Ankündigung

Einklappen
Keine Ankündigung bisher.

ssl Zertifikat für dyndns-Domain

Einklappen
Dieses Thema ist geschlossen.
X
X
Einklappen
 
  • Seite von 1
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige template Weiter
    #1

    [wiregate] ssl Zertifikat für dyndns-Domain

    Hallo zusammen,

    ich habe mittlerweile mein WG mit SSL/https + Auth am laufen :-) An dieser Stelle nochmal Danke an all die Anleitungen hier im Forum!

    Das einzige was mich noch nervt ist, dass es ein selbst erstelltes Zertifikat ist und der Browser darüber immer rummeckert. Welche Möglichkeiten gibt es (kostengünstig) ein "ordentliches" Zertifikat für eine dyndns-SubDomain zu bekommen? Im Netz habe ich einige Anleitungen gefunden die zu cacert.org zeigen. Kennt das jmd? Funktioniert das Zertifikat als solches? Ich habe mal versucht ein Zertifikat zu erstellen aber bei der "Inhaber-Prüfung" der Domain wird versucht eine "befugte E-Mail-Adresse" (zb. webmaster@subdomain.dyndns.org) zu erreichen - und das funktioniert natürlich nicht...

    In den FAQ von cacert wird empfohlen die dyndns-Domain temporär auf einen passenden Mail-Server zeigen zu lassen. Allerdings habe ich keinen solchen...

    Ich weiß es ist eigentlich keine WG-spezifische Frage, aber das Forum hier ist irgendwie das sympatischste das ich kenne *schleimModus* ;-) und evtl. hat ja jmd eine Idee?

    Danke!
    Micha
    Stichworte: -
    #2
    Schau Dir das bitte an

    Dyn Transitions SSL Business To DigiCert | Dyn Blog

    Gruß

    Michael
    Meine Installation: VM Debian Buster SH NG 1.8.1, SmartVISU 3.0, KNX, DMX, 1-wire, Fortigate 30E IPS, VMware vSphere 6.7

    Kommentar

      #3
      Zitat von mivola Beitrag anzeigen
      Im Netz habe ich einige Anleitungen gefunden die zu cacert.org zeigen. Kennt das jmd?
      Beachte, dass das CAcert Root-Zertifikat in den Browsern auch nicht enthalten ist. Du kannst das zwar nachladen, aber dann kannst du auch gleich deine eigene RootCA erstellen und dieses nachladen. Oder einfach das Serverzertifikat installieren, dann solle der Browser doch auch nicht mehr meckern.
      In den FAQ von cacert wird empfohlen die dyndns-Domain temporär auf einen passenden Mail-Server zeigen zu lassen. Allerdings habe ich keinen solchen...
      Wenn du magst stelle ich dir meinen Mailserver zur Verfügung. Bitte PN für die Details.

      Gruss, Othmar
      EIB/KNX, VISU mit knxd + linknx + knxweb, Steuerbefehle via SMS und Email mit postfix + procmail

      Kommentar

        #4
        Für faire (deswegen nicht unbedingt billige!) SSL-Zertifikate kann ich an dieser Stelle Startcom empfehlen: StartSSL? Certificates & Public Key Infrastructure

        Im privaten Bereich aber absoluter overkill.. Wenn sich mehr als - sagen wir mal 50 - dafür interessieren könnte man auch laut darüber nachdenken, dafür eine Lösung zu erfinden (?)
        Nur interessieren solche Security-Themen erfahrungsgemäss ca. 1-2%

        Makki
        EIB/KNX & WireGate & HS3, Russound,mpd,vdr,DM8000, DALI, DMX
        -> Bitte KEINE PNs!

        Kommentar

          #5
          Zitat von makki Beitrag anzeigen
          Für faire (deswegen nicht unbedingt billige!) SSL-Zertifikate kann ich an dieser Stelle Startcom empfehlen: StartSSL? Certificates & Public Key Infrastructure

          Im privaten Bereich aber absoluter overkill.. Wenn sich mehr als - sagen wir mal 50 - dafür interessieren könnte man auch laut darüber nachdenken, dafür eine Lösung zu erfinden (?)
          Nur interessieren solche Security-Themen erfahrungsgemäss ca. 1-2%

          Makki
          Kann ich bestätigen. Ich habe selber auch Startssl Zertifikate im Einsatz.

          das Problem bei dyndns wird bei Startssl auch die Verifizierung sein.
          Meine Installation: VM Debian Buster SH NG 1.8.1, SmartVISU 3.0, KNX, DMX, 1-wire, Fortigate 30E IPS, VMware vSphere 6.7

          Kommentar

            #6
            Das Problem ist doch vermutlich nur, dass der Browser der eigenen RootCA nicht vertraut. Aber hier kann man doch das eigene Zertifikat importieren...
            Bei mir mault kein Browser mehr 😊

            Ist das nicht ausreichend?


            Gesendet von meinem iPhone mit Tapatalk

            Kommentar

              #7
              Zitat von En3rGy Beitrag anzeigen
              Das Problem ist doch vermutlich nur, dass der Browser der eigenen RootCA nicht vertraut. Aber hier kann man doch das eigene Zertifikat importieren...
              Bei mir mault kein Browser mehr 😊

              Ist das nicht ausreichend?
              solange das Zertifikat nicht öffentlich gebraucht wird schon
              Meine Installation: VM Debian Buster SH NG 1.8.1, SmartVISU 3.0, KNX, DMX, 1-wire, Fortigate 30E IPS, VMware vSphere 6.7

              Kommentar

                #8
                Bei startssl habe ich für meine Class2 Zertifikate ca 50 EUR gezahlt.
                die sind 2 Jahre gültig. es spielt keine Rolle wieviel Zertifikate man braucht auch Multidomain ist möglich.
                Ich finde das nicht zu teuer.
                Class 1 Zertifikate sind kostenlos.

