Wiki-Quellcode von Kommbox- bzw. TCMS Webserver Zertifikat austauschen
Version 6.4 von Tobias Wintrich am 2021/09/30 10:31
Zeige letzte Bearbeiter
| author | version | line-number | content |
|---|---|---|---|
| 1 | 1. ((( | ||
| 2 | Zertifikat vorbereiten1. | ||
| 3 | |||
| 4 | ((( | ||
| 5 | Wenn kein Zertifikat vorhanden ist, muss ein neues Webserverzertifikat mit dem richtigen Hostname ausgestellt werden. Sollten Sie bereits ein Zertifikat haben, fahren Sie bitte mit Schritt (b) fort. | ||
| 6 | |||
| 7 | 1. Zertifikatsanforderungsdatei erstellen (<FQDN> und <ORGANISATIONS_EINHEIT> sollten hierbei durch Ihre Daten ergänzt werden):((( | ||
| 8 | (% class="auto-cursor-target" %) | ||
| 9 | |||
| 10 | |||
| 11 | {{code language="bash" linenumbers="true"}} | ||
| 12 | openssl req -new -sha1 -newkey rsa:2048 -subj '/CN=<FQDN>/O=<ORGANISATIONS_EINHEIT>' -nodes -keyout mykey.pem -out myreq.pem | ||
| 13 | {{/code}} | ||
| 14 | |||
| 15 | (% class="auto-cursor-target" %) | ||
| 16 | |||
| 17 | ))) | ||
| 18 | 1. ((( | ||
| 19 | myreq.pem mit einem Texteditor öffnen und Inhalt bei einer Zertifizierungsstelle Einreichen. | ||
| 20 | ))) | ||
| 21 | ))) | ||
| 22 | |||
| 23 | 1. ((( | ||
| 24 | (% class="auto-cursor-target" %) | ||
| 25 | Zertifikat und Schlüssel müssen im PEM Format ([[https:~~/~~/serverfault.com/a/9717>>url:https://serverfault.com/a/9717||shape="rect"]]) vorliegen. Über z.B. Firefox ist es möglich ein Zertifikat im PEM Format zu exportieren. CRT Dateien sind meistens bereits im PEM Format. Man erkennt das PEM Format am Header und Footer: | ||
| 26 | |||
| 27 | {{code language="bash" linenumbers="true"}} | ||
| 28 | -----BEGIN RSA PRIVATE KEY----- | ||
| 29 | […] | ||
| 30 | -----END RSA PRIVATE KEY----- | ||
| 31 | -----BEGIN CERTIFICATE----- | ||
| 32 | […] | ||
| 33 | -----END CERTIFICATE----- | ||
| 34 | {{/code}} | ||
| 35 | |||
| 36 | (% class="auto-cursor-target" %) | ||
| 37 | |||
| 38 | ))) | ||
| 39 | 1. Bitte hängen Sie den Inhalt der Schlüsseldatei (z.B. mykey.pem) unten an die Zertifikatsdatei (z.B. mycert.pem) an. | ||
| 40 | ))) | ||
| 41 | 1. ((( | ||
| 42 | Zertifikat auf ThinClient installieren1. Per WinSCP wird die kombinierte PEM Datei auf dem ThinClient zunächst unter /tmp/server.pem abgelegt. Dazu kann der admin User {{status title="kommbox"/}} → {{status title="BENUTZER-KONIFGURATION"/}} → {{status title="ROOT-TERMINAL-PASSWORT"/}} genutzt werden. | ||
| 43 | |||
| 44 | 1. ((( | ||
| 45 | Nun verbindet man sich per SSH mit dem admin User auf den ThinClient/TCMS und holt sich Superuser (root) Rechte | ||
| 46 | |||
| 47 | {{code language="bash" linenumbers="true"}} | ||
| 48 | sudo -i | ||
| 49 | {{/code}} | ||
| 50 | |||
| 51 | (% class="auto-cursor-target" %) | ||
| 52 | |||
| 53 | ))) | ||
| 54 | 1. ((( | ||
| 55 | (% class="auto-cursor-target" %) | ||
| 56 | Die Dateiberechtigungen werden wie folgt gesetzt: | ||
| 57 | |||
| 58 | {{code language="bash" linenumbers="true"}} | ||
| 59 | chown root:root /tmp/server.pem | ||
| 60 | chmod 0600 /tmp/server.pem | ||
| 61 | {{/code}} | ||
| 62 | |||
| 63 | (% class="auto-cursor-target" %) | ||
| 64 | |||
| 65 | ))) | ||
| 66 | 1. Die pem an die richtige Stelle kopieren:((( | ||
| 67 | (% class="auto-cursor-target" %) | ||
| 68 | **Firmware 10.00 / 10.01** | ||
| 69 | |||
| 70 | {{code language="bash" linenumbers="true"}} | ||
| 71 | cp /tmp/server.pem /mnt/config.local/server.pem | ||
| 72 | {{/code}} | ||
| 73 | |||
| 74 | (% class="auto-cursor-target" %) | ||
| 75 | **Firmware 11.00** | ||
| 76 | |||
| 77 | {{code language="bash" linenumbers="true"}} | ||
| 78 | cp /tmp/server.pem /mnt/config/server.pem | ||
| 79 | {{/code}} | ||
| 80 | |||
| 81 | (% class="auto-cursor-target" %) | ||
| 82 | |||
| 83 | ))) | ||
| 84 | ))) | ||
| 85 | 1. Thin Client neustarten |