SSL Zertifikate: Unterschied zwischen den Versionen

Aus Gemini-Wiki
Zur Navigation springen Zur Suche springen
K (Mfgeg verschob Seite SSL Webif Zugriff nach SSL Zertifikate, ohne dabei eine Weiterleitung anzulegen)
 
(10 dazwischenliegende Versionen von 6 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
3c5x9 hat uns Support für die verschlüsselte Übertragung via SSL in das WebInterface eingebaut.
+
{{Achtung|Bei aktuellen Enigma2 Images müssen keine eigenen Zertifikate mehr erstellt werden. Das [[Webinterface]] erstellt seit der Version '''1.7.0''' beim ersten Start, oder bei nicht vorhanden sein der Zertifikate, selbst neue. So hat ihr immer eindeutige Zertifikate auf euren Dreamboxen.}}
Es ist nur möglich, auf Port einzelnt die Verschlüsselung einzuschalten und damit die Verbindung über das Internet zu sichern. Passwörter, sensible Dokumente oder Daten werden damit nicht mehr in Klartext durch das internet bertragen.
+
[[Bild:Erweiterungen-Webinterface-Enigma2.png|right|thumb|400px|HTTPS Einstellungen für das Webinterface]]
 +
3c5x9 hat uns Support für die '''verschlüsselte Übertragung via SSL''' in das WebInterface eingebaut.
 +
Es ist nun möglich, auf Ports einzeln die Verschlüsselung einzuschalten und damit die Verbindung über das Internet zu sichern. Passwörter, sensible Dokumente oder Daten werden damit nicht mehr in Klartext durch das Internet übertragen.
  
[[Bild:Spiele_Erweiterung-Enigma2.jpg|left|thumb|300px|]]
+
'''ACHTUNG:''' Benutzt wird dazu OpenSSL und selbsignierte SSL Zertifikate. Dieses Zertifikat kann durchaus so benutzt werden, '''es ist aber empfohlen dieses durch ein selbst Erstelltes zu ersetzen'''. Die Benutzung eines öffendlichen Private Key (öffentlich, weil es im CVS liegt) ermöglicht es potenziellen Angreifern das Nachbauen der Verschlüsselung und somit das Mitlesen der Daten.
[[Bild:Erweiterungen-Webinterface-Enigma2.jpg|left|thumb|350px|]]
 
<br style="clear:both;" />
 
  
In diesem Beispiel wurde ein SSL Interface mit Passwortabfrage hinzugefügt
+
Um ein eigenes Zertifikat zu erstellen, findet ihr [http://www.i-have-a-dreambox.com/wbb2/thread.php?threadid=92216&hilight=SSL hier] ein Script. Dies funktioniert unter Linux, in dem OpenSSL installiert sein muss. Es erstellt die Dateien server.pem und cacert.pem. Die server.pem enthält dabei den sog. Privatekey und sollte unter Verschluss gehalten werden und nicht weiter gegeben werden. Die Dateien müssen dann beide nach /etc/enigma2/ kopiert werden und die dort vorhandenen ersetzt werden.
  
[[Bild:Erweiterungen-Webinterface1-Enigma2.jpg|left|thumb|350px|]][[Bild:Erweiterungen-Webinterface2-Enigma2.jpg|left|thumb|350px|]]
+
Da es ein selbst signiertes Zertifikat ist, meckern die Browser über ein nicht vertrauenwürdes Zertifikat. Das liegt daran, dass das Zertifikat nicht von einer sicheren Stelle überprüft wurde. Um sich mit der Box verbinden zu können, müsst ihr das Zertifikat im Browser manuell hinzufügen. Firefox bietet dies in der entsprechenden Fehlermeldung von sich aus an. IE- oder Opera-Nutzer müssten gucken wie das bei ihnen funktioniert.
  
 +
== Linux Script zum generieren eines eigenen SSL-Zertifikat ==
 +
<syntaxhighlight>
 +
#!/bin/sh
 +
###############################
 +
# script to generatate a self signed ssl certificate
 +
###############################
 +
openssl req -new > server.cert.csr
 +
openssl rsa -in privkey.pem -out server.cert.key
 +
openssl x509 -in server.cert.csr -out server.cert.crt  -req -signkey server.cert.key -days 9000
 +
cat server.cert.key server.cert.crt > server.pem
 +
cat server.cert.crt > cacert.pem
 +
mkdir ./generatedCERT
 +
mv server.pem ./generatedCERT/
 +
mv cacert.pem ./generatedCERT/
 +
echo 'new certificate is stored in ./generatedCERT/'
 +
echo 'copy server.pem and cacert.pem to /etc/enigma2/'
 +
</syntaxhighlight>
  
 +
Eine Anmerkung: Falls openssl bei Generieren des Zertifikates beim 3. Befehl (mit x509) einen Fehler ausgibt, muss die Anzahl der Tage verringert werden. Der Stichtag für den Überlauf der Variablen ist im Jahr 2036 und die Anzahl der Tage darf nicht größer sein als bis zu diesem Stichtag.
  
 +
Falls auf der Dreambox OpenVPN installiert ist, sollte dieses Script 1:1 auf der Dreambox laufen.
  
