Author Topic: HILFE! Wie kann ich ein offizelles StartSSL- Zertifikat einbinden  (Read 5238 times)

mb-wh

  • Zen Apprentice
  • *
  • Posts: 8
  • Karma: +0/-0
    • View Profile
Hallo zusammen,
ich habe schon nach diesem Problem gesucht, aber irgendwie bin ich zu keinen Ergebnis gekommen.

Kann mir jemand sagen, wie ich ein offizielles Zertifikat einspielen kann?

Vielen Dank!

Gruß
Michael

Nnik-nbg

  • Zen Apprentice
  • *
  • Posts: 9
  • Karma: +0/-0
  • FanaticsIT
    • View Profile
Re: HILFE! Wie kann ich ein offizelles StartSSL- Zertifikat einbinden
« Reply #1 on: April 13, 2016, 11:15:42 am »
Hi Michael,
Ich denke mal du hast schon probiert, das Zertifikat über das Web-Frontend zu laden?



mb-wh

  • Zen Apprentice
  • *
  • Posts: 8
  • Karma: +0/-0
    • View Profile
Re: HILFE! Wie kann ich ein offizelles StartSSL- Zertifikat einbinden
« Reply #2 on: April 13, 2016, 12:08:48 pm »
Ja, aber man kann ja keines importieren, oder doch?

Ich habe zumindest nichts gefunden zum importieren.

Gruß
Michael

mb-wh

  • Zen Apprentice
  • *
  • Posts: 8
  • Karma: +0/-0
    • View Profile
Re: HILFE! Wie kann ich ein offizelles StartSSL- Zertifikat einbinden
« Reply #3 on: April 17, 2016, 10:25:26 am »
Guten Morgen zusammen,

da sich ja sonst keiner meldet, scheint das entweder keinen zu stören, oder es weiß niemand etwas.
Es gibt ja diesen Forumseintrag.

https://wiki.zentyal.org/wiki/Zarafa_Setup_with_Outlook_Thunderbird_Sync

Leider bezieht sich dies auf die ältere Version von zentyal.
Hat jemand von euch eine Ahnung ob das eventuell mit ein paar Änderungen gehen könnte?

Danke und Gruß
Michael

roswitina

  • Zen Apprentice
  • *
  • Posts: 48
  • Karma: +1/-0
    • View Profile
Re: HILFE! Wie kann ich ein offizelles StartSSL- Zertifikat einbinden
« Reply #4 on: April 18, 2016, 03:56:48 pm »
Kennst du diesen Beitrag --> https://forum.zentyal.org/index.php?topic=24513.0 ?

Rosi

mb-wh

  • Zen Apprentice
  • *
  • Posts: 8
  • Karma: +0/-0
    • View Profile
Re: HILFE! Wie kann ich ein offizelles StartSSL- Zertifikat einbinden
« Reply #5 on: April 19, 2016, 08:08:37 pm »
Hallo Rosi,

ja den Beitrag habe ich gesehen. Habe es versucht auszuführen, aber leider hatte sich danach die AdminWebsite nicht mehr gestartet und ich musste alles neu installieren.
Liegt vieleicht an meinen schlechten Englisch- und Linuxkenntnissen.

Auf Deutsch wäre natürlich super und am besten sollte es dann auch noch funktionieren.

Gruß
Michael

Nnik-nbg

  • Zen Apprentice
  • *
  • Posts: 9
  • Karma: +0/-0
  • FanaticsIT
    • View Profile
Re: HILFE! Wie kann ich ein offizelles StartSSL- Zertifikat einbinden
« Reply #6 on: April 21, 2016, 08:12:06 am »
Hi,
tut mir leid, dass ich jetzt nicht weiterhelfen kann, da ich gerade kein Test-System zum selber ausprobieren habe .. Wenn du dich etwas mit der kommandozeile auskennst, sollte es sich allerdings verhindern lassen, dass du alles neu installieren musst. Wenn nicht, scheint es leider etwas schwierig zu werden :/ ich werde es bei meinen Installationen sicherlich auch mal absichern wollen durch ein richtiges Zertifikat, da ich mich aber derzeit eher mit der Zentral Cloud Lösung (Zinc) beschäftige, hab ich leider keine Zeit das auf Standard-Zentyal zu probieren.

Grüße
Jannik

mb-wh

  • Zen Apprentice
  • *
  • Posts: 8
  • Karma: +0/-0
    • View Profile
Re: HILFE! Wie kann ich ein offizelles StartSSL- Zertifikat einbinden
« Reply #7 on: April 21, 2016, 02:08:58 pm »
Hallo Jannik,

danke für Deine Antwort.
Ich habe eben noch einmal versucht die vorherige Anleitung stück für stück durchzugehen.
Jetzt funktioniert zwar die webadmin-Seite, aber das Zertifikat ist leider nicht drin. Ich meine mein richtiges.

Also leider noch ohne Erfolg.

