vrohandenes Wildcard Zertifikat einspielen

  • Hallo Zusammen,

    habe gerade versucht, ein aktualisiertes Wildcard- Zertifikat zu installieren.
    Leider ohne Erfolg.
    Es gibt hier eine Anleitung, die sich mir aber nicht wirklich eschliestt.
    Das Tool Von Niklas Janz funktioniiert in der Version 7.1 leider auch nicht.

    Bedanke mich schon jetzt für Lösungvorschläge.

    Danke und beste Grüße
    Stephan

  • Hallo Stephan

    Hast du SSH Zugriff auf die Anlage?
    Wenn ja, kannst du den Keystore manuell damit bestücken:

    Für STARFACE 6.X: /usr/share/tomcat6/ssl/tomcat.keystore
    Für STARFACE 7.X /opt/tomcat/ssl/tomcat.keystore

    Das Passwort für den Keystore ist "changeit"

    SICHERHEITSKOPIE ERSTELLEN

    In dem Keystore gibt es ein "tomcat" Zertifikat, mit dem Privaten und Öffentlichen Schlüssel, sowie Zertifikat. Dieses musst du löschen, und anschliessend deinen Privaten und Öffentlichen Schlüssel importieren und anschliessend dein Zertifikat reinhauen.
    Ich verwende dafür jeweils das Tool "KeyStoreExplorer", da ich keine Ahnung habe, wie das auf der Command Line zu tun ist.

    MfG

    Fabian

  • Hier noch mal komplett auf der Kommandozeile (SF 7):

    Zertifikat hochladen

    Das Zerfifikat (cert.p12) via SFTP an folgenden Pfad auf dem Server speichern: /root/cert.p12

    Konvertierung in P12 kann z.B. der Firefox

    Zertifikat in den Keystore importieren

    Standardkennwort des Kesytores lautet changeit

    keytool -import -trustcacerts -alias tomcat -file /root/cert.p12 -keystore /opt/tomcat/ssl/tomcat.keystore

    Webserver neustarten

    service tomcat restart

    Zertifikat Update/Backupfest machen

    mkdir -p /var/starface/tomcat/ssl/

    cp /opt/tomcat/ssl/tomcat.keystore /var/starface/tomcat/ssl/keystore.jks

    chown root:tomcat /var/starface/tomcat/ssl/keystore.jks && chmod 664 /var/starface/tomcat/ssl/keystore.jks

  • danke an bf@dd - aber das kann es doch nicht sein, oder?

    Wir haben im GUI eine Zertifikats-Import-Funktion - wird diese dann entfallen, oder kann man damit rechnen dass diese zumindest gekaufte Zertifikate bald problemlos akzeptiert?
    Ein normales, gekauftes Webzertifikat, erstellt nach dem .csr der Anlage welchen man auch über die GUI abholt, wurde schon auf der 6.7 nicht akzeptiert, egal in welcher Kombination mal Grundzertifikat, Intermediate und Root in die diversen Felder reinkopierte.

    Je nachdem wie man die Anlage eingerichtet und von seinen restlichen System abgekapselt hat ist es nicht möglich einen Zugriff via SSH zu bekommen, gibt es eine Möglichkeit aus dem Texmode-Menü direkt auf der Kiste raus in die Kommandozeile zu hüpfen?

    ja, ich weiss, ist nur 1x pro Jahr machbar, aber das kann bei einer VM eben 1x pro Jahr eine geplante Aktion mit Downtime und der Notwendigkeit der Wiederzuordnung der Lizenzen (HW-ID ändert sich auch bei IP-Wechsel wie ich jetzt gelernt hab) sein. Also eine Aktion, die wesentlich weniger Aufwändig sein könnte.

  • Hallo zusammen,

    hier eine Anleitung zum Thema "Starface Zertifikat austauschen", in der mit dem Tool "Keystore Explorer" gearbeitet wird.
    Hier läuft alles über GUI, finde damit ist der Zertifikatsaustausch wesentlich vereinfacht.

    Ich freue mich sehr über Feedback, falls das hier ein SF Veteran/Entwickler liest ;)

    Voraussetzung:
    ▪ Starface VM oder HW Appliance - NICHT möglich mit Starface Cloud!
    ▪ signiertes, fertiges Zertifikat im PKCS12 Format. Es wird vorher KEIN CSR auf der Starface ausgeführt.
    ▪ Software: WinSCP, puttY und Keystore Explorer.

