die erste Installation der Pascom 18 um diese zu erforschen war nicht ganz an die Dokumentation angelehnt. Habe natürlich auf die private IP ein “selbstsigniertes Zertifikat” aufgesetzt. Dieses wird seit der Erstellung und Erstinbetriebnahme der Pascom ausgeliefert und verursacht die bekannte Fehlermeldung “ungültiges Zertifikat”. Mann kann dieses natürlich als “Ausnahme” hinzufügen, bekommt aber auf Dauer keine Ruhe. In der Regel blocken “businessfirewalls” websites, die ungültige bzw. selbstsignierte Zertifikate aufweisen.
Gibt es eine Möglichkeit über den Support den Zertifikatsspeicher zurückzusetzen? Habe schon alles mögliche versucht. Auch div. Neuinstallationen bringen natürlich nichts. Habe auch schon mit einem eigenen Zertifikat das Problemzertifikat als Defaultzertifikat abzulösen. Auch die Erzeugung des Letsencrypt Zertifikats löst das Problem nicht.
Würde mir für meinen FQDN gerne nach Löschung der Zertifikate ein neues generieren. Wäre Super, wenn dies klappen würde.
es gibt keinen Zertifikatsspeicher oder dergleichen. Die pascom 18 kennt 3 verschiedene Modi was Zertifikate in einer Schnittstelle betrifft:
Self Signed
Hoch geladenes Zertifikat
Let’s encrypt
Die Modi 3 und 2 machen einen Fallback auf Self Signed falls diverse Validierungen fehlschlagen. Leider wird dieser Umstand in der UI noch nicht dargestellt. Wenn man also z.B. auf Let’s encrypt stellt und etwa die Firewall nicht richtig konfiguriert haben, so endet man wieder bei dem Self Signed Zertifikat.
Wo kommt denn dein FQDN her? Let’s encrypt funktioniert nur mit “echten” Internet Domains.
Hast Du die entsprechenden Ports 80 und 443 in Deinem Router korrekt eingerichtet?
Debuggen kann man hier in einfach so:
per ssh an dem System anmelden
lxc-attach -n ifensXXX (je nach Schnittstelle)
journalctl -u certmanager
Der letzte Befehl zeigt die Logs unseres Zertifikatsmanagers an. Du kannst mit “journalctl -fu certmanager” auch in einen Modus schalten, der das Log fortlaufend anzeigt und dann gleichzeitig in der Ui schalten.
Sollte die Schnittstelle neu starten, so musst Du anschliessend wieder mit lxc-attach drauf gehen.
vielen Dank für die ausführliche Nachricht. Das bringt schon ein gewisses Licht ins dunkle. Zumindest ist nun klar, warum ich immer beim Self Signed Zertifikat lande.
Den FQDN habe ich durch einen A Record Eintrag in der Domain erstellt und somit die Subdomain generiert. Die Subdomain ist auch pingbar und funktioniert definitiv. Bisher hatte ich diese allerdings mit einem eigenen Zertifikat betrieben, dieses ist aber leider vor kurzem abgelaufen.
Deswegen bietet sich Let´s encrypt natürlich bestens an.
Die Port 80 und 443 sind auch die IP der Anlage weitergeleitet. Das hat schon immer funktioniert. Habe die Forwardings auch gestern nochmal geprüft. Da passt alles.
Werde heute Abend mal das dubugging durchführen und berichten.
dafür bedarf es ja einiger Rahmenbedingungen, die völlig losgelöst von der Pascom zu erfüllen sind.
eine feste IP von Deinem Internetprovider
eine bereits registrierte Domain
Zugriff auf den DNS-Server der Domain aus Pkt. 2
Wenn 1 und 2 erfüllt sind, kannst Du entweder im DNS manuell einen DNS-A-Eintrag erstellen für einen Sub-Domain-Namen wie z.B. tel.meine-tolle-domain.de erstellen, der dann auf Deine feste IP verweist oder bei einigen Hostern auch über die Funktion “Sub-Domain erstellen” die notwendigen Einstellungen vornehmen.
Erst wenn das alles erfüllt ist, kannst Du Dich mit dem Ausstellen von FQDN-Zertifikaten auseinander setzen.