Zertifikatsmanagement / Selbstsigniertes Zertifikat löschen

Guten Abend,

die erste Installation der Pascom 18 um diese zu erforschen war nicht ganz an die Dokumentation angelehnt. Habe natürlich auf die private IP ein “selbstsigniertes Zertifikat” aufgesetzt. Dieses wird seit der Erstellung und Erstinbetriebnahme der Pascom ausgeliefert und verursacht die bekannte Fehlermeldung “ungültiges Zertifikat”. Mann kann dieses natürlich als “Ausnahme” hinzufügen, bekommt aber auf Dauer keine Ruhe. In der Regel blocken “businessfirewalls” websites, die ungültige bzw. selbstsignierte Zertifikate aufweisen.

Gibt es eine Möglichkeit über den Support den Zertifikatsspeicher zurückzusetzen? Habe schon alles mögliche versucht. Auch div. Neuinstallationen bringen natürlich nichts. Habe auch schon mit einem eigenen Zertifikat das Problemzertifikat als Defaultzertifikat abzulösen. Auch die Erzeugung des Letsencrypt Zertifikats löst das Problem nicht.

Würde mir für meinen FQDN gerne nach Löschung der Zertifikate ein neues generieren. Wäre Super, wenn dies klappen würde.

Danke für die Unterstützung.

Gruß Uwe

Guten Morgen,

es gibt keinen Zertifikatsspeicher oder dergleichen. Die pascom 18 kennt 3 verschiedene Modi was Zertifikate in einer Schnittstelle betrifft:

  1. Self Signed
  2. Hoch geladenes Zertifikat
  3. Let’s encrypt

Die Modi 3 und 2 machen einen Fallback auf Self Signed falls diverse Validierungen fehlschlagen. Leider wird dieser Umstand in der UI noch nicht dargestellt. Wenn man also z.B. auf Let’s encrypt stellt und etwa die Firewall nicht richtig konfiguriert haben, so endet man wieder bei dem Self Signed Zertifikat.

Wo kommt denn dein FQDN her? Let’s encrypt funktioniert nur mit “echten” Internet Domains.
Hast Du die entsprechenden Ports 80 und 443 in Deinem Router korrekt eingerichtet?

Debuggen kann man hier in einfach so:

  1. per ssh an dem System anmelden
  2. lxc-attach -n ifensXXX (je nach Schnittstelle)
  3. journalctl -u certmanager

Der letzte Befehl zeigt die Logs unseres Zertifikatsmanagers an. Du kannst mit “journalctl -fu certmanager” auch in einen Modus schalten, der das Log fortlaufend anzeigt und dann gleichzeitig in der Ui schalten.
Sollte die Schnittstelle neu starten, so musst Du anschliessend wieder mit lxc-attach drauf gehen.

Hoffe das hilft Dir.

Lg,

Thomas

Hallo Thomas,

vielen Dank für die ausführliche Nachricht. Das bringt schon ein gewisses Licht ins dunkle. Zumindest ist nun klar, warum ich immer beim Self Signed Zertifikat lande.

Den FQDN habe ich durch einen A Record Eintrag in der Domain erstellt und somit die Subdomain generiert. Die Subdomain ist auch pingbar und funktioniert definitiv. Bisher hatte ich diese allerdings mit einem eigenen Zertifikat betrieben, dieses ist aber leider vor kurzem abgelaufen.

Deswegen bietet sich Let´s encrypt natürlich bestens an.
Die Port 80 und 443 sind auch die IP der Anlage weitergeleitet. Das hat schon immer funktioniert. Habe die Forwardings auch gestern nochmal geprüft. Da passt alles.

Werde heute Abend mal das dubugging durchführen und berichten.

Danke nochmal.

Gruß Uwe

Hallo Thomas und Uwe,

gibt es eine Anfängeranleitung für Zertifikate? Ich habe meine Telefonanlage installiert aber das Zertifikat fehlt mir.

Hallo @ipan,

ein Howto für die Einrichtung mit Let’s Encrypt Zertifikaten findest du in der Dokumentation [Howto - Mobile Access].

Gruß,
Rapha

Hallo @rapha, danke erst erst einmal, hast du auch eine Anleitung wie ich den Domainnamen für die externe IP-Adresse des Internetzuganges einrichte?

Hallo @ipan,

dafür bedarf es ja einiger Rahmenbedingungen, die völlig losgelöst von der Pascom zu erfüllen sind.

  1. eine feste IP von Deinem Internetprovider
  2. eine bereits registrierte Domain
  3. Zugriff auf den DNS-Server der Domain aus Pkt. 2

Wenn 1 und 2 erfüllt sind, kannst Du entweder im DNS manuell einen DNS-A-Eintrag erstellen für einen Sub-Domain-Namen wie z.B. tel.meine-tolle-domain.de erstellen, der dann auf Deine feste IP verweist oder bei einigen Hostern auch über die Funktion “Sub-Domain erstellen” die notwendigen Einstellungen vornehmen.

Erst wenn das alles erfüllt ist, kannst Du Dich mit dem Ausstellen von FQDN-Zertifikaten auseinander setzen.

LG
Michael