
E-Mail: sales@uib.de