ElabNET Technik Forum

Hallo liebes Wiregate Team,

im Moment sind die self signed SSL Zertifikate beim Timberwolf ja immer auf

DNS-Name=timber.wolf
DNS-Name=timberwolfXX.local
CN = timberwolfXX

(XX= Nummer des Timberwolf)
ausgestellt.

Selbst mit installieren der Custom Timberwolf CA bedeutet dies dass ich "nur" die o.g. URLs verwenden kann ohne einen SSL Fehler zu bekommen.
Will ich aber z.B. timberwolf0815.meine-interne-domaene.lan verwenden (vorausgesetzt natürlich dass diese korrekt per DNS aufgelöst wird) bekomme ich wieder einen SSL Fehler.

Daher wäre mein Wunsch/Vorschlag hier zusätztlich eine Wildcard zu verwenden. Also z.B.:
DNS-Name=timber.wolf
DNS-Name=timberwolfXX.local
DNS-Name=timberwolfXX.*
DNS-Name=timberwolf.*
CN = timberwolfXX

Da es sowieso nur self signed Zertifikate sind sollte das technisch ja machbar sein. Einen Sicherheitsnachteil sehe ich nicht.

Damit könnte dann aber jeder Nutzer fast jede denkbare URL Kombi verwenden ohne die nervigen Fehlermeldungen.

Gruß,
Dennis

Hallo Dennis,

ich frage intern mal, aber soweit ich weiß, sind diese Wildcards nicht erlaubt und werden von den Browsern nicht akzeptiert.

Selbst bei den Self-Signed-Zertifikaten gibt es Regeln des browser-Forums.

Woran man denken kann ist, dass eine lokale CA die Zertifikate signed, weil schließlich wir diese für openVPN ebenfals brauchen

lg

Stefan

TLD-Wildcards, mehrere Wildcards oder eine generelle Wildcard (»*«) sind allesamt nicht erlaubt, wie Stefan schon schrieb.

Eine alternative Lösung wäre es, wenn ein eigenes Zertifikat + eigene CA installiert/hochgeladen werden könnte. Wir betreiben bereits eine interne CA und können für unsere xyz.local-Domains »gültige« Zertifikate erstellen. Dafür müsste der TW halt »nur« ein CSR bereit stellen und den Upload des Zertifikats – gerne auch des CA-Zertifiats ermöglichen.

Unsere CA haben wir bereits auf allen Geräten installiert/bereit gestellt und es müsste keine »Fremd-CA« zusätzlich installiert werden.

Hallo dombn, schön Dich zu sehen und willkommen im Forum.

Ich denke da sind zwei Wege sinnvoll.

Zum einen haben wir auf dem Timberwolf Server bereits eine eigene lokale CA installiert, damit man damit OpenVPN-Zertifkate erstellen kann.

Andererseits wäre das für Power-User mit eigener CA durchaus elegant mit CSR zu arbeiten.

==> Ich kläre das mit meinen Systemspezialisten

lg

Stefan

Bei Firefox ist es offenbar so, dass die History nur als IP-Adressen gespeichert wird.
Das heißt, selbst wenn ich die Serverseite erstmalig mit timberwolfxyz.local aufrufe, wird die URL sofort in die lokale IP-Adresse aufgelöst und mit dieser weitergearbeitet. Der Browser (hier: Firefox) speichert in Folge nur die lokale IP-Adresse.

Bei der nächsten Eingabe von "timb" erscheinen die Vorschläge aus der History. Wenn man diese aufruft, kommt der Zertifikatsfehler, da das Zertifikat nicht für die lokale IP-Adresse gültig ist.

Mit Bookmarks lässt sich das wohl umgehen oder mit fleißigem Ausschreiben der URL.

Hey Leute,

ich bekommen immer folgende Meldung, obwohl ich die Zertifikate installiert habe von update.timberwolf.io - wobei die womöglich für was anderes gedacht sind?!

Dem Sicherheitszertifikat dieser Website wird von Ihrem PC nicht vertraut.
Der Hostname im Sicherheitszertifikat der Website stimmt nicht mit dem Namen der Website überein, die Sie besuchen möchten.
Fehlercode: DLG_FLAGS_INVALID_CA
DLG_FLAGS_SEC_CERT_CN_INVALID

Ist die Meldung (noch) normal und wird später mal behoben oder hab ich irgendwas vergessen durchzuführen? Aufruf via ip-Addy sowie Hostname versucht. Ebenfalls via Edge und Chrome.

Welchers OS auf dem PC, welcher Browser?

Win10, Edge und Chrome

Was ist denn genau die Seite die Du aufrufen möchtest?

Hallo @dombn ,
Kannst du hier den Weg aufzeigen, wie du euer eigenes Zertifikat installiert hast?
Ich Stelle auf meinem Router (pfSense) ein Wildcard-Zertifikat von LetsEncrypt für meine eigene Domain zu Verfügung. Dieses Zertifikat möchte ich gerne per Cron o.ä. regelmäßig / automatisch auf meinem TWS installieren. Die hier mehrfach zu findenden Herausforderungen mit den selbst signierten Zertifikaten hoffe ich so zu umgehen.
Danke für Hinweise
Alex