Aus der Tiefe
   


About
Aus der Tiefe, Meldungen des Rechenzentrums in der Cauerstrasse 11

Matthias Bauer und Martin Bayer problems@math.fau.de

Subscribe
Subscribe to a syndicated feed of my weblog, brought to you by the wonders of RSS.

Flavours
There's more than one way to view this weblog; try these flavours on for size.

  • index
  • circa 1993
  • RSS
  • Links

  • Shoestring FoundationMiscellaneous byproducts

  •        
    Tue, 07 Mar 2017

    Tuesday, March 7, 2017 09:32:35


    	Unsere SSL Zertifikate hatten das Problem, dass sie zwar nicht abgelaufen sind, dafuer
    	  aber das Hash-Verfahren, das beim Signieren verwendet wurde, als unsicher eingestuft wird.
    	  Das fuehrte dazu, dass diverse Webbrowser den Benutzern erschreckende Warnungen angezeigt
    	  haben, und genau dagegen hat man ja extra Zertifikate eingefuehrt < unicode_smiley_mit_augenzwinkern >
    	  Also schnell ein Shellskript gebastelt, dass per 
    	    openssl s_client -showcerts 
    	  das aktuelle Zert eines Servers ausliest und SubjectName und alle AlternativeNames rausholt.
    	  Danach baut es einen neuen Key und einen CertSigningRequest, in dem alle AltNames drinsind.
    	  Damit Antrag nach RRZEREZept erstellt und signiert gekriegt. ABER: man muss latuernich auch
    	  noch die ZertifikatsKette, die das jeweilige ServerZert mit der Root CA der 
    	  TelekomTochter T-TeleTrust verbindeT, austauschen, weil in der alten Cert-Chain auch noch 
    	  SHA-1-basierte Signaturen drin sind. Kaum hat man das gemacht, schon geht alles wieder warnungsfrei.
    	Bei Zerts fuer Gitlab gibts den Fehler, dass
    	    gitlab-ctl reconfigure
              keineswegs die geaenderten Keys/Certs in seinen privaten nginx nachlaedt. Mit
    	    gitlab-ctl restart
    	  gehts aber.
    	Auf unserer Homepage gabs noch Bildchen, die per http (ohne s) reingeladen wurden.
    	  Das fuehrt — voellig korrekt — zu Warnungen. Zum Glueck liegt unser Stylsheet
    	  als Text vor und wird nicht vom Typo3 autogeneriert, also per Hand die Links zu https gemacht.
    
    

    [/bauerm] permanent link