System-Fehlerdiagnose Kritisch: Überprüfe Gültigkeit der SSL Zertifikate


#1

Ich bin etwas am verzweifeln.

Ich habe neuen UCS Server aufgesetzt. Der Server ist aus Internet erreichbar (Strato Dyndns auf UCS Hostname). Letsencrypt Zertifikate für Apache funktionieren. Jedoch erhalte ich bei der UCS-Fehlerdiagnose folgende Fehlermeldung:

Kritisch: Überprüfe Gültigkeit der SSL Zertifikate
Ungültiges Zertifikat ‘/etc/univention/letsencrypt/signed.crt’ gefunden: /etc/univention/letsencrypt/signed.crt: CN = ucs01.intranet.XYZ.de error 20 at 0 depth lookup:unable to get local issuer certificate Ungültiges Zertifikat ‘/etc/univention/letsencrypt/signed.crt’ gefunden: /etc/univention/letsencrypt/signed.crt: CN = ucs01.intranet.XYZ.de error 20 at 0 depth lookup:unable to get local issuer certificate

Es wäre super wenn mir jemand bei der Lösung helfen könnte


#2

Scheint ein Bug zu sein:


#3

das was mich etwas stutzig macht ist der folgende Text in der UCS Beschreibung zu letsencrypt:

First of all, the system must be reachable from the Internet for validation! To verify that, the host command may be used.

host -t A ucs01.intranet.xyz.de zeigt bei mir auf die interne ip des UCS Servers 192.168.200.240.

Das sollte aber auch passen, da er selbst ja die Namenauflösung für sich aus dem LAN macht … oder?

Der Server selbst ist natürlich aus dem Internet erreichbar.
Ports derzeit : 25, 80, 443, 465, 587, 993, 8080

Das Letsencrypt Zertifikat läuft sowohl auf dem Apache als auch auf dem Kopano-Gateway (imap) problemlos.

Ist das soweit ok? Oder habe ich einen grundsätzlichen Denkfehler?

Danke für die UCS Starthilfe :wink:


#4

Guter Punkt. Wenn die interne Domäne auch exterm verfügbar ist sollte man natürlich einen externen Server befragen. Die Anleitung geht wohl davon aus, dass man nicht die “intranet” Domäne extern verfügbar macht… und z.B. xyz.de mit Letsencrypt absichert.

80 und 8080 sind immer ohne SSL/TLS, 25 und 587 können ggf. STARTTLS, die anderen sind SSL/TLS.

Ich sehe ihn noch nicht.


#5

Erst mal danke für die schnellen Antworten :slight_smile:

Ich bin einigen Empfehlungen gefolgt und habe die interne Domain als Subdomain der Internet Domain eingerichtet.
Da Letsencrypt nur Zertifikate für FQDN ausstellt dachte ich das das auch eine sinnvolle Möglichkeit ist.

Ein erster Versuch mit einer intern anderen Domain (z.B. xyz.intranet) und einer Portweiterleitung der externen Domain xyz.de auf Port 443 mit entsprechendem Letsencrypt Zertifikat führt dazu dass ich intern Zertifikatsfehler bekomme wenn ich mich über die interne ip oder Adresse auf dem UCS per Browser anmelde.

Oder gibt es die Möglichkeit die externen Seiten per Letsencrypt zu sichern und intern ein selbsigniertes Zertifikat zu installieren?

Um die Erreichbarkeit aus dem Internet eizuschränken wäre ich dann den Weg über entstprechende .htaccess Dateien gegegangen.

Wenn ich ein Letsencrypt Zerifikat erstellt habe und in System/Zertifikatseinstellungen auf “Änderungen übernehmen” klicke, wird dann das Letsencrypt Zertifikat wieder durch ein vom UCS selbst generiertes überschrieben?


#6

Am einfachsten ist es am UCS DNS dafür eine DNS Zone mit dem externen FQDN anzulegen und als IP die interne IP des servers zu hinterlegen, dann lösen externe Geräte die externe IP (Provider DNS) und die internen die interne IP (UCS DNS) auf

lg
Christian


#7

Das bedeutet im Umkehrschluss aber auch, dass ein eventuell vorhandener Webauftritt auf dem Server des Providers dann von intern nicht erreichbar ist, da der interne DNS Server die Namensauflösung macht. Ausser ich hinterlege auch die IP des externen Webservers in der DNS Zone auf dem internen UCS?


#8

Hallo,

nein wenn das 2 verschiedene Server sind dann geht das so nicht - dachte es handelt sich um einen internen Server der extern und intern erreichbar sein muss !!


#9

Von meiner Seite aus war geplant, Kopano Webapp erreichbar zu haben sowie Imap und SMTP per SSL zu realisieren.
Der Webauftritt selbst sollte weiter bei Strato bleiben.