Zeige Ergebnis 1 bis 6 von 6

Thema: STARFACE neues SSL-Zertifikat

  1. #1
    STARFACE Expert

    Registriert seit
    23.03.2015
    Beiträge
    387

    Frage STARFACE neues SSL-Zertifikat

    Guten Tag allerseits,

    ich wollte ursprünglich einem Kunden mit einer STARFACE Compact V2 6.5 nur den Zugriff via UCC Client Premium und den Smartphones einrichten, mittlerweile hat mich das fast schon zweistellig an Stunden gekostet (die ich nicht berechnen kann).

    Der Zugriff von außen funktioniert nicht.

    Nach langer Analyse ist mir aufgefallen, dass das Zertifikat unter Webserver abgelaufen ist.

    Der Support hat bei der ersten Anfrage gesagt ich solle mich beim Vertrieb melden und könnte ein neues SSL-Zertifikat eigentlich auch automatisiert im Partnerbereich bestellen.

    Ah ja.

    Nach mehreren weiteren Versuchen habe ich jetzt ein Ticket und mir wurde gesagt (was wirklich nirgends zumindestens meinen Ansprüchen gerecht dokumentiert ist) ich solle in die notwendigen Felder das eintragen:

    Servername: URL Ihrer Anlage
    SAN: FQDN Ihrer Anlage
    Gültigkeit: Laufzeit in Tagen
    Ziel ist ein kostenloses, selbst-signiertes SSL-Zertifikat. Noch besser wäre natürlich ein integrierter Assistent, der automatisiert Let's Encrypt-Zertifikate erstellt und erneuer. Das ist aber auch mit der 6.6 offensichtlich noch nicht geplant.

    Das hier hatte ich bereits funktionierend auf meiner STARFACE Cloud:

    https://support.starface.de/forum/sh...-Let-s-Encrypt!

    Leider hat das das Zertifikat nach 90 Tagen nicht automatisiert erneuert und auch schon mehrfach das komplette Webinterface der STARFACE Cloud unbenutzbar gemacht, so dass der Support an die Cloud ran musste.

    Folglich ist mir das im Produktivbetrieb beim Kunden dann doch zu heikel.

    So, zurück hierzu:

    Servername: URL Ihrer Anlage
    SAN: FQDN Ihrer Anlage
    Gültigkeit: Laufzeit in Tagen
    Der Kunde hat eine FritzBox und dahinter besagte STARFACE. Also noch nicht einmal einen vernünftigen DNS-Server.

    Was trage ich da jetzt ein wenn ich ein neues Zertifikat erstellen will und was passiert, wenn es weder den FQDN gibt noch den Servernamen? Eine Anzeige "unsichere Seite" im Browser ist natürlich (wie bisher) verschmerzbar.

    Ginge das?

    Servername: starface.kundendomain.local -> Bzw. wäre in dem Fall starface.fritz.box
    SAN: starface.kundendomain.de
    Gültigkeit: 3660
    Danke und Grüße,

    d i r k

    P.S.: Hier gibt es auch schon Vorschläge:

    https://support.starface.de/forum/sh...ll=1#post40723

    Trotzdem hätte ich gerne auch eine Idee, wie es komplett kostenfrei geht...
    Geändert von d i r k (06.12.2018 um 07:46 Uhr)

  2. #2
    STARFACE Expert

    Registriert seit
    23.03.2015
    Beiträge
    387

    Standard

    So, nach zahlreichen Analysen und Tests und Fehlermeldungen habe ich herausgefunden, dass beispielsweise folgendes geht:

    Servername: localhost
    SAN: localhost
    Gültigkeit: 3660

    Weiß jemand, ob das auch der Auslieferungszustand der Appliances ist? Kann mir die Frage mittlerweile selbst beantworten: Offensichtlich ja!

    Ist das unter Servername das, was sich die Anlage unter „Server“ -> „Netzwerk“ -> „Hostname“ automatisch „zieht“?

    Das ist auch noch speziell in Bezug auf den Kunden wichtig:

    "Der UCC Client für WIN akzeptiert die selbstsignierten Zertifikate normalerweise, beim UCC Client für Mac muss auf dem Mac diesem Zertifikat manuell vertraut werden."

    Grüße,

    d i r k
    Geändert von d i r k (06.12.2018 um 10:46 Uhr)

  3. #3
    STARFACE User

    Registriert seit
    04.07.2010
    Ort
    Schaffhausen
    Beiträge
    53

    Standard

    Ich weiss nicht, ob das der Standard ist. Die Art und Weise, wie man auf der Starface Zertifikate pflegen muss, ist einfach nur zum Weinen.

