SSL Zertifikat klappt nicht

  • Hallo,


    ich versuche gerade ein SSL Zertifikat zu importieren.
    Bin folgendermaßen vorgegangen:


    Zuerst im Admin unter Server auf Certificate Request den CSR erstellt und mit dem bei der Registrierungsstelle das Zertifikat beantragt.
    Nachdem ich das Zertifikat erhalten habe bin ich auf Certificate Response importieren gengangen und ging so vor:


    Antwort der CA auf Ihr Certificate Request


    Das Zertifikat eingefügt


    Selbstsigniertes Root-Zertifikat der CA


    Das CA Zwischenzertifikat


    Ich hab hier auch alle mögliche kombinationen schon ausprobiert.
    Wenn ich auf Übernehmen klicke, lädt er und anschließend ist das Fenster wieder da, keine Fehlermeldung o.Ä., das Zertifikat wird nicht übernommen.


    Wo ist hier der Fehler?


    Grüße Leibnitz

  • Hi,


    ich habe das bis jetzt immer so gemacht (steht glaube ich auch im Wiki), da es mit der GUI nie funktionierte (interne Root CA und Sub CA...).



    1. SSL Cert mit AD CA erstellen -> pfx file.


    2. Export the private key file from the pfx file
    openssl pkcs12 -in filename.pfx -nocerts -out key.pem
    3. Export the certificate file from the pfx file
    openssl pkcs12 -in filename.pfx -clcerts -nokeys -out cert.pem
    4. This removes the passphrase from the private key
    openssl rsa -in key.pem -out server.key


    5. openssl pkcs12 -export -in Ihre-Zertifikats-Datei -inkey Ihre-Private-Key-Datei.pem -chain -name tomcat -out my_keystore.p12 -CAfile my-rootCA.cer


    6. java -cp /opt/jetty/lib/org.mortbay.jetty.jar org.mortbay.util.PKCS12Import my_keystore.p12 tomcat.keystore -> PW: changeit


    7. keytool -list -v -keystore tomcat.keystore


    8. mv tomcat.keystore /opt/tomcat/ssl/


    9. cp /opt/tomcat/ssl/tomcat.keystore /var/starface/tomcat/ssl/keystore.jks


    10. restart tomcat


    ( openssl pkcs12 -in a.crt -inkey a.key -export -out a.pfx )


    Viele Grüße

  • Hi,


    ich habe das gleiche Problem. Das Webinterface macht gar nichts, wenn ich die Zertifikate eintrage und übernehme.
    Ich habe es daher auch bereits auf der Konsole versucht. Das Zertifikat habe ich aps .P12-Datei vorliegen, allerdings finde ich auf der starface-VM (v6.0.2.11) unter /opt kein jetty Verzeichnis. Der Import schlägt dann natürlich mit folgender Meldung fehl:



    Was mache ich hier falsch?

  • Ok, ich habe es jetzt -abweichend von der Doku im Wiki- nicht mit jetty, sondern mit dem keytool importiert.
    Falls jemand ähnliche Probleme hat, hier meine Lösung:


    Zitat

    keytool -v -importkeystore -srckeystore mycert.p12 -srcstoretype PKCS12 -destkeystore tomcat.keystore -deststoretype JKS


    Das Zertifikat wird zwar im Webinterface Admin/Server/Webserver nicht angezeigt, aber es funktioniert mit allen getesteten Browsern.

  • Hi,


    habe auch eine Möglichkeit gesucht, das Request von meiner eigenen CA unterschreiben zu lassen und in der Starface wieder zu importieren. Ich habe auch das Phänomen gehabt, dass, nachdem ich das Request von meiner CA unterschrieben und auf der Webseite importiert habe, nichts merklich passiert.


    Nach einigen fehlgeschlagenen Konfigurationen in der server.xml habe ich alles wieder Rückgängig gemacht und mit dem Tool http://www.keystore-explorer.org/downloads.php herausgefunden, dass das Passwort des Keystores unter "/opt/tomcat/ssl/tomcat.keystore" "changeit" ist.


