offizielles SSL Zertifikat für User Portal

fuchur · #1 (**permalink**) 10-14-2008, 09:20 AM

Guten Tag, unser Chef nervt sich über die Sicherheitsmeldung beim Aufruf unseres End User Portals. Besteht die Möglichkeit dies durch ein offizielles zu ersetzen und wenn ja wie?
Danke

x-tec · #2 (**permalink**) 10-20-2008, 09:27 AM

importiere doch einfach die ca der astaro bei ihm im webbrowser...

S@M · #3 (**permalink**) 07-02-2009, 09:09 AM

man kann das userportal cert ja auch ueber gpo verteilen ... weiss einer genau wo ich die .cer datei herkriege bzw welcher menuepunkt dafuer zustaendig ist ?

andyk007 · #4 (**permalink**) 07-02-2009, 09:17 AM

Guten Morgen,

schick mir mal deine E-Mail Adresse über PM. Habe eine kleine Anleitung wie man es auf der Kommandozeile ändern kann. Diese ist allerdings mit Vorsicht zu geniessen, da sie weder up2date sicher nohc supported wird. Auch für die 7.5 ist diese Funktion noch nicht geplant.

Viele Grüße

S@M · #5 (**permalink**) 07-02-2009, 01:19 PM

joa aber man laedt es doch im firefox quasi schon runter das entsprechende zertifikat .... wenn ich nur wuesste wo das da hingespeichert wird und welche dateiendung ...

iwdinw · #6 (**permalink**) 10-14-2009, 11:20 AM

Hallo,

auch wenn hier ein Workaround angegeben wurde ... der ist natürlich nur gangbar, wenn man die am Netzwerk angeschlossenen Rechner auch verwalten kann.
Das gilt bei uns nur für knapp die Hälfte der Clients.

Hintergrund: Knapp die Hälfte unserer Mitarbeiter ist im Dauereinsatz bei externen Kunden und diese Mitarbeiter greifen mit den Clients der Kunden auf das Portal zu. Wir können dann schlecht der jeweiligen IT der Kunden beibringen, unser selfsigned Astoro-Portal-Cert per GPO zu pushen.

Wir haben hier ein Multiserver-Wildcard-Zertifikat und würden das ganz gerne für das End User Portal der Astaro verwenden.

Also nochmals die Frage:
Wie kann man ein offizielles (gekauftes) Webzertifikat als Astaro-Portal-Zertifikat einrichten?

besten Dank!

Whity · #7 (**permalink**) 10-14-2009, 01:30 PM

Hi,

Das geht momentan leider nur über die Kommand-Zeile und ist, wie schon geschriben wurde, nicht supportet. Habe es aber auch schon gemacht.

Das mühsame dabei ist einfach, dass du es nach jedem up2date wieder machen musst, weil es dabei wohl überschrieben wird. Das was jetzt kommt ist eine etwas abgewandelte Methode die ich noch nicht selbst versucht habe.

Eingelogt über SSH gehst du ins Verzeichnis /var/sec/chroot-httpd/etc/httpd und legst dort die drei Zertifikate von dir ab (Private Key, Zertifikat und CA Cert)

Dann offnest du die httpd.conf und änderst diese Einträge:

Code:

SSLCertificateFile /etc/httpd/Zertifikat.pem
SSLCertificateKeyFile /etc/httpd/PrivateKey.pem
SSLCACertificateFile /etc/httpd/CACert.pem

Und zum Schluss noch den Webserver neu starten:

Code:

service httpd restart

Kannst dich ja noch bei Astaro Gateway Feature Requests anmelden (wenn nicht schon gemacht) und für den Feature-Request voten der genau das im Interface drin haben will.

iwdinw · #8 (**permalink**) 10-14-2009, 02:21 PM

Danke für die ausführliche Beschreibung!

Das zu implementieren wäre ja keine große Sache. Es hakt hier nur an einer Geschichte:
Laut Aussage unseres 1st level supports wirkt sich die Nutzung der Konsole der ASG direkt negativ auf die Garantie der Astaro und den 2nd level support aus ... "auch wenn man einige Dinge nur dort machen kann" (gemeint ist die Konsole).

Da bleibt mir am Ende wirklich nur das Voten und Warten ...

Whity · #9 (**permalink**) 10-14-2009, 02:41 PM

Das ist wohl wahr.

Oder einfach gut aufräumen bevor du den Support auf die Box lässt. Wenn das dann doch mal der Fall sein sollte. Hatte desswegen aber ehrlich gesagt noch nie Probleme mit dem Support.

Aber man sollte halt schon wissen was man tut wenn man an der Konsole werkelt.