Wiki-Quellcode von Kommbox- bzw. TCMS Webserver Zertifikat austauschen
Version 4.3 von tobias am 2021/09/17 13:36
Zeige letzte Bearbeiter
| author | version | line-number | content |
|---|---|---|---|
| 1 | 1. ((( | ||
| 2 | Zertifikat vorbereiten1. ((( | ||
| 3 | Wenn kein Zertifikat vorhanden ist, muss ein neues Webserverzertifikat mit dem richtigen Hostname ausgestellt werden. Sollten Sie bereits ein Zertifikat haben, fahren Sie bitte mit Schritt (b) fort. | ||
| 4 | 1. Zertifikatsanforderungsdatei erstellen (<FQDN> und <ORGANISATIONS_EINHEIT> sollten hierbei durch Ihre Daten ergänzt werden):((( | ||
| 5 | (% class="auto-cursor-target" %) | ||
| 6 | \\ | ||
| 7 | |||
| 8 | {{code language="bash" linenumbers="true"}} | ||
| 9 | openssl req -new -sha1 -newkey rsa:2048 -subj '/CN=<FQDN>/O=<ORGANISATIONS_EINHEIT>' -nodes -keyout mykey.pem -out myreq.pem | ||
| 10 | {{/code}} | ||
| 11 | |||
| 12 | (% class="auto-cursor-target" %) | ||
| 13 | \\ | ||
| 14 | ))) | ||
| 15 | 1. ((( | ||
| 16 | myreq.pem mit einem Texteditor öffnen und Inhalt bei einer Zertifizierungsstelle Einreichen. | ||
| 17 | ))) | ||
| 18 | ))) | ||
| 19 | 1. ((( | ||
| 20 | (% class="auto-cursor-target" %) | ||
| 21 | Zertifikat und Schlüssel müssen im PEM Format ([[https:~~/~~/serverfault.com/a/9717>>url:https://serverfault.com/a/9717||shape="rect"]]) vorliegen. Über z.B. Firefox ist es möglich ein Zertifikat im PEM Format zu exportieren. CRT Dateien sind meistens bereits im PEM Format. Man erkennt das PEM Format am Header und Footer: | ||
| 22 | |||
| 23 | {{code language="bash" linenumbers="true"}} | ||
| 24 | -----BEGIN RSA PRIVATE KEY----- | ||
| 25 | […] | ||
| 26 | -----END RSA PRIVATE KEY----- | ||
| 27 | -----BEGIN CERTIFICATE----- | ||
| 28 | […] | ||
| 29 | -----END CERTIFICATE----- | ||
| 30 | {{/code}} | ||
| 31 | |||
| 32 | (% class="auto-cursor-target" %) | ||
| 33 | \\ | ||
| 34 | ))) | ||
| 35 | 1. Bitte hängen Sie den Inhalt der Schlüsseldatei (z.B. mykey.pem) unten an die Zertifikatsdatei (z.B. mycert.pem) an. | ||
| 36 | ))) | ||
| 37 | 1. ((( | ||
| 38 | Zertifikat auf ThinClient installieren1. Per WinSCP wird die kombinierte PEM Datei auf dem ThinClient zunächst unter /tmp/server.pem abgelegt. Dazu kann der admin User {{status title="Kommbox"/}} → {{status title="Benutzer-Konifguration"/}} → {{status title="ROOT-TERMINAL-PASSWORT"/}} genutzt werden. | ||
| 39 | 1. ((( | ||
| 40 | Nun verbindet man sich per SSH mit dem admin User auf den ThinClient/TCMS und holt sich Superuser (root) Rechte | ||
| 41 | |||
| 42 | {{code language="bash" linenumbers="true"}} | ||
| 43 | sudo -i | ||
| 44 | {{/code}} | ||
| 45 | |||
| 46 | (% class="auto-cursor-target" %) | ||
| 47 | \\ | ||
| 48 | ))) | ||
| 49 | 1. ((( | ||
| 50 | (% class="auto-cursor-target" %) | ||
| 51 | Die Dateiberechtigungen werden wie folgt gesetzt: | ||
| 52 | |||
| 53 | {{code language="bash" linenumbers="true"}} | ||
| 54 | chown root:root /tmp/server.pem | ||
| 55 | chmod 0600 /tmp/server.pem | ||
| 56 | {{/code}} | ||
| 57 | |||
| 58 | (% class="auto-cursor-target" %) | ||
| 59 | \\ | ||
| 60 | ))) | ||
| 61 | 1. Die pem an die richtige Stelle kopieren:((( | ||
| 62 | (% class="auto-cursor-target" %) | ||
| 63 | **Firmware 10.00 / 10.01** | ||
| 64 | |||
| 65 | {{code language="bash" linenumbers="true"}} | ||
| 66 | cp /tmp/server.pem /mnt/config.local/server.pem | ||
| 67 | {{/code}} | ||
| 68 | |||
| 69 | (% class="auto-cursor-target" %) | ||
| 70 | **Firmware 11.00** | ||
| 71 | |||
| 72 | {{code language="bash" linenumbers="true"}} | ||
| 73 | cp /tmp/server.pem /mnt/config/server.pem | ||
| 74 | {{/code}} | ||
| 75 | |||
| 76 | (% class="auto-cursor-target" %) | ||
| 77 | \\ | ||
| 78 | ))) | ||
| 79 | ))) | ||
| 80 | 1. Thin Client neustarten |