    Darauf hin habe ich in der (nach erneutem Importieren des unterschriebenen Zertifikates) server.xml im Connector mit dem Port 443 eine Konfiguration hinzugefügt: "SSLPassword="changeit""


    Jetzt klappts...


    Ist die fehlende Konfiguration in der Starface ein Bug? Ist die vergessen worden oder kann man das irgendwo im Admin Menü konfigurieren?!

  • Wir haben für einen Kunde ein Comodo Zertifikat gekauft. Wir möchten das Zertifikat auf die Telefonanlage einspielen.
    Wie?


    Ich habe die folgende 2 Dateien:
    subdomain_domain_de.ca-bundle
    subdomain_domain_de.crt


    Muss ich das Zertifikat erst mal konvertieren?


    Vielen Dank für Ihre Hilfe in Voraus.

  • Hallo vdamjanovic


    Du musst einerseits dein Zertifikat, sowie den Rest der Zertifikatskette Importieren.


    Im Oberen Feld musst du den Inhalt deines Persönlichen Zertifikats (Mit Editor Öffnen) reinkopieren, und unten Weitere Zertifikate, welche dir Comodo zur Verfügung gestellt hat.


    Das Zertifikat sollte so aussehen:


    ------BEGIN CERTIFICATE-----
    Cryptischer Text
    ------END CERTIFICATE-----


    Es muss inklusiver dieser Zeilen dort Reinkopiert werden.


    Wenn etwas Schiefläuft sollte es im Server ==> Log-Datei ==> Logfile "Console" ersichtlich sein.


    MfG


    Fabian

  • Guten Abend,
    ich hatte gerade das gleiche Problem, hab das letztes Jahr schon einmal gemach, mir aber leider nicht aufgeschrieben :(
    Der "Trick" ist tatsächlich das Zertifikat und alle Zwischenzertifikate in das obere Feld "Antwort der CA auf Ihr Certificate Request" zu übernehmen. Ich hatte die Zwischenzertifikate immer in das untere Feld kopiert. Dieses muss anscheinend leer sein, wenn das Zertifikat von einer "echten" CA kommt.
    Also im konkreten oberen Fall wäre das der Inhalt von subdomain_domain_de.crt und direkt darunter der Inhalt von subdomain_domain_de.ca-bundle.


    hth, gruß,


    Patrick

  • Hi,


    ich habe das bis jetzt immer so gemacht (steht glaube ich auch im Wiki), da es mit der GUI nie funktionierte (interne Root CA und Sub CA...).
    [...]


    Hallo zusammen,


    sorry wenn ich den alten Thread nochmal raus krame, aber ich scheitere leider aktuell genau an diesem Thema.
    Ich habe mit obiger Anleitung in der Vergangenheit bereits mehrfach Wildcard-Zertifikate von COMODO erfolgreich in die Starface eingebunden. Bei einer aktuellen Installation scheitere ich jedoch mit einem für mich nicht nachvollziehbaren Problem.


    Konvertierung und Import in die Starface hat ohne Probleme geklappt. Im Webinterface (Server => Webserver) wird das Zertifikat korrekt angezeigt. Aufruf des Webinterface über HTTPS klappt wie gewollt, der Webserver verwendet das korrekte Zertifikat.
    Allerdings bekomme ich von der iOS-App einen Zertifikatsfehler wenn ich mich von extern verbinde. Hier bekomme ich dann auch nicht das zuvor eingebundene COMODO-Zertifikat, sondern ein selbstsigniertes, das auf die LAN-IP der Starface ausgestellt ist.
    Verbinde ich mich in der iOS-App dann statt über FQDN über die IP der Starface klappt's natürlich ohne Zertifikatsfehler. Aber das ist ja nicht Sinn der Übung.


    Der FQDN wird intern auf die LAN-IP aufgelöst, extern auf die WAN-IP. Problem tritt sowohl bei Verbindung über WLAN auf (FQDN => LAN-IP) wie auch von Extern über WAN (FQDN => WAN-IP => DNAT auf Starface)
    Mit dem UCC-Client dagegen bekomme ich keinen Zertifikatsfehler. Der XMPP-Dienst (Erweiterte Einstellungen => XMPP) ist auf den korrekten FQDN konfiguriert.


