Skip to Content
Last modified by Tobias Wintrich on 2022/11/28 11:29
From version 7.1
edited by Tobias Wintrich
on 2022/11/28 09:35
Change comment: There is no comment for this version
To version 8.1
edited by Tobias Wintrich
on 2022/11/28 10:56
Change comment: There is no comment for this version

Summary

Details

Page properties
Content
... ... @@ -6,9 +6,9 @@
6 6  In beiden Fällen muss das Zertifikat anschließend in die Passende Form (Base64-codierte) gebracht werden.
7 7  
8 8  {{info}}
9 -Die in dieser Anleitung verwendeten "openssl" Befehle können generell auf jedem PC mit installiertem openssl ausgeführt werden. Sie können, müssen aber nicht auf Thin Client Seite ausgeführt werden. Wenn Sie die Befehle direkt auf dem RangeeOS ausführen nöchten, benötigen Sie entsprechenden Root Zugriff und Tools für den Dateitransfer zum und vom Thin Client.
9 +Die in dieser Anleitung verwendeten "openssl" Befehle können generell auf jedem PC mit installiertem openssl ausgeführt werden. Sie können, müssen aber nicht auf Thin Client Seite ausgeführt werden. Wenn Sie die Befehle direkt auf dem RangeeOS ausführen möchten, benötigen Sie entsprechenden Root Zugriff und Tools für den Dateitransfer zum und vom Thin Client.
10 10  
11 -* [[Root-Terminal-Passwort>>doc:Handbuecher.Handbuch11.Kapitel 3 - Administration des Clients.3\.C Benutzereinstellungen.3\.C\.A\. Root-Terminal-Passwort]]
11 +* [[Root-Terminal-Passwort>>doc:Handbuecher.Handbuch11.Kapitel 3 - Administration des Clients.3\.C Benutzereinstellungen.3\.C\.A\. Root-Terminal-Passwort]] | Es wird empfohlen zur potentiellen Fehlerbehandlung ein eigenes, feste Passwort für den Benutzer zu setzen
12 12  * Z.B.: [[WinSCP >>https://winscp.net/eng/download.php]]für den Dateitransfer von Windows zu RangeeOS
13 13  
14 14  In dieser Anleitung werden die Schritte für ein direktes Ausführen der Befehle auf RangeeOS Seite beschrieben.
... ... @@ -17,18 +17,26 @@
17 17  = Zertifikatsanforderungsdatei erstellen =
18 18  
19 19  1. Melden Sie sich als Benutzer "[[admin>>doc:Handbuecher.Handbuch11.Kapitel 3 - Administration des Clients.3\.C Benutzereinstellungen.3\.C\.A\. Root-Terminal-Passwort]]" am Client über ein Terminal ({{status title="STRG"/}} + {{status title="SHIFT"/}} + {{status title="ALT"/}} + {{status title="T"/}}) oder eine SSH Verbindung am RangeeOS an
20 -1. Passen Sie den Paramter "subj" des folgendes Befehls nach Ihren Anforderungen an und führen Sie Ihn auf dem Gerät aus:{{code language="bash"}}sudo openssl req -newkey rsa:4096 -sha256 -keyout key.pem -out req.pem -subj "/C=DE/ST=Bundesland/L=Stadt/O=Einrichtung/OU=Abteilung/OU=Team/CN=<FQDN>" -addext "subjectAltName = IP:<IP>"{{/code}}
20 +1. Passen Sie die Parameter des folgendes Befehls nach Ihren Anforderungen an und führen Sie Ihn auf dem Gerät aus:{{code language="bash"}}openssl req -newkey rsa:4096 -sha256 -keyout key.pem -out req.pem \
21 +-subj "/C=DE/ST=Bundesland/L=Stadt/O=Einrichtung/OU=Abteilung/OU=Team/CN=<FQDN>" \
22 +-addext "subjectAltName = DNS:<DNS>,IP:<IP>"{{/code}}
21 21  1*. **C/ST/L/O/OU**
22 22  Optional und Frei wählbar
23 23  1*. **<FQDN>**:
24 24  der Hostname unter dem das RangeeOS später angesprochen werden soll
27 +1*. **<DNS>:**
28 +Hostname des TCMS für die das Zertifikat gültig sein soll.
25 25  1*. **<IP>:**
26 -Optional. IP des TCMS für die das Zertifikat gültig sein soll. Wenn die IP nicht Teil des Zertifikats sein soll, kann alles inkl. "//-addext//" entfert werden
30 +Optional. IP des TCMS für die das Zertifikat gültig sein soll. Wenn die IP nicht Teil des Zertifikats sein soll entfernen Sie den entsprechenden Bereich
