• Hi

    Quote


    Heißt also ich kann mit der 7.1er keine HTTPS Weiterleitung mehr aktivieren, solange ich die Starface nicht neu aufsetze?

    Ich habe einfach auf der 7.1er Starface den alten Keystore nach /opt/tomcat/ssl kopiert (tomcatcert.pem, tomcatkey.pem und tomcat.keystore). Nach einem Neustart des Servers konnte ich dann auch wieder HTTPS aktivieren....

    Gruß
    Thomas

  • Hi,

    habe die Daten vom Produktivserver auf den Testserver kopiert, geht leider immer noch nicht mit HTTPS.

    Dienste und kompletter Server wurde neu gestartet.

    Ggf. ein Problem, da es nicht via dem eigentlichen DNS Namen, sondern über die IP Adresse direkt aufgerufen wird...

    Screenshot_2.jpg

    Code
    [root@localhost starface]# ls -l /opt/tomcat/ssl/
    total 16
    -rw-rw-r-- 1 root tomcat 1870 Apr 13  2016 tomcatcert.pem
    -rw-rw-r-- 1 root tomcat 3311 Apr 13  2016 tomcatkey.pem
    -rw-rw-r-- 1 root tomcat 3231 Aug  8  2019 tomcat.keystore
    -rw-rw-r-- 1 root tomcat 1274 Aug  8  2019 tomcat.keystore.bak

    Pascal

  • Hi,

    also ich finde nicht, dass das so aussieht, als wenn ich eine Antwort auf 443 erhalte. Die Zertifikatswarnung hätte ich auch erwartet, wenn ich direkt die IP angebe statt den DNS.

    Jep, https steht davor:

    Screenshot_1.jpg

    Via http:
    Screenshot_2.jpg

    Port 443 scheint nicht offen zu sein - Port 80 jedoch schon (liefert die Webseite ja auch aus).


    Code
    [root@localhost ~]# ls -la /opt/tomcat/ssl/
    total 16
    drwxrwxr-x  2 root tomcat   99 Feb 15 15:18 .
    drwxr-xr-x. 6 root tomcat  102 Feb 10 10:46 ..
    -rw-rw-r--  1 root tomcat 1870 Apr 13  2016 tomcatcert.pem
    -rw-rw-r--  1 root tomcat 3311 Apr 13  2016 tomcatkey.pem
    -rw-rw-r--  1 root tomcat 3231 Aug  8  2019 tomcat.keystore
    -rw-rw-r--  1 root tomcat 1274 Aug  8  2019 tomcat.keystore.bak
  • Hallo,

    hmm, ja da lauscht nichts auf Port 8181 (entspricht dann 443 - siehe weiter oben im Thread). Bei mir sind die Filepermissions leicht anders, tomcatkey.pem hat 660 - weiss nicht, ob das einen Unterschied macht. Und im AdminUI ist der https modus auch aktiv?

    Gruß
    Thomas

  • Hi,

    ups, sorry - ich muss mich korrigieren. Ich hatte nach dem letzten Mal wohl einen Snapshot zurück gespielt, wo dann HTTPS wieder deaktiviert war. Habe jetzt HTTPS wieder aktiviert:

    Unbenannt.png

    Code
    [root@localhost ~]# netstat -tupena | grep -E '443|80|8080|8181'
    tcp6       0      0 :::50080                :::*                    LISTEN      91         132877     8497/java
    tcp6       0      0 :::8080                 :::*                    LISTEN      91         132873     8497/java
    tcp6       0      0 :::8181                 :::*                    LISTEN      91         132876     8497/java
    tcp6       0      0 192.168.218.153:8080    192.168.218.241:50937   TIME_WAIT   0          0          -
    tcp6       0      0 192.168.218.153:8080    192.168.218.241:51070   ESTABLISHED 91         244557     8497/java
    tcp6       0      0 127.0.0.1:51356         127.0.0.1:80            TIME_WAIT   0          0          -
    udp        0      0 127.0.0.1:4580          0.0.0.0:*                           10         151283     9678/iaxmodem

    Aber es bleibt dabei: die Seite kann ich nicht mit HTTPS aufrufen - HTTP geht. Wenn ich das richtig interpretiere, ist 443 immer noch nicht offen. 8181 jedoch schon.

    Screenshot_2.jpgScreenshot_3.jpg

    Die Filepermissions 664 sind bei mir auch im Livesystem so...

    Pascal

    Edited once, last by comfreak (February 16, 2022 at 4:03 PM).

  • Hi

    Quote


    Connecting to 192.168.218.153:443... connected.
    GnuTLS: The TLS connection was non-properly terminated.
    Unable to establish SSL connection.

    ...doch - jetzt lauscht was (sieht man am "connected"), es kommt nur keine TLS connection zustande... Was wahrscheinlich irgendwas mit dem Zert zu tun hat...

    Gruß
    Thomas

  • Hi,

    stimmt auffallend, der "Connect" kommt zustande.

    Ich habe einmal auf "Certificate Response importieren" geklickt und bekomme folgende Meldung: "keytool error: java.lang.RuntimeException: java.io.IOException: DNSName components must begin with a letter or digit".

    Hm, ja, das Zertifikat hat im SAN mehrere DNS Einträge mit *.domain.tld stehen. Kommt ja etwas mit den * nicht klar?

    Ich habe daraufhin ein neues Zertifikat Request generiert, wo im DNS-Namen nur 1 Adresse steht "starface.domain.tld". Dieses habe ich mit unserer eigenen, privaten CA signiert, wieder in der Starface mit dem CA Zertifikat erfolgreich importiert und die Starface neu gestartet.

    Leider kommt immer noch keine SSL-Verbindung zu Stande, gleiches Phänomen wie vorher.

    Ich habe die "Lösung" mit der Weiterleitung auf https und die Beobachtung mit dem Zertifikat an den Starface-Support mal weitergeleitet. Ich denke, dass ich zwar so das eigentliche Upgrade von 6 auf 7 durchführen und vorerst damit leben kann, dass das Webinterface nur auf http erreichbar ist, aber dennoch eine Lösung von Starface für das https Probleme erwarte...

    Grüße,
    Pascal

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!