    Vorbereitung
    1. Software Pakete herunterladen und installieren
    2. Mit WinSCP Verbindung zur Starface Anlage herstellen
    3. Im Verzeichnis /usr/share/tomcatX/ssl/ (<SF7) bzw. /opt/tomcat/ssl (SF7 und höher) folgende Dateien in ein Arbeitsverzeichnis auf dem Rechner herunterladen: tomcat.keystore, tomcatcert.pem, tomcatkey.pem
    4. Vom Keystore und allen PEM Files ein Backup anlegen!
    5. Das vollständige Kundenzertifikat (Schlüsselpaar + Zertifikatskette) ebenfalls in das Arbeitsverzeichnis auf den Rechner herunterladen.

    Austausch der Zertifikate für den Tomcat Server

    die Zertifikate des Tomcat Servers gelten für den Webzugriff auf die Starface (also HTTPS Aufruf der Admin/Useroberfläche), den Zugriff der UCC Clients (Mobile, Mac, Windows) für die Autoprovisionierung, das Adressbuch, als auch für die generelle Anmeldung.

    Zertifikat für Webserver und UCC Clientzugriff
    tomcat.keystore

    Zertifikat für Autoprovisionierung und Adressbuch
    tomcatcert.pem und tomcatkey.pem

    1. Den Keystore Explorer öffnen und über Datei → Öffnen die Datei "tomcat.keystore" öffnen.
    2. Passwort für sämtliche Zertifikatsspeicher auf der Starface ist immer "changeit" und muss auch so beibehalten werden.
    3. Hier befindet sich nun das selbstsignierte Originalzertifikat der Starface. Dieses muss per Rechtsklick → Löschen aus dem Zertifikatsspeicher entfernt werden.
    4. Nun importieren wir das Schlüsselpaar des Kundenzertifikats über Werkzeuge → Schlüsselpaar importieren.
    5. Den Importtyp entsprechend dem vorliegenden Zertifikat auswählen (z.B. PKCS 12).
    6. In der Regel ist der private Informationsteil des Zertfikats mit einem Passwort verschlüsselt. Dieses muss für den erfolgreichen Import eingegeben werden.
    7. Aliasnamen vergeben, hat technisch keine Relevanz, kann frei gewählt werden.
    8. "changeit" als Passwort für das neue Schlüsselpaar vergeben (siehe Punkt 2).
    9. Der Import sollte mit einer Erfolgsmeldung abgeschlossen worden sein.
    10. Den Keystore nun mit Datei → Speichern abspeichern.

    Zerlegen des öffentlichen und privaten Teils aus dem Keystore

    Der Tomcat Keystore ist nun mit dem neuen Zertifikat bestückt. Es müssen noch die PEM Files ersetzt werden.
    Wir fangen mit dem öffentlichen Teil an:
    1. Im noch geöffneten Keystore nun das Hauptzertifikat exportieren via Rechtsklick → Exportieren → Zertifikatskette exportieren.
    2. Hierbei benötigen wir nur das Hauptzertifikat im X.509 Format als PEM File. Die Datei wird die tomcatcert.pem ersetzen.
    3. Der Vorgang sollte mit einer Erfolgsmeldung quittiert werden.
    Es folgt nun der private Teil:
    1. Im noch geöffneten Keystore nun den privaten Schlüssel exportieren via Rechtsklick → Exportieren → Privaten Schlüssel exportieren.
    2. Der private Schlüssel muss im OpenSSL Format exportiert werden.
    3. Hierbei verschlüsseln wir den Export wieder mit dem Passwort "changeit" und einer DESede CBC Verschlüsselung. Die Datei wird die tomcatkey.pem ersetzen.
    4. Der Vorgang sollte mit einer Erfolgsmeldung quittiert werden.

    Exportieren des gesamten Schlüsselpaars für den Asterisk Unterbau

    Zum Abschluss exportieren wir das gesamte Schlüsselpaar für das Zertifikat des Asterisk Unterbaus der Starface.
    Dieser kontrolliert den sicheren Verbindungsaufbau der SIP Teilnehmer via SIPS (Port 5061) und ist z.B. bei den UCC Clients der Standard.
    Das bedeutet, erst wenn ganzheitlich das Tomcat und Asterisk Zertifikat ausgetauscht worden sind, tauchen auf den Mobile Clients keine Zertifikatswarnmeldungen mehr auf.

    1. Im noch geöffneten Keystore nun das gesamte Schlüsselpaar exportieren via Rechtsklick → Exportieren → Schlüsselpaar exportieren.
    2. Das Schlüsselpaar im PEM Format ohne Passwort exportieren und als asterisk.pem abspeichern.
    3. Der Vorgang sollte mit einer Erfolgsmeldung quittiert werden.
    4. Nun kann der Keystore Explorer geschlossen werden.

