Hi
Quote
Heißt also ich kann mit der 7.1er keine HTTPS Weiterleitung mehr aktivieren, solange ich die Starface nicht neu aufsetze?
Ich habe einfach auf der 7.1er Starface den alten Keystore nach /opt/tomcat/ssl kopiert (tomcatcert.pem, tomcatkey.pem und tomcat.keystore). Nach einem Neustart des Servers konnte ich dann auch wieder HTTPS aktivieren....
Gruß
Thomas
Das Keystore muss in /opt/tomcat/ssl/ damit es im Webserver angewandt wird, und in /var/starface/tomcat/ssl/ falls es ins Backup aufgenommen werden soll.
Hi,
habe die Daten vom Produktivserver auf den Testserver kopiert, geht leider immer noch nicht mit HTTPS.
Dienste und kompletter Server wurde neu gestartet.
Ggf. ein Problem, da es nicht via dem eigentlichen DNS Namen, sondern über die IP Adresse direkt aufgerufen wird...
[root@localhost starface]# ls -l /opt/tomcat/ssl/
total 16
-rw-rw-r-- 1 root tomcat 1870 Apr 13 2016 tomcatcert.pem
-rw-rw-r-- 1 root tomcat 3311 Apr 13 2016 tomcatkey.pem
-rw-rw-r-- 1 root tomcat 3231 Aug 8 2019 tomcat.keystore
-rw-rw-r-- 1 root tomcat 1274 Aug 8 2019 tomcat.keystore.bakPascal
Hallo comfreak,
aber das sieht doch schonmal so aus, als ob es zumindest eine Antwort auf der Port 443 gibt. Hast Du auch sicher https:// vor die IP geschrieben? Es wird natürlich auf
jeden Fall eine Zertifiaktswarnung kommen, da das Zert nicht auf die IP ausgestellt ist.
Was sagt denn wget https://192.168.218.153
Gruß
Thomas
Hi,
also ich finde nicht, dass das so aussieht, als wenn ich eine Antwort auf 443 erhalte. Die Zertifikatswarnung hätte ich auch erwartet, wenn ich direkt die IP angebe statt den DNS.
Jep, https steht davor:
Via http:
Screenshot_2.jpg
[root@localhost ~]# wget [url]https://192.168.218.153[/url]
--2022-02-16 13:52:26-- [url]https://192.168.218.153/[/url]
Connecting to 192.168.218.153:443... failed: Connection refused.
[root@localhost ~]# wget [url]http://192.168.218.153[/url]
--2022-02-16 13:52:30-- [url]http://192.168.218.153/[/url]
Connecting to 192.168.218.153:80... connected.
HTTP request sent, awaiting response... 200
Length: 1491 (1.5K) [text/html]
Saving to: ‘index.html’
index.html 100%[==============================================================================================>] 1.46K --.-KB/s in 0s
2022-02-16 13:52:30 (118 MB/s) - ‘index.html’ saved [1491/1491]Port 443 scheint nicht offen zu sein - Port 80 jedoch schon (liefert die Webseite ja auch aus).
[root@localhost ~]# netstat -tulpena | grep 443
[root@localhost ~]# netstat -tulpena | grep 80
tcp 0 0 127.0.0.1:5038 127.0.0.1:58012 ESTABLISHED 996 28258 1408/asterisk
tcp 0 0 192.168.218.153:32990 192.168.218.153:80 TIME_WAIT 0 0 -
tcp 0 0 127.0.0.1:5038 127.0.0.1:58052 ESTABLISHED 996 32048 1408/asterisk
tcp 0 0 127.0.0.1:5038 127.0.0.1:58054 ESTABLISHED 996 32959 1408/asterisk
tcp 0 0 127.0.0.1:5038 127.0.0.1:58050 ESTABLISHED 996 32046 1408/asterisk
tcp6 0 0 :::8080 :::* LISTEN 91 28329 1503/java
tcp6 0 0 :::50080 :::* LISTEN 91 28332 1503/java
tcp6 0 0 127.0.0.1:58012 127.0.0.1:5038 ESTABLISHED 0 28257 1527/java
tcp6 0 0 127.0.0.1:58054 127.0.0.1:5038 ESTABLISHED 91 32958 1503/java
tcp6 0 0 127.0.0.1:58052 127.0.0.1:5038 ESTABLISHED 91 32047 1503/java
tcp6 0 0 ::1:35880 ::1:5432 ESTABLISHED 996 28082 1408/asterisk
tcp6 0 0 127.0.0.1:58050 127.0.0.1:5038 ESTABLISHED 91 32045 1503/java
tcp6 0 0 ::1:5432 ::1:35880 ESTABLISHED 26 27544 1979/postgres: aste
tcp6 0 0 127.0.0.1:46446 127.0.0.1:80 TIME_WAIT 0 0 -
tcp6 0 0 127.0.0.1:54380 127.0.0.1:5432 TIME_WAIT 0 0 -
udp 0 0 0.0.0.0:4569 0.0.0.0:* 996 28078 1408/asterisk
udp 0 0 127.0.0.1:4580 0.0.0.0:* 10 42686 2955/iaxmodem[root@localhost ~]# ls -la /opt/tomcat/ssl/
total 16
drwxrwxr-x 2 root tomcat 99 Feb 15 15:18 .
drwxr-xr-x. 6 root tomcat 102 Feb 10 10:46 ..
