Seite 1 von 1
Bestehendes ssl Zertifikat nutzen für Apache
Verfasst: 05 Nov 2014, 11:15
von staybb
Hallo,
auf dem opsi-server wird ja bei der Installation ein ssl-zertifikat soweit ich mich nicht täusche generiert.
Nun habe ich noch Apache2 auf dem Server laufen und möchte eine webdav Freigabe einrichten welche dann über https laufen soll.
Kann ich für die https Konfiguration das ssl-zertifikat von opsi nutzen oder muss ich ein neues ausstellen lassen?
Wo ist das opsi-Zertifikat auf dem Server gespeichert?
Vielen Dank und viele Grüße
staybb
Re: Bestehendes ssl Zertifikat nutzen für Apache
Verfasst: 05 Nov 2014, 11:33
von dkoch
Darf aber auf Debian nur von opsiconfd gelesen werden. Also musst du dir hier etwas einfallen lassen. Evt. einfach mit einer Kopie arbeiten.
Re: Bestehendes ssl Zertifikat nutzen für Apache
Verfasst: 05 Nov 2014, 12:02
von thomas.besser
Wir nutzen das von OPSI mitgelieferte (self-signed) Zertifikat gar nicht, sondern eines unser eigenen CA.
Und das liegt auf dem Debian wheezy unter /etc/ssl/certs, der private key unter /etc/ssl/private. Dann das Paket 'ssl-cert' installiert und den User 'opsiconfd' der Gruppe 'ssl-cert' hinzugefügt. Somit darf opsiconfd auf /etc/ssl/private/ zugreifen.
Der Apache sollte das Zertifikat unter /etc/opsi/ lesen können, da der Hauptprozess als root läuft. Und IMO kümmert der sich um die Verschlüsselung.
Gruß
Thomas
Re: Bestehendes ssl Zertifikat nutzen für Apache
Verfasst: 05 Nov 2014, 16:54
von n.wenselowski
Hallo zusammen,
in der Datei /etc/opsi/opsiconfd.conf wird festgelegt welches Zertifikat verwendet werden soll.
Das Setting heisst "ssl server cert".
Gruß
Niko
Re: Bestehendes ssl Zertifikat nutzen für Apache
Verfasst: 08 Nov 2014, 14:26
von GEI
dieses Zertikat wird sicherlich auch für SWondemand der Clients verwendet, oder?
D.h. wenn ich beim Apache ein Zertikat aus unserer PKI-Kette (GEI->DFN->Telekom) installiere,
entfällt die clientseitiges SSL-Ausnahmebestätigung.
Re: Bestehendes ssl Zertifikat nutzen für Apache
Verfasst: 18 Nov 2014, 15:43
von ueluekmen
Hi GEI,
der opsi-client-agent hat sein eigenes Zertifikat. Das Zertifikat vom Service wird dafür nicht verwendet. Du kannst aber wenn du selber signieren kannst mit deinem Zertifikat versuchen per OPSI-Produkt das Clientzertifikat aus zu tauschen und den Client zu rebooten. Wenn du Glück hast und er akzeptiert das Zertifikat dann verhält es sich so, wie du es gerne hättest.
Achso, der Link zum SoftwareOnDemand geht auf localhost. Das muss so sein, damit der User sich auf der Seite nicht einloggen muss. Es müsste aber auch gehen, wenn man statt localhost, den fqdn vom Client für SoftwareOnDemand Page verwendet.