    Hochladen der Dateien auf die Starface

    1. In der noch geöffneten WinSCP Verbindung nun in das Verzeichnis /usr/share/tomcatX/ssl/ bzw. /opt/tomcat/ssl die Dateien tomcat.keystore, tomcatcert.pem, tomcatkey.pem hochladen und ersetzen.
    2. Anschließend im Verzeichnis /var/starface/srtpcerts die Datei asterisk.pem hochladen und ersetzen.

    Via puttY die Starface neustarten (Befehl: reboot).

    Gruß
    PK

    Edited once, last by C4U_PK (December 20, 2021 at 5:07 PM).


  • Ganz wichtig ist es die Rechte noch anzupassen:

    Starface 6.7 /usr/share/tomcat6/ssl/
    Starface 7.x /opt/tomcat/ssl/
    in den Ordner wechseln mit dem Befehl 'cd' und Ort je nach SF Version.
    Besitzer anpassen für alles was mit tomcat anfängt : chown root:tomcat *
    Rechtevergabe für alles im Ordner vergeben : chmod 664 *
    Tomcat neu start : systemctl restart tomcat.service

    Das ändern des Asterisk.pem empfehle ich eher nicht, bei mir hat es dazu geführt das der winclient meckerte und sich nicht mehr korrekt mit dem Server verbindete.

  • Zertifikat Update/Backupfest machen

    mkdir -p /var/starface/tomcat/ssl/

    cp /opt/tomcat/ssl/tomcat.keystore /var/starface/tomcat/ssl/keystore.jks

    chown root:tomcat /var/starface/tomcat/ssl/keystore.jks && chmod 664 /var/starface/tomcat/ssl/keystore.jks

    Hallo,

    bin gerade dabei mal wieder ein wildcard Zertifikat einzusetzen.

    Kann mir jemand erklären was das genau soll?

    Warum wird das Zertifikat dadurch Update/Backupfest?

    Ist das der keystore sonst nicht?

    Wann bemerkt man das?

    Grüße

    Max

  • mkdir -p macht nichts anderes alls einen Ordner anlegen, falls der Ordner schon existiert wird nichts gemacht und auch kein Fehler erzeugt. Persistent ist der Keystore innerhalb der Versionen 6 und 7. Beim Wechsel von 6 auf 7 ändert sich jedoch die komplette Ordnerstruktur:

    Für STARFACE 6.X: /usr/share/tomcat6/ssl/tomcat.keystore

    Für STARFACE 7.X /opt/tomcat/ssl/tomcat.keystore

    Somit ist der Keystore nicht mehr persistent.

  • Ich hätte da noch eine alternative Anleitung für die, die nicht so viel auf der Shell rumtippern wollen ;)

    Voraussetzungen

    • Starface Version 7 oder höher
    • SSH-Zugang zur Starface
    • Programm “Keystore Explorer”
    • Programm “WinSCP”
    • Programm “Putty”
    • PFX-Datei des neuen Zertifikats mit Kennwort

    Neuen Keystore erstellen

    • Keystore Explorer starten
    • “Neuen Schlüsselspeicher erstellen” auswählen, “JKS” auswählen
    • “Werkzeuge” → “Schlüsselpaar importieren” → “PKCS#12”
    • Das Kennwort der PFX-Datei eingeben und die PFX-Datei für den Import auswählen, anschließend mit “Import” bestätigen
    • Als Aliasname “tomcat” eingeben
    • Als neues Passwort “changeit” eingeben und bestätigen
    • Datei → Speicher auswählen und erneut das Kennwort “changeit” für den Schlüsselspeicher festlegen
    • Keystore unter dem Dateinamen “tomcat.keystore” abspeichern

    Neuen Keystore in die Anlage einspielen

    • Programm “WinSCP” öffnen
    • Neue Sitzung zur Starface TK-Anlage öffnen (Protokoll “SCP”, Benutzer “root” mit entspr. Kennwort der Anlage)
    • In das Verzeichnis /opt/tomcat/ssl/ wechseln und die bestehende Datei “tomcat.keystore” umbenennen in “tomcat.old”
    • die neu erstellte Datei “tomcat.keystore” in das Verzeichnis hochladen
    • In das Verzeichnis /var/starface/tomcat/ssl/ wechseln und die bestehende Datei “keystore.jks” umbenennen in “keystore.old”
    • die neu erstellte Datei “tomcat.keystore” in das Verzeichnis hochladen und umbenennen zu “keystore.jks”
    • WinSCP wieder schließen

    WebService auf der Starface neu starten

    • Putty starten und mit der Starface verbinden
    • Befehl “sudo service tomcat restart” ausführen (Startet den Tomcat Server neu, dauert ca. 2 Minuten. Telefonate werden nicht unterbrochen, Webseite und Funktionen im Windows Client sind währenddessen nicht verfügbar)