-rw-rw-r-- 1 root tomcat 1870 Apr 13 2016 tomcatcert.pem
-rw-rw-r-- 1 root tomcat 3311 Apr 13 2016 tomcatkey.pem
-rw-rw-r-- 1 root tomcat 3231 Aug 8 2019 tomcat.keystore
-rw-rw-r-- 1 root tomcat 1274 Aug 8 2019 tomcat.keystore.bakHallo,
hmm, ja da lauscht nichts auf Port 8181 (entspricht dann 443 - siehe weiter oben im Thread). Bei mir sind die Filepermissions leicht anders, tomcatkey.pem hat 660 - weiss nicht, ob das einen Unterschied macht. Und im AdminUI ist der https modus auch aktiv?
Gruß
Thomas
Hi,
ups, sorry - ich muss mich korrigieren. Ich hatte nach dem letzten Mal wohl einen Snapshot zurück gespielt, wo dann HTTPS wieder deaktiviert war. Habe jetzt HTTPS wieder aktiviert:
[root@localhost ~]# netstat -tupena | grep -E '443|80|8080|8181'
tcp6 0 0 :::50080 :::* LISTEN 91 132877 8497/java
tcp6 0 0 :::8080 :::* LISTEN 91 132873 8497/java
tcp6 0 0 :::8181 :::* LISTEN 91 132876 8497/java
tcp6 0 0 192.168.218.153:8080 192.168.218.241:50937 TIME_WAIT 0 0 -
tcp6 0 0 192.168.218.153:8080 192.168.218.241:51070 ESTABLISHED 91 244557 8497/java
tcp6 0 0 127.0.0.1:51356 127.0.0.1:80 TIME_WAIT 0 0 -
udp 0 0 127.0.0.1:4580 0.0.0.0:* 10 151283 9678/iaxmodemAber es bleibt dabei: die Seite kann ich nicht mit HTTPS aufrufen - HTTP geht. Wenn ich das richtig interpretiere, ist 443 immer noch nicht offen. 8181 jedoch schon.
Screenshot_2.jpgScreenshot_3.jpg
[root@localhost ~]# wget http://192.168.218.153
--2022-02-16 15:56:13-- http://192.168.218.153/
Connecting to 192.168.218.153:80... connected.
HTTP request sent, awaiting response... 200
Length: 1491 (1.5K) [text/html]
Saving to: ‘index.html.1’
index.html.1 100%[==============================================================================================>] 1.46K --.-KB/s in 0s
2022-02-16 15:56:13 (145 MB/s) - ‘index.html.1’ saved [1491/1491]
[root@localhost ~]# wget https://192.168.218.153
--2022-02-16 15:56:16-- https://192.168.218.153/
Connecting to 192.168.218.153:443... connected.
GnuTLS: The TLS connection was non-properly terminated.
Unable to establish SSL connection.Die Filepermissions 664 sind bei mir auch im Livesystem so...
Pascal
Hi
Quote
Connecting to 192.168.218.153:443... connected.
GnuTLS: The TLS connection was non-properly terminated.
Unable to establish SSL connection.
...doch - jetzt lauscht was (sieht man am "connected"), es kommt nur keine TLS connection zustande... Was wahrscheinlich irgendwas mit dem Zert zu tun hat...
Gruß
Thomas
Hi,
stimmt auffallend, der "Connect" kommt zustande.
Ich habe einmal auf "Certificate Response importieren" geklickt und bekomme folgende Meldung: "keytool error: java.lang.RuntimeException: java.io.IOException: DNSName components must begin with a letter or digit".
Hm, ja, das Zertifikat hat im SAN mehrere DNS Einträge mit *.domain.tld stehen. Kommt ja etwas mit den * nicht klar?
Ich habe daraufhin ein neues Zertifikat Request generiert, wo im DNS-Namen nur 1 Adresse steht "starface.domain.tld". Dieses habe ich mit unserer eigenen, privaten CA signiert, wieder in der Starface mit dem CA Zertifikat erfolgreich importiert und die Starface neu gestartet.
Leider kommt immer noch keine SSL-Verbindung zu Stande, gleiches Phänomen wie vorher.
Ich habe die "Lösung" mit der Weiterleitung auf https und die Beobachtung mit dem Zertifikat an den Starface-Support mal weitergeleitet. Ich denke, dass ich zwar so das eigentliche Upgrade von 6 auf 7 durchführen und vorerst damit leben kann, dass das Webinterface nur auf http erreichbar ist, aber dennoch eine Lösung von Starface für das https Probleme erwarte...
Grüße,
Pascal
Don’t have an account yet? Register yourself now and be a part of our community!