Aus der Tiefe

Unsere SSL Zertifikate hatten das Problem, dass sie zwar nicht abgelaufen sind, dafuer
aber das Hash-Verfahren, das beim Signieren verwendet wurde, als unsicher eingestuft wird.
Das fuehrte dazu, dass diverse Webbrowser den Benutzern erschreckende Warnungen angezeigt
haben, und genau dagegen hat man ja extra Zertifikate eingefuehrt < unicode_smiley_mit_augenzwinkern >
Also schnell ein Shellskript gebastelt, dass per
openssl s_client -showcerts
das aktuelle Zert eines Servers ausliest und SubjectName und alle AlternativeNames rausholt.
Danach baut es einen neuen Key und einen CertSigningRequest, in dem alle AltNames drinsind.
Damit Antrag nach RRZEREZept erstellt und signiert gekriegt. ABER: man muss latuernich auch
noch die ZertifikatsKette, die das jeweilige ServerZert mit der Root CA der
TelekomTochter T-TeleTrust verbindeT, austauschen, weil in der alten Cert-Chain auch noch
SHA-1-basierte Signaturen drin sind. Kaum hat man das gemacht, schon geht alles wieder warnungsfrei.
Bei Zerts fuer Gitlab gibts den Fehler, dass
gitlab-ctl reconfigure
keineswegs die geaenderten Keys/Certs in seinen privaten nginx nachlaedt. Mit
gitlab-ctl restart
gehts aber.
Auf unserer Homepage gabs noch Bildchen, die per http (ohne s) reingeladen wurden.
Das fuehrt — voellig korrekt — zu Warnungen. Zum Glueck liegt unser Stylsheet
als Text vor und wird nicht vom Typo3 autogeneriert, also per Hand die Links zu https gemacht.

[/bauerm] permanent link

Aus der Tiefe

	About Aus der Tiefe, Meldungen des Rechenzentrums in der Cauerstrasse 11 Matthias Bauer und Martin Bayer problems@math.fau.de Subscribe Subscribe to a syndicated feed of my weblog, brought to you by the wonders of RSS. Flavours There's more than one way to view this weblog; try these flavours on for size. index circa 1993 RSS Links Shoestring FoundationMiscellaneous byproducts	Tue, 07 Mar 2017 Unsere SSL Zertifikate hatten das Problem, dass sie zwar nicht abgelaufen sind, dafuer aber das Hash-Verfahren, das beim Signieren verwendet wurde, als unsicher eingestuft wird. Das fuehrte dazu, dass diverse Webbrowser den Benutzern erschreckende Warnungen angezeigt haben, und genau dagegen hat man ja extra Zertifikate eingefuehrt < unicode_smiley_mit_augenzwinkern > Also schnell ein Shellskript gebastelt, dass per openssl s_client -showcerts das aktuelle Zert eines Servers ausliest und SubjectName und alle AlternativeNames rausholt. Danach baut es einen neuen Key und einen CertSigningRequest, in dem alle AltNames drinsind. Damit Antrag nach RRZEREZept erstellt und signiert gekriegt. ABER: man muss latuernich auch noch die ZertifikatsKette, die das jeweilige ServerZert mit der Root CA der TelekomTochter T-TeleTrust verbindeT, austauschen, weil in der alten Cert-Chain auch noch SHA-1-basierte Signaturen drin sind. Kaum hat man das gemacht, schon geht alles wieder warnungsfrei. Bei Zerts fuer Gitlab gibts den Fehler, dass gitlab-ctl reconfigure keineswegs die geaenderten Keys/Certs in seinen privaten nginx nachlaedt. Mit gitlab-ctl restart gehts aber. Auf unserer Homepage gabs noch Bildchen, die per http (ohne s) reingeladen wurden. Das fuehrt — voellig korrekt — zu Warnungen. Zum Glueck liegt unser Stylsheet als Text vor und wird nicht vom Typo3 autogeneriert, also per Hand die Links zu https gemacht. [/bauerm] permanent link