    Viele Grüße,

    Andreas Stein
    IT Fabrik Systemhaus GmbH & Co. KG

    STARFACE Excellence PLUS Partner

  • mkdir -p macht nichts anderes alls einen Ordner anlegen, falls der Ordner schon existiert wird nichts gemacht und auch kein Fehler erzeugt. Persistent ist der Keystore innerhalb der Versionen 6 und 7. Beim Wechsel von 6 auf 7 ändert sich jedoch die komplette Ordnerstruktur:

    mir geht es eher darum:

    cp /opt/tomcat/ssl/tomcat.keystore /var/starface/tomcat/ssl/keystore.jks

    chown root:tomcat /var/starface/tomcat/ssl/keystore.jks && chmod 664 /var/starface/tomcat/ssl/keystore.jks

    Da wird der Keystore ja nur an einen anderne Ort kopiert - warum macht ihn das Update sicher?

  • Weil /var/starface/tomcat/ssl/keystore.jks Teil des Backups ist und bei einem Update auch nicht überschrieben wird.

    /opt/tomcat/ssl/tomcat.keystore hingegen ist die aktiv vom Tomcat-Server genutzte Datei.

    Viele Grüße,

    Andreas Stein
    IT Fabrik Systemhaus GmbH & Co. KG

    STARFACE Excellence PLUS Partner

  • Ich hätte da noch eine alternative Anleitung für die, die nicht so viel auf der Shell rumtippern wollen ;)

    Voraussetzungen

    • Starface Version 7 oder höher
    • SSH-Zugang zur Starface
    • Programm “Keystore Explorer”
    • Programm “WinSCP”
    • Programm “Putty”
    • PFX-Datei des neuen Zertifikats mit Kennwort

    Neuen Keystore erstellen

    • Keystore Explorer starten
    • “Neuen Schlüsselspeicher erstellen” auswählen, “JKS” auswählen
    • “Werkzeuge” → “Schlüsselpaar importieren” → “PKCS#12”
    • Das Kennwort der PFX-Datei eingeben und die PFX-Datei für den Import auswählen, anschließend mit “Import” bestätigen
    • Als Aliasname “tomcat” eingeben
    • Als neues Passwort “changeit” eingeben und bestätigen
    • Datei → Speicher auswählen und erneut das Kennwort “changeit” für den Schlüsselspeicher festlegen
    • Keystore unter dem Dateinamen “tomcat.keystore” abspeichern

    Neuen Keystore in die Anlage einspielen

    • Programm “WinSCP” öffnen
    • Neue Sitzung zur Starface TK-Anlage öffnen (Protokoll “SCP”, Benutzer “root” mit entspr. Kennwort der Anlage)
    • In das Verzeichnis /opt/tomcat/ssl/ wechseln und die bestehende Datei “tomcat.keystore” umbenennen in “tomcat.old”
    • die neu erstellte Datei “tomcat.keystore” in das Verzeichnis hochladen
    • In das Verzeichnis /var/starface/tomcat/ssl/ wechseln und die bestehende Datei “keystore.jks” umbenennen in “keystore.old”
    • die neu erstellte Datei “tomcat.keystore” in das Verzeichnis hochladen und umbenennen zu “keystore.jks”
    • WinSCP wieder schließen

    WebService auf der Starface neu starten

    • Putty starten und mit der Starface verbinden
    • Befehl “sudo service tomcat restart” ausführen (Startet den Tomcat Server neu, dauert ca. 2 Minuten. Telefonate werden nicht unterbrochen, Webseite und Funktionen im Windows Client sind währenddessen nicht verfügbar)

    Hinweis: Mit der XCA-App kann man aus Key-File und CRT-File ein P12-File oder PFX bauen. Funktioniert dann mit noch weniger Fragen tippen.

    Gruß, Jens.

  • Hallöchen!

    sind die obengenannten Anleitungen auch für Starface 8 gültig? Hat jemand Erfahrung damit?

    Viele Grüße & danke im Voraus

    Edited once, last by agim (May 24, 2023 at 2:02 PM).

  • Hallo agim

    Ja, diese Anleitung ist auch noch für die 8.X korrekt.

    MfG

    Fabian

    Ich habe versucht, dass heute nachzustellen.

    Leider scheint in der Verson 8.0.0.12 der Pfad /var/starface/tomcat/ssl/ nicht mehr vorhanden zu sein

    Der erste Teil der Anleitung funktioniert aber weiterhin problemfrei, auch das Einspielen unter /opt/tomcat/ssl/, wodurch zumindest das Zertifikat erstmal ausgetauscht ist


    EDIT: Scheinbar ist das ein Bug an der Endkundenanlage , wurde vom SF Support behoben

    Edited once, last by jweyers (July 19, 2023 at 9:39 AM).

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!