Gruß
Michael
« Last Edit: April 21, 2016, 02:13:12 pm by mb-wh »

Nnik-nbg

  • Zen Apprentice
  • *
  • Posts: 9
  • Karma: +0/-0
  • FanaticsIT
    • View Profile
Re: HILFE! Wie kann ich ein offizelles StartSSL- Zertifikat einbinden
« Reply #8 on: April 25, 2016, 10:56:40 pm »
sag mal wäre für dich nicht eventuell auch noch eine Option, das Zentyal-System als "Authority" zu behalten und das Zertifikat mit GPO auf deine Clients zu verteilen? Das hab ich zwar praktisch auch noch nicht gemacht, müsste aber auch klappen.

mb-wh

  • Zen Apprentice
  • *
  • Posts: 8
  • Karma: +0/-0
    • View Profile
Re: HILFE! Wie kann ich ein offizelles StartSSL- Zertifikat einbinden
« Reply #9 on: April 26, 2016, 04:15:23 pm »
sag mal wäre für dich nicht eventuell auch noch eine Option, das Zentyal-System als "Authority" zu behalten und das Zertifikat mit GPO auf deine Clients zu verteilen? Das hab ich zwar praktisch auch noch nicht gemacht, müsste aber auch klappen.

Ja schon, aber das ist ja eigentlich nicht das, was man wirklich möchte. Es wäre schön, wenn man ohne Zertifikatsfehler "Webmail", "Outlook" und auch ActiveSync nutzen könnte. Ich verstehe nicht, warum das nicht vorgesehen ist.

Nnik-nbg

  • Zen Apprentice
  • *
  • Posts: 9
  • Karma: +0/-0
  • FanaticsIT
    • View Profile
Re: HILFE! Wie kann ich ein offizelles StartSSL- Zertifikat einbinden
« Reply #10 on: May 12, 2016, 09:46:05 am »
achso,
was mir noch eingefallen ist: unter /etc/ocsmanager liegt dein .pem Zertifikat. Das wird sowohl von den outlook clients als auch von Webmail verwendet. Dieses musst du ja eigentlich nur austauschen. Theoretisch könntest du das sogar mit Let's encrypt machen, wenn dein Server auch über das Internet erreichbar ist. Es gibt eine Anleitung von DigitalOcean. Ich habe das einmal mit HAProxy probiert und dieser erwartet auch ein SSL-Zertifikat im Format .pem. Da sind dann alle einzelnen Zertifikate vorhanden. Also du benötigst ja domain.de sowie Autodiscover.domain.de oder halt ein Willard Zertifikat wie *.domain.de. Sicher doch einfach das alte Zertifikat mal weg und lad deins rein, mach einen Apache reload und schau was passiert. Schau auch, dass auf dem Zertifikat die richtigen Berechtigungen gesetzt sind und schau auch in die Logs wenn es zu beginn nicht gleich funktioniert

mb-wh

  • Zen Apprentice
  • *
  • Posts: 8
  • Karma: +0/-0
    • View Profile
Re: HILFE! Wie kann ich ein offizelles StartSSL- Zertifikat einbinden
« Reply #11 on: May 25, 2016, 04:21:32 pm »
Hallo Nnik-nbg,

ich habe das mal mit meinem Zertifikat versucht, aber das Ersetzen ändert leider nichts. Es bleibt weiterhin das bisherige Zertifikat der Zertifizierungsstelle drin.

Gruß
Michael

segelfreak

  • Zen Monk
  • **
  • Posts: 70
  • Karma: +4/-0
    • View Profile
Re: HILFE! Wie kann ich ein offizelles StartSSL- Zertifikat einbinden
« Reply #12 on: June 11, 2016, 04:59:00 pm »
Moin zusammen,

also mir ist es gelungen, Fremdzertifikate über die Stubs einzubinden.

Dazu ändert man die Konfigurationsvorlagen (.mas) im Verzeichnis /usr/share/zentyal/stubs/...

Beispiel Mail:

Da gibt es z.B. im Unterverzeichnis mail die main.cf.mas
Diese Datei überschreibt mit jedem Neustart/Reload dies Moduls die /etc/postfix/main.cf

Dort werden die Variablen my $certFile und my $keyFile definiert.

Da ich mit let's encrypt arbeite, sieht die dann ungefähr so aus:

my $certFile = '/etc/letsencrypt/live/##domain###/fullchain.pem';
my $keyFile = '/etc/letsencrypt/live/##domain###/privkey.pem';

##domain### müsst ihr natürlich mit dem korrekten Pfad austauschen.

in der dovecot.conf.mas gibt es entsprechend diese Einträge
ssl_cert=</etc/letsencrypt/live/##domain###/fullchain.pem
ssl_key=</etc/letsencrypt/live/##domain###/privkey.pem

Achtet auf die spitze Klammer!

Openchange hat die apache-ics-manager.conf.mas
Hier gibt es drei Zeilen
SSLCertificateFile /etc/letsencrypt/live/##domain###/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/##domain###/privkey.pem
SSLCACertificateFile /etc/letsencrypt/live/##domain###/fullchain.pem

Damit sollte das wichtigste abgedeckt sein.
« Last Edit: June 11, 2016, 05:01:04 pm by segelfreak »

mb-wh

  • Zen Apprentice
  • *
  • Posts: 8
  • Karma: +0/-0
    • View Profile
Re: HILFE! Wie kann ich ein offizelles StartSSL- Zertifikat einbinden
« Reply #13 on: July 18, 2016, 09:18:38 am »
Hallo segelfreak,

das hört sich ja gut an.
ich werde es übernächste Woche mal angehen und ausprobieren.
Werde dann berichten.

Gruß
Michael

segelfreak

  • Zen Monk
  • **
  • Posts: 70
  • Karma: +4/-0
    • View Profile
Re: HILFE! Wie kann ich ein offizelles StartSSL- Zertifikat einbinden
« Reply #14 on: August 21, 2016, 11:34:44 am »
und, hat's geklappt?