  4. #4
    STARFACE Expert
    Benutzerbild von thomas.hertli
    Registriert seit
    30.05.2007
    Ort
    Arisdorf (CH)
    Beiträge
    939

    Standard

    warum lässt du dir nicht einfach im Webinterface der Starface ein Zertifikat erstellen?

    Beispiel:
    Server = pbx --> entspricht dem Feld Hostname aus Konfiguration - Server - Netzwerk
    SAN = pbx.domain.tld
    wird keine Domäne betrieben resp. ist die STARFACE im DNS der Domäne nicht registriert würde ich hier ebenfalls den Hostnamen einsetzen. Einträge wie domain.local oder fritz.box sollten dann nicht verwendet werden.

    Wenn wegen des selbst signierten Zertifikates jeweils eine Warnmeldung erscheint, kann das Zertifikat auf den Client-Rechnern auch als "Vertrauenswürde Stammzertifizierungsstelle" für den Computer (nicht für den Anwender) hinterlegt werden.
    Geändert von thomas.hertli (07.12.2018 um 12:18 Uhr) Grund: Ergänzung Beispiel

  5. #5
    STARFACE Expert

    Registriert seit
    17.02.2017
    Ort
    Karlsruhe
    Beiträge
    211

    Standard

    Hallo Zusammen,

    wir haben auch gestern leider den Fehler gemacht und versucht ein von der AD gesigntes Zertifikat einzuspielen. Danach hat sich die Anlage erstmal komplett abgeschossen und hatte dann eine ganze Weile über 80% CPU-Auslastung. Somit konnten wir auch nicht auf das Webinterface.

    Nachdem das Webinterface sich beruhigt hatte haben wir dann wieder ein selbssigniertes eingespielt. Bis die Anlage aber wieder normal lief gingen bestimmt 1 -2 h drauf.
    MfG

    Schulz

  6. #6
    STARFACE User

    Registriert seit
    12.03.2013
    Beiträge
    33

    Standard

    Zitat Zitat von Schulz Beitrag anzeigen
    Hallo Zusammen,

    wir haben auch gestern leider den Fehler gemacht und versucht ein von der AD gesigntes Zertifikat einzuspielen. Danach hat sich die Anlage erstmal komplett abgeschossen und hatte dann eine ganze Weile über 80% CPU-Auslastung. Somit konnten wir auch nicht auf das Webinterface.

    Nachdem das Webinterface sich beruhigt hatte haben wir dann wieder ein selbssigniertes eingespielt. Bis die Anlage aber wieder normal lief gingen bestimmt 1 -2 h drauf.
    wir haben das so gelöst:

    1. Das Zertifikat muss auf der Maschine abgelegt sein.
    2. Folgendes auf der cli ausführen: keytool -importkeystore -deststorepass changeit -destkeypass changeit -destkeystore tomcat.keystore -srckeystore ZERTIFIKATSNAME.PFX -srcstoretype PKCS12 -alias 1
    3. Die Passphrase des Zertifikats muss eingegeben werden. Das deststore-Password MUSS changeit lauten. Das ist eine Vorgabe der Starface.
    4. Die generierte tomcat.keystore Datei dann nach /usr/share/tomcat6/ssl verschieben. Eine eventuell vorhandene Datei vorher umbenennen.
    5. Dann noch die Weiterleitung auf HTTPS unter Webserver einstellen.
    6. Das war's.


    Nach dem Schema haben wir das schon 2x erfolgreich machen können.

Ähnliche Themen

  1. Neues Providerprofil in der STARFACE erstellen
    Von kappie im Forum Leitungen SIP, NGN, ALL-IP
    Antworten: 4
    Letzter Beitrag: 15.02.2018, 09:46
  2. Starface in neues Subnetz - was gibt es zu beachten?
    Von slu im Forum STARFACE Einrichtung & Administration
    Antworten: 20
    Letzter Beitrag: 29.06.2016, 10:45
  3. SSL Zertifikat für Starface Advance
    Von patrickv im Forum STARFACE Einrichtung & Administration
    Antworten: 1
    Letzter Beitrag: 17.02.2014, 17:36
  4. Neues Netzwerk - IP Adresse der Starface ändern
    Von goofy im Forum STARFACE Einrichtung & Administration
    Antworten: 6
    Letzter Beitrag: 05.11.2010, 21:51
  5. Starface 3.0 neues Release
    Von ohessel im Forum STARFACE Versionshinweise
    Antworten: 0
    Letzter Beitrag: 10.07.2008, 10:31

Lesezeichen

Forumregeln

  • Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
  • Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
  • Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
  • Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.
  •