    Hat von euch hier jemand einen Ansatz?


    Besten Dank im Voraus.

  • Hallo,


    ich bastle gerade an einem ähnlichen Problem. Unsere Starface VM Edition ist von extern wie von intern per FQDN starface.firma.de erreichbar. Alles funktioniert soweit ohne Zertifikatsfehler so lange der FQDN für die Verbindung verwendet wird. So hatte ich mir das auch gedacht, und es ist auch überall der FQDN eingetragen (Hostname, XMPP Server, UCC Client, iPhone Client).


    Der Softphone Teil des UCC Clients verbindet sich aber mit der IP Adresse die unter den 'Detaildaten' unter 'Telefone' beim UCC Client in der Anlage konfiguriert ist.
    Daraus ergeben sich (für mich aktuell) folgende Probleme:


    - Wenn der UCC Client intern verwendet wird muss hier die interne Adresse konfiguriert sein damit das Softphone sich verbinden kann.
    - Wenn der UCC Client extern verwendet wird muss hier die externe Adresse konfiguriert sein damit das Softphone funktioniert.
    - Eingespielte Zertifikate die auf starface.firma.de ausgestellt sind finden keine Anwendung, da hier ja die IP Adresse statt des FQDN verwendet wird.


    Es geht dabei wohlgemerkt nur um das Softphone, UCC Client, XMPP, Webinterface funktionieren super mit dem FQDN und den dementsprechend erstellten Zertifikaten.


    Wie bringe ich denn nun die Starface dazu den Softphone Clients zu erzählen das diese sich bitte auf starface.firma.de verbinden sollen?


    Damit wären alle Probleme gelöst :)


    Vielen Dank und viele Grüße
    Michael Sommer

  • Hallo Patrick,


    ich habe unser WildCard SSl-Zertifikat wie Du beschrieben hast, bei uns in der Staface importieren können. Es wird auch als gültiges Zertifikat unter Server --> WebServer angezeigt.
    Wenn ich aber jetzt über https:// auf die Weboberflachen zugreifen will, dann kommt immer noch, dass ein ungültiges SSL-Zertifikat benutzt wird (Ausgestellt für localhost)


    Muss ich irgendwas neustarten bzw. muss ich noch irgendwas beachten?


    Gruß,


    Christian

  • webserver neu gestartet? Server - Status - Serverstatus - Dienste - Neustart


    Gruß, Patrick


    Ich habe sogar den ganzen Server rebootet.


    Was muss ich denn genau machen? Habe das SSL-Zertifikat und die CA über die WebGUI erfolgreich importiert. Es wird auch richtig angezeigt.


    Was hat die tomcat.keystore Datei aufsich? Muss ich da auch noch was beachten?

  • Guten Abend,
    ich hatte gerade das gleiche Problem, hab das letztes Jahr schon einmal gemach, mir aber leider nicht aufgeschrieben :(
    Der "Trick" ist tatsächlich das Zertifikat und alle Zwischenzertifikate in das obere Feld "Antwort der CA auf Ihr Certificate Request" zu übernehmen. Ich hatte die Zwischenzertifikate immer in das untere Feld kopiert. Dieses muss anscheinend leer sein, wenn das Zertifikat von einer "echten" CA kommt.
    Also im konkreten oberen Fall wäre das der Inhalt von subdomain_domain_de.crt und direkt darunter der Inhalt von subdomain_domain_de.ca-bundle.


    hth, gruß,


    Patrick


    Hallo Patrick,


    leider funktioniert der Import des Zertifikates nicht.
    Habe im oberen Feld das eigentliche Zertifikat und direkt die CA kopiert. Das untere Feld habe ich leer gelassen.
    Es wird zwar auch angezeigt, das es erfolgreich importiert wurde, aber leider ist immer noch das alte vorhanden. Noch eine Idee???


    Gruß,


    Christian

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!