31 +1*. Beispiel eines vollständigen Befehls:
32 +{{code language="bash"}}openssl req -newkey rsa:4096 -sha256 -keyout key.pem -out req.pem \
33 +-subj "/C=DE/ST=NRW/L=Aachen/O=Rangee/OU=Support/OU=Zertifikatstest/CN=tc-b0416f05c363.rangee.local" \
34 +-addext "subjectAltName = DNS:tc-b0416f05c363.rangee.local,IP:192.168.50.29"{{/code}}
27 27  1. Vergeben Sie nach Absenden des Befehls ein Kennwort für Ihren Private Key (min. 4 Zeichen)
28 -1. Da der Private key für das Serverzertifikat ohne Passwort benötigt wird, müssen Sie das Passwort anschließend mit diesem Befehl entfernen:
29 -{{code language="bash"}}sudo openssl rsa -in key.pem -out key.pem{{/code}}
30 -1. Verbinden Sie sich mit "WinSCP" und den "admin" Zugangsdaten zum Client und laden Sie die Anforderungsdatei "/tmp/req.pem" und "/tmp/key.pem" herunter.
31 -1. Reichen Sie die Datei req.pem bei einer beliebigen Zertifizierungsstelle ein. Wenn Sie die Option haben, lassen Sie sich hier dierekt ein Base64 codiertes Zertifikat erstellen. Sobald Sie das Zertifikat haben, fahren Sie mit dem nächsten Schritt fort.
36 +1. Da der Private Key für das Serverzertifikat ohne Passwort benötigt wird, müssen Sie das Passwort anschließend mit diesem Befehl entfernen:
37 +{{code language="bash"}}openssl rsa -in key.pem -out key.pem{{/code}}
38 +1. Verbinden Sie sich mit "WinSCP" und den "admin" Zugangsdaten zum Client und laden Sie die Anforderungsdatei "///tmp/req.pem//" und "///tmp/key.pem//" herunter.
39 +1. Reichen Sie die Datei req.pem bei einer beliebigen Zertifizierungsstelle ein. Wenn Sie die Option haben, lassen Sie sich hier direkt ein Base64 codiertes Zertifikat erstellen. Sobald Sie das Zertifikat haben, fahren Sie mit dem nächsten Schritt fort.
32 32  
33 33  = Importieren eines Zertifikats =
34 34  
... ... @@ -42,6 +42,8 @@
42 42  {{code language="bash"}}-----BEGIN CERTIFICATE-----
43 43  […]
44 44  -----END CERTIFICATE-----{{/code}}
53 +Insofern das Zertifikat nicht entsprechend codiert ist, können Sie es über diesen Befehl konvertieren:
54 +{{code language="bash"}}openssl x509 -inform der -in certname.cer -out certname.pem{{/code}}
45 45  
46 46  Lieg Ihnen das Zertifikat und der Private Key in passender Form vor, schreiben Sie den Inhalt beider Zertifikate untereinander in eine Datei "Server.pem" und speichern Sie sie ab:
47 47  {{code language="bash"}}-----BEGIN RSA PRIVATE KEY-----
... ... @@ -54,3 +54,29 @@
54 54  = Zertifikat hochladen =
55 55  
56 56  Das fertige Zertifikat können Sie über die Kommbox unter {{status title="Remote-Administration"/}} -> "Gerätezertifikat hochladen" hochladen. Anschließend ist ein Neustart des RangeeOS notwendig.
67 +
68 +Nach dem Neustart wird Ihnen im Browser das Zertifikat als gültig angezeigt.
69 +
70 += Fehlerbehandlung =
71 +
72 +Wurde das Zertifikat erfolgreich importiert und die Kommbox startet anschließend nicht mehr, können Sie sich über das Terminal / SSH ein neues selbstsigniertes Zertifikat erstellen lassen.
73 +
74 +== Fehlermeldung auslesen ==
75 +
76 +Melden Sie sich auf dem Client an und führen Sie diesen Befehl aus:
77 +
78 +{{code language="bash"}}
79 +sudo /usr/sbin/lighttpd -D -f /etc/lighttpd/lighttpd.conf
80 +{{/code}}
81 +
82 +Notieren Sie sich die Ausgabe und senden Sie uns an unseren Support
83 +
84 +== Zertifikat neu generieren ==
85 +
86 +Führen Sie zum neu generieren diesen Befehl aus:
87 +
88 +{{code language="bash"}}
89 +sudo rangee system:certificate:generate -f
90 +{{/code}}
91 +
92 +Nach einem erneuten Neustart ist die Kommbox wieder erreichbar.