                Ich bin bei startssl Notar falls es hier noch jemanden aus der Gegend gibt dann gern per PN. Im Sommer steht bei mir Rezertifizierung an.
                Meine Installation: VM Debian Buster SH NG 1.8.1, SmartVISU 3.0, KNX, DMX, 1-wire, Fortigate 30E IPS, VMware vSphere 6.7

                Kommentar

                  #9
                  Danke für die vielen Hinweise. Ich denke ich werde es erstmal damit probieren die Zertifikate in den Browser zu importieren. Rein verschlüsselungstechnisch/sicherheitsmäßig ist es ja egal ob das ein offizielles oder eigenes Zertifikat ist, oder?
                  Meistens nutze ich die Visu ja sowieso von zu Hause (da geht es auch ohne SSL) oder über VPN. Leider kann mein altes Android-Handy kein openVPN - deshalb wäre es wohl das Gerät mit dem ich am meisten per https auf die Visu zugreife...

                  Danke
                  Micha

                  Kommentar

                    #10
                    So, jetzt habe ich doch noch eine Frage bzgl SSL (aber weniger zu den Zertifikaten an sich):

                    Ich möchte gern alle Aufrufe auf http (Port 80) weiterleiten zu https (Port 443). Allerdings nur, wenn diese nicht aus dem lokalen Netzwerk kommen. Unterscheidung kann also über $HTTP["remoteip"] oder $HTTP["host"] erfolgen. Beides habe ich ausprobiert und beides funktioniert soweit auch. Was nicht funktioniert ist das korrekte redirect-Statement. Problem ist, dass die URL von "http://sub.dyndns.org/visu" zu "https://visu" weitergeleitet wird. Irgendwie fehlt also der Hostname in der Adresse. Hier ist der entscheidende Part der lighttp.conf:

                    Code:
                    $HTTP["scheme"] == "http" {
    $HTTP["remoteip"] !~ "192\.168\.|172\.168\.|127.0.0.1" {
        url.redirect = (".*" => "https://%0/$0")
    }
}
                    Kann mir jmd einen Tipp geben?

                    Danke,
                    Micha

                    Kommentar

                      #11
                      Zitat von mivola Beitrag anzeigen
                      Rein verschlüsselungstechnisch/sicherheitsmäßig ist es ja egal ob das ein offizielles oder eigenes Zertifikat ist, oder?
                      Kommt drauf an. Beim eigenen Zertifikat hast du das Risiko als Gelegenheitsnutzer unbewusst einen schwachen Schlüssel generiert zu haben. Beim extern generierten Schlüssel weißt du nicht, was damit geschieht.
                      Es fragt sich also, wem du mehr vertraust, deinen Fähigkeiten oder der CA.

                      Kommentar

                        #12
                        Zitat von En3rGy Beitrag anzeigen
                        einen schwachen Schlüssel generiert
                        Hm OK. Das sollte sich ja vermeiden lassen, wenn mir einer der hier anwesenden Profis einen Tipp gibt wie ich einen starken Schlüssel generiere ;-)

                        Danke
                        Micha

                        Kommentar

                          #13
                          Zitat von En3rGy Beitrag anzeigen
                          Es fragt sich also, wem du mehr vertraust, deinen Fähigkeiten oder der CA.
                          Sehr treffende Antwort ! :-)

                          Zitat von mivola Beitrag anzeigen
                          Hm OK. Das sollte sich ja vermeiden lassen, wenn mir einer der hier anwesenden Profis einen Tipp gibt wie ich einen starken Schlüssel generiere ;-)
                          Auf dem WG werden (private) Keys - Stand heutigem Wissen - sicher erstellt auch unter verwendung des (eher seltenen) HW-RNG. Wie das mit openssl geht, dafür gibts (ohne besondere, WG-spezifische, Bedienungs-Hinweise/Spezialitäten) hunderte Anleitungen im Web..

                          Zum rewrite würde ich (ungetestet!) bitte auf Docs ModRewrite - Lighttpd - lighty labs verweisen. Das geht natürlich aber ich mags grad nicht für diesen Anwendungsfall nachlesen

                          Makki
                          EIB/KNX & WireGate & HS3, Russound,mpd,vdr,DM8000, DALI, DMX
                          -> Bitte KEINE PNs!

                          Kommentar

                          Vorherige template Weiter
                          Lädt...
                          X

                          Wir verarbeiten personenbezogene Daten über die Nutzer unserer Website mithilfe von Cookies und anderen Technologien, um unsere Dienste bereitzustellen. Weitere Informationen findest Du in unserer Datenschutzerklärung.

                          Indem Du unten auf "ICH stimme zu" klickst, stimmst Du unserer Datenschutzerklärung und unseren persönlichen Datenverarbeitungs- und Cookie-Praktiken zu, wie darin beschrieben. Du erkennst außerdem an, dass dieses Forum möglicherweise außerhalb Deines Landes gehostet wird und bist damit einverstanden, dass Deine Daten in dem Land, in dem dieses Forum gehostet wird, gesammelt, gespeichert und verarbeitet werden.

                          Ich stimme zu