 +
{{Achtung|Nach Generierung der Zertifikatsdateien müssen die Dateien <code>server.pem</code> und <code>cacert.pem</code> in den Ordner <code>/etc/enigma2</code> auf der betreffenden Dreambox kopiert werden. Der Rest der Dateien wird nicht benötigt.}}
  
 
+
[[Kategorie:Anleitungen]]
 
+
[[Kategorie:Enigma2]]
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Benutzt wird dazu OpenSSL und selbsignierte SSL Zertifikate. Dieses Zertifikat kann durchaus so benutzt werden, es ist aber empfohlen dieses durch ein selbst Erstelltes zu ersetzen. Die Benutzung eines öffendlichen Private Key (öffentlich, weil es im CVS liegt) ermöglicht es potenziellen Angreifern das nachbauen der Verschlüsselung und somit das mitlesen der Daten.
 
 
 
Um ein eigenes Zertifikat zu erstellen, findet ihr [http://www.i-have-a-dreambox.com/wbb2/thread.php?threadid=92216&hilight=SSL hier] ein Script. Dies funktioniert unter Linux, in dem OpenSSL installiert sein muss. Es erstellt die Dateien server.pem und cacert.pem . Die server.pem enthält dabei den sog. Privatekey und sollte unter Verschluss gehalten werden und nicht weiter gegeben werden. Die Dateien müssen dann beide nach /etc/enigma2/ kopiert werden und die dort vorhandenen ersetzten.
 
 
 
Da es ein selbst signiertes Zertifikat ist, meckern die Browser über ein nicht vertrauenwürdes Zertifikat.Das liegt dadran, das das Zertifikat nicht von einer sicheren Stelle überprüft wurde. Um sich mit der Box verbinden zu können, müsst ihr das Zertifikat im Browser manuell hinzufügen. Firefox bietet dies in der entsprechenden Fehlermeldung von sich aus an... IE oder Opera Nutzer müssten gucken wie das bei Ihnen funktioniert.
 

Aktuelle Version vom 7. Juni 2014, 17:51 Uhr

Ambox attention.png Bei aktuellen Enigma2 Images müssen keine eigenen Zertifikate mehr erstellt werden. Das Webinterface erstellt seit der Version 1.7.0 beim ersten Start, oder bei nicht vorhanden sein der Zertifikate, selbst neue. So hat ihr immer eindeutige Zertifikate auf euren Dreamboxen.
HTTPS Einstellungen für das Webinterface

3c5x9 hat uns Support für die verschlüsselte Übertragung via SSL in das WebInterface eingebaut. Es ist nun möglich, auf Ports einzeln die Verschlüsselung einzuschalten und damit die Verbindung über das Internet zu sichern. Passwörter, sensible Dokumente oder Daten werden damit nicht mehr in Klartext durch das Internet übertragen.

ACHTUNG: Benutzt wird dazu OpenSSL und selbsignierte SSL Zertifikate. Dieses Zertifikat kann durchaus so benutzt werden, es ist aber empfohlen dieses durch ein selbst Erstelltes zu ersetzen. Die Benutzung eines öffendlichen Private Key (öffentlich, weil es im CVS liegt) ermöglicht es potenziellen Angreifern das Nachbauen der Verschlüsselung und somit das Mitlesen der Daten.

Um ein eigenes Zertifikat zu erstellen, findet ihr hier ein Script. Dies funktioniert unter Linux, in dem OpenSSL installiert sein muss. Es erstellt die Dateien server.pem und cacert.pem. Die server.pem enthält dabei den sog. Privatekey und sollte unter Verschluss gehalten werden und nicht weiter gegeben werden. Die Dateien müssen dann beide nach /etc/enigma2/ kopiert werden und die dort vorhandenen ersetzt werden.

Da es ein selbst signiertes Zertifikat ist, meckern die Browser über ein nicht vertrauenwürdes Zertifikat. Das liegt daran, dass das Zertifikat nicht von einer sicheren Stelle überprüft wurde. Um sich mit der Box verbinden zu können, müsst ihr das Zertifikat im Browser manuell hinzufügen. Firefox bietet dies in der entsprechenden Fehlermeldung von sich aus an. IE- oder Opera-Nutzer müssten gucken wie das bei ihnen funktioniert.

Linux Script zum generieren eines eigenen SSL-Zertifikat

#!/bin/sh
###############################
# script to generatate a self signed ssl certificate
###############################
openssl req -new > server.cert.csr
openssl rsa -in privkey.pem -out server.cert.key
openssl x509 -in server.cert.csr -out server.cert.crt  -req -signkey server.cert.key -days 9000
cat server.cert.key server.cert.crt > server.pem
cat server.cert.crt > cacert.pem
mkdir ./generatedCERT
mv server.pem ./generatedCERT/
mv cacert.pem ./generatedCERT/
echo 'new certificate is stored in ./generatedCERT/'
echo 'copy server.pem and cacert.pem to /etc/enigma2/'

Eine Anmerkung: Falls openssl bei Generieren des Zertifikates beim 3. Befehl (mit x509) einen Fehler ausgibt, muss die Anzahl der Tage verringert werden. Der Stichtag für den Überlauf der Variablen ist im Jahr 2036 und die Anzahl der Tage darf nicht größer sein als bis zu diesem Stichtag.

Falls auf der Dreambox OpenVPN installiert ist, sollte dieses Script 1:1 auf der Dreambox laufen.

Ambox attention.png Nach Generierung der Zertifikatsdateien müssen die Dateien server.pem und cacert.pem in den Ordner /etc/enigma2 auf der betreffenden Dreambox kopiert werden. Der Rest der Dateien wird nicht benötigt.