Chromium akzeptiert keine Zertifikate der UCS-CA

german
ssl

#1

Auch wenn die UCS-CA in Chromium importiert wurde, akzeptiert Chromium deren Zertifikate nicht. Vermutlich wurde der FQDN nicht als subjectAltName eingetragen.


#2

Moin. Das passiert leider wenn die Zertifikate etwas älter sind. UCS schreibt schon brav subjectAltName mit rein, aber erst seit ca. anderthalb Jahren mit UCS 4.1-0 :confused:

https://forge.univention.org/bugzilla/show_bug.cgi?id=44312
→ Comments 3 und 4 haben etwas mehr Hintergrundinfos.


#3

Dabei habe ich kurz nach dem Release von 4.1 erst die ganze Zertifikatskette erneuert :frowning:

Aber ein Upgrade auf 4.1 war da noch nicht möglich.

EDIT: Könnte man die Verteilung neuer Zertifikate nicht zukünftig automatisieren (z.B. Host holt sich das Zertifikat vom Master per SCP)? Man könnte dann auch automatisch alle Aliase mit aufnehmen …


#4

Hallo,

ja, kann man durchaus machen. Sowas hier sollte ja eigentlich reichen (nur rudimentär getestet):

univention-ssh-rsync /etc/machine.secret -a \
  "$(hostname)\$"@"$(ucr get ldap/master)":/etc/univention/ssl/"$(hostname -f)" /etc/univention/ssl/"$(hostname -f)" \
   && chown -R root /etc/univention/ssl/"$(hostname -f)"

Die rsync-Version in UCS 4.2 sollte auch direkt ein --chmod oder --usermap können.

Die Frage ist nur, ob und wenn ja wie man diesen entscheidenden Schritt automatisieren möchte. Ich versteh schon, dass das nervig ist und man das ab einer bestimmten Anzahl von Hosts auch kontrolliert automatisiert. Mir persönlich ist da eine einmalige, überwachte Aktion alle paar Jahre allerdings lieber als ein ständiges Pollen des Hosts, der fragt ob es neue Certs gibt. Also sowohl vom Traffic in größeren Umgebungen als auch von möglichen Nebeneffekten her.
Zudem muss man ja nicht nur das Cert kopieren, sondern auch die entsprechenden Dienste neustartetn, damit die das neue Cert auch verwenden. Und da will man vermutlich noch viel weniger, dass das ganz von alleine passiert.


#5

Danke das funktioniert soweit. Allerdings gibt es dabei eine Fehlermeldung, da dem Maschinenkonto die openssl.cnf nicht gehört, die aber auch nicht benötigt wird. Ich habe es dennoch erstmal auf die herkömmliche Weise gemacht.

Ob ein Automatismus Sinn macht, hängt eben auch von den Features ab. Würden sämtliche DNS-Aliase automatisch eingetragen, sähe die Sache IMO schon anders aus. Und es würde auch reichen, wenn der Automatismus nur beim Reboot anschlagen und/odernüber den opsi-Listener ausgelöst würde.

Ich hab jetzt übrigens einfach neue Zertifikate verteilt und dabei die Schlüssellänge auf 4096 Bit hochgesetzt. Auf eine neue CA habe ich aber erstmal verzichtet.