Wiki source code of Allgemein - Kommbox- bzw. TCMS Webserver Zertifikat austauschen
Version 7.1 by Tobias Wintrich on 2022/11/28 09:35
Hide last authors
| author | version | line-number | content |
|---|---|---|---|
 |
7.1 | 1 | Das auf einem RangeeOS (mit oder ohne TCMS) verwendete Webserver Zertifikat kann bei Bedarf ausgetauscht werden. Hierzu gibt es grundsätzlich 2 Möglichkeiten: |
| |
5.1 | 2 | |
| |
7.1 | 3 | 1. Es kann auf dem Client eine Zertifikatsanforderungsdatei verwendet und extern signiert werden |
| 4 | 1. Es kann ein vollständig extern generiertes Zertifikat verwendet werden | ||
| |
5.1 | 5 | |
| |
7.1 | 6 | In beiden Fällen muss das Zertifikat anschließend in die Passende Form (Base64-codierte) gebracht werden. |
| |
4.2 | 7 | |
| |
7.1 | 8 | {{info}} |
| 9 | Die in dieser Anleitung verwendeten "openssl" Befehle können generell auf jedem PC mit installiertem openssl ausgeführt werden. Sie können, müssen aber nicht auf Thin Client Seite ausgeführt werden. Wenn Sie die Befehle direkt auf dem RangeeOS ausführen nöchten, benötigen Sie entsprechenden Root Zugriff und Tools für den Dateitransfer zum und vom Thin Client. | ||
| |
4.2 | 10 | |
| |
7.1 | 11 | * [[Root-Terminal-Passwort>>doc:Handbuecher.Handbuch11.Kapitel 3 - Administration des Clients.3\.C Benutzereinstellungen.3\.C\.A\. Root-Terminal-Passwort]] |
| 12 | * Z.B.: [[WinSCP >>https://winscp.net/eng/download.php]]für den Dateitransfer von Windows zu RangeeOS | ||
| |
5.1 | 13 | |
| |
7.1 | 14 | In dieser Anleitung werden die Schritte für ein direktes Ausführen der Befehle auf RangeeOS Seite beschrieben. |
| 15 | {{/info}} | ||
| |
4.2 | 16 | |
| |
7.1 | 17 | = Zertifikatsanforderungsdatei erstellen = |
| |
4.2 | 18 | |
| |
7.1 | 19 | 1. Melden Sie sich als Benutzer "[[admin>>doc:Handbuecher.Handbuch11.Kapitel 3 - Administration des Clients.3\.C Benutzereinstellungen.3\.C\.A\. Root-Terminal-Passwort]]" am Client über ein Terminal ({{status title="STRG"/}} + {{status title="SHIFT"/}} + {{status title="ALT"/}} + {{status title="T"/}}) oder eine SSH Verbindung am RangeeOS an |
| 20 | 1. Passen Sie den Paramter "subj" des folgendes Befehls nach Ihren Anforderungen an und führen Sie Ihn auf dem Gerät aus:{{code language="bash"}}sudo openssl req -newkey rsa:4096 -sha256 -keyout key.pem -out req.pem -subj "/C=DE/ST=Bundesland/L=Stadt/O=Einrichtung/OU=Abteilung/OU=Team/CN=<FQDN>" -addext "subjectAltName = IP:<IP>"{{/code}} | ||
| 21 | 1*. **C/ST/L/O/OU** | ||
| 22 | Optional und Frei wählbar | ||
| 23 | 1*. **<FQDN>**: | ||
| 24 | der Hostname unter dem das RangeeOS später angesprochen werden soll | ||
| 25 | 1*. **<IP>:** | ||
| 26 | Optional. IP des TCMS für die das Zertifikat gültig sein soll. Wenn die IP nicht Teil des Zertifikats sein soll, kann alles inkl. "//-addext//" entfert werden | ||
| 27 | 1. Vergeben Sie nach Absenden des Befehls ein Kennwort für Ihren Private Key (min. 4 Zeichen) | ||
| 28 | 1. Da der Private key für das Serverzertifikat ohne Passwort benötigt wird, müssen Sie das Passwort anschließend mit diesem Befehl entfernen: | ||
| 29 | {{code language="bash"}}sudo openssl rsa -in key.pem -out key.pem{{/code}} | ||
| 30 | 1. Verbinden Sie sich mit "WinSCP" und den "admin" Zugangsdaten zum Client und laden Sie die Anforderungsdatei "/tmp/req.pem" und "/tmp/key.pem" herunter. | ||
| 31 | 1. Reichen Sie die Datei req.pem bei einer beliebigen Zertifizierungsstelle ein. Wenn Sie die Option haben, lassen Sie sich hier dierekt ein Base64 codiertes Zertifikat erstellen. Sobald Sie das Zertifikat haben, fahren Sie mit dem nächsten Schritt fort. | ||
| |
5.1 | 32 | |
| |
7.1 | 33 | = Importieren eines Zertifikats = |
| |
4.2 | 34 | |
| |
7.1 | 35 | Zum importieren des Zertifikats müssen Ihnen sowohl der Private Key und das Ausgestellte Serverzertifikat Base64 codiert vorliegen: |
| |
4.2 | 36 | |
| |
7.1 | 37 | * Falls Sie beides in Form einer kombinierten PFX-Datei haben, müssen Sie die beiden Komponenten zunächst trennen. Hierzu können Sie z.B.: folgende Befehle verwenden: |
| 38 | {{code language="bash"}}sudo openssl pkcs12 -in certname.pfx -nocerts -out key.pem -nodes # Exportiert den Private Key | ||
| 39 | sudo openssl pkcs12 -in certname.pfx -nokeys -out cert.pem # Exportiert das Zertifikat | ||
| 40 | openssl rsa -in key.pem -out key.pem # entfernt das Passwort vom Private Key{{/code}} | ||
| 41 | * Prüfen Sie ob Ihr Zertifikat im Bas64 Format vorliegt. Öffnen Sie es hierzu mit einem beliebigen Text Editor. Das Zertifikat sollte in dieser Form vorliegen: | ||
| 42 | {{code language="bash"}}-----BEGIN CERTIFICATE----- | ||
| 43 | […] | ||
| 44 | -----END CERTIFICATE-----{{/code}} | ||
| |
4.2 | 45 | |
| |
7.1 | 46 | Lieg Ihnen das Zertifikat und der Private Key in passender Form vor, schreiben Sie den Inhalt beider Zertifikate untereinander in eine Datei "Server.pem" und speichern Sie sie ab: |
| 47 | {{code language="bash"}}-----BEGIN RSA PRIVATE KEY----- | ||
| 48 | […] | ||
| 49 | -----END RSA PRIVATE KEY----- | ||
| 50 | -----BEGIN CERTIFICATE----- | ||
| 51 | […] | ||
| 52 | -----END CERTIFICATE-----{{/code}} | ||
| |
4.2 | 53 | |
| |
7.1 | 54 | = Zertifikat hochladen = |
| |
4.2 | 55 | |
| |
7.1 | 56 | Das fertige Zertifikat können Sie über die Kommbox unter {{status title="Remote-Administration"/}} -> "Gerätezertifikat hochladen" hochladen. Anschließend ist ein Neustart des RangeeOS notwendig. |