SSL-Zertifikat bestellen und in IP-Symcon einrichten

Die Anleitung setzt vorraus, dass ihr eine gültige Domain besitzt und diese bereits korrekt eingerichtet habt, sodass IP-Symcon darauf per https erreichbar ist und nur noch eine Fehlermeldung kommt, dass ihr kein gültiges Zertifiktat besitzt.

Um ein Zertifikat zu bestellen, muss vorher ein CSR (Certificate Signing Request) erstellt werden. OpenSSL wird benötigt (Download), um den folgenden Schritt in der Kommandozeile auszuführen. Dabei ist 12345 durch die fünstellige ID eures SSL aktivierten WebServers zu ersetzen.


openssl req -nodes -newkey rsa:2048 -keyout 12345.key -out 12345.csr

Wenn die FQDN abgefragt wird, ist die vollständige Domain mit der ggf. gewünschten Subdomain anzugeben!

Der Inhalt der csr-Datei wird zum Anbieter eures SSL-Zertifikates gesendet, welcher euch dann das passende SSL-Zertifikat erstellt und normalerweise an eure E-Mail zusendet. Wie genau der Ablauf ist, hängt von eurem Anbieter ab. Sobald ihr die E-Mail von eurem Anbieter bekommen habt, könnt ihr die dort enthaltene .cer oder .crt Datei in 12345.cer umbenennen und zusammen mit der 12345.key in den IP-Symcon\cert Ordner kopieren, wobei 12435 wieder die ID eures WebServers ist, bei dem ihr SSL aktivert habt.

Alternativ, um Probleme bei alten mobilen Browsern zu vermeiden, könnt ihr auch eine .pem Datei erstellen, welche die Zertifikatskette (CA-Bundle) enthält. Als Beispiel habe ich die Zertifikatskette von Comodo erstellt und hier angehängt, welche ich für mein Zertifikat genutzt habe.

Zum Schluss müsst ihr den IP-Symcon Dienst beenden und wieder starten.
Danach könnt ihr auf Qualys SSL Labs gehen und die Sicherheit eures IP-Symcon Servers begutachten.

Werbung:

[ul]
[li]Ich habe ein PositiveSSL Zertifikat von Comodo für 5€/Jahr bei 3 Jahren Laufzeit bestellt. (Comodo PositiveSSL Certificates. Positive SSL from $4.99/year)[/li][/ul]

12345.zip (3.92 KB)

Blöde Frage : wo finde ich die fünfstellige ID meines IP Symcon Webservers ?

OK Hat sich erledigt, die ID ist in der URL zu sehen

Nein, das ist die des Konfigurators. Der WebServer ist unter Kern Instanzen. Dort wo du SSL aktivierst :wink:

paresy

Bildschirmfoto 2015-05-26 um 18.03.21.png

Dann habe ich gerade mal ~15 USD „gespendet“ (keine Sorge ich werde es überleben :slight_smile: )
By the way der SSL Dienst (SSLS.COM) verschickt das Zertifikat an eine E-Mail Adresse des FQDN. Mein DYNDNS lässt keine E-Mails Weiterleitung / Abfrage zu ! mit dem Ergebnis das ich das Zertifikat nicht zugeschickt bekomme :frowning:

Wenn man eine Domain hat, sollte man schon dafür sorgen das Mails an diese Domain irgendwo landen. Dafür gibt es die MX-Einträge. Meine zeigen auch auf eine andere Adresse wo der Mailserver dranhängt.
Das muss ja nicht gleich mit dem Cname sein, wo deine Dyndns Adresse eingetragen ist.
Michael

Das stimmt nur bedingt. Ich habe eine (public) Domain und dafür gibt es auch einen MX Record und eine Mailbox.
Meine externe Webseite für meine Hausautomatisierung ist allerdings alles andere als PUBLIC !!!
Den DYNDNS Namen nutze ich nur privat und auch nur weil ich keine statische IP Adresse habe. Ich will definitiv nicht das Mails an diese Domain geschickt werden :slight_smile: außer natürlich der Mail mit dem Zertifikat :frowning: aber halt nur die und sonst keine

Man muss das halt alles mit Humor nehmen und basteln heißt halt auch aus Fehlern zu lernen und ich werde das mit dem Zertifikat schon hinbekommen … irgendwann

Ich habe bei mir home.meindomain.de an meine DynDNS Adresse per CNAME weitergeleitet und dann dafür das Zertifikat gekauft. Die Mails werden dann an webmaster@meinedomain.de geschickt, welche wiederrum kurzfristig an mich weitergeleitet wurden :smiley:

Aber du könntest ja kurz einen MailServer aufsetzen, um die Mail zu empfangen :eek:

paresy

Irgendwas muss ich falsch gemacht haben. Nachdem ich den neuen Key und das Zertifikat installiert habe startet mein Webserver nicht mehr und zeigt die folgende Fehlermeldung :

Irgendeine Idee was das sein kann ?

Schön das ich hier nicht alleine bin. Versuche es schon eine geraume Zeit.

Mein Zertifikat kommt von startssl

Hallo,

Bitte mal die Dateiendung vom Zertifikat prüfen, das Zertifikat muss die endung CER default typ ist CRT… (einfach umbenennen :wink: )
und das intermediate Zertifikat muss die endung PEM haben …

Grüsse

Dave

und bitte sicherstellen das das Zertifikat als „Apache 2“ bestellt worden ist :slight_smile:
wenn ihr es für einen Windows IIS Bestellt habt müsst ihr das Zertifikat konvertieren…

Danke.

Das Ändern der Dateiendung von CRT nach CER war es.

Kaum zu glauben.

Nochmals Danke.

Sehr gut :slight_smile: freut mich

Ich habe die Keys überprüft und sie sind in der Tat unterschiedlich, keine Ahnung warum.

Ich habe jetzt ein neues Zertifikat beantragt das leider erst am Montag ausgestellt wird :frowning: (Die Jungs müssen irgendwas überprüfen obwohl ich mittlerweile Mails auf meine FQDN erhalte und die Eigentümerschaft der FQDN über den validation code bestätigen kann )

Verstehen muss man das jetzt nicht unbedingt,

ich war sicher das meine Keys falsch sind (Das Tool vom SSL provider sagt das zumindest) aber nachdem ich mein neues Zertifikat erst am Montag bekommen habe ich den Tipp mit der File Extension umgesetzt und unglaublich aber wahr ES FUNKTIONIERT !

Herzlichen Dank

Ist aber auch eine schwer einzuschätzende Fehlermeldung.

Ich habe mich seit Tagen damit gespielt und den Key encrypted, neue Zertifikate erstellt und und und.

@paresy: Kann man an der Fehlermeldung vielleicht etwas machen.

Wenn statt der CER eine CRT da ist sollte IPS doch so schlau sein und das fehlen einer CER reklamieren.

Finde die Idee gut. Werde dort mal ein paar bessere Prüfungen einbauen!

paresy

Ist im nächsten Update dabei!

paresy

Top.

Macht die Sache sicherlich einfacher.

Gute Verbesserung