Wie eigenes Zertifikat benutzen

UCS - Univention Corporate Server
#1

Hallo,

wir haben einen UCS Server via OXAE.
Bei der Installation werden ja für diverse Dienste Zertifikate erzeugt, die würde ich gerne durch unser eigenes Zertifikat (Wildcard) ersetzten. Ich brauche also die ganze CA Geschichte eigentlich nicht.
Ein einfaches Überschreiben des zertifikates mit usnerem hat auch soweit funktioniert (Apache hat es aufgegriffen, auch sonst lief alles glatt).
Ich habe dann die ersten updates via website gemacht. (UCS, keine OX) Hier
wundere ich mich zwar, das man nicht “einfach” mit einem einzelnen dist-
upgrade das ganze System auf den aktuellen Stand bringen kann, aber gut.
Leider kann ich mich nun, nach dem Neustart nicht mehr an der website
anmleden, beim directory-manager erhalte ich
“Keine Verbindung zum LDAP-Server.
Der LDAP Server konnte nicht erreicht werden. Bitte versuchen Sie es später
noch einmal.”
bei der management console
“Authentisierungsfehler: Der UMC-Server hat auf die Authentisierungsanfrage
nicht geantwortet”
Ich habe versucht in
univention.de/fileadmin/down … 22_ssl.pdf
nachzuvollziehen was da vor sich geht, war aber nicht erfolgreich.
Dort ist aber auf jeden Fall auch wieder ein kleiner Fehler, heißt es unter
4.8 SSLCertificateChain statt SSLCertificateChainFile

Vielleicht können Sie mir ja weiterhelfen, wie ich dem UCS unser Zertifikat
unterschiebe, und die Dienste wieder laufen.

Viele Grüße
Alex Gran
Moduleworks GmbH

#2

Hallo,

um dieses Verhalten noch näher zu analysieren, wäre es hilfreich wenn Sie uns weitere Informationen zu Ihrem Vorgehen liefern können. Was genau meinen Sie mit [quote]Ein einfaches Überschreiben des zertifikates mit usnerem…?[/quote] Haben Sie die OXAE rootCA bzw. das System Zertfikat durch Ihr eigenes Zertifikat ersetzt oder wurde die gesamte Zertifikats-Kette - wie in der UCS Dokumentation"SSL-Infrastruktur unter UCS" beschrieben neu erstellt?

Zu der fehlerhaften Zeile in der UCS Dokumentation “SSL-Infrastruktur unter UCS” habe ich einen entsprechenden Eintrag in unserem Bug-Tracking-System erstellt. Unsere Entwicklung wird sich dem Fehler annehmen, so dass dieser Fehler in der kommenden Version korrigiert wird.

Mit freundlichen Grüßen
Murat Odabas

#3

Hallo,

vielen Dank für die Antwort.
Ich habe ursprünglich einfach das von UCS generierte Zertifikat gegen das unsrige ausgetauscht, also die entsprechenden Dateien überschrieben. Die automatische Ggenerierung von Zertifikaten durch UCS brauche ich auch eigentlich nicht.
Muss man diese zwinged nutzen und das UCS Zertifikat entsprechend signieren?
Leider geht jetzt ja garnichts mehr, nichteinmal die Administrationsoberfläche.

Grüße
Alex

#4

Hallo,

welche Dateien wurden genau überschrieben? Existieren die ursprünglichen UCS Zertifikatsdateien noch, bzw. haben Sie Sicherheitskopien erstellt?

Teilweise erfolgt die interne Kommunikation der einzelnen Dienste (bspw. OpenLDAP) verschlüsselt, so dass eine funktionierende Zertifikatsstruktur in diesem Fall notwendig ist.

Mit freundlichen Grüßen
Murat Odabas

#5

Hallo,

ich kann leider nicht so ohne weiteres nachschauen welche Dateien überschrieben sind, da die Maschine im Moment live ist mit OX5.
Zunächst auf jeden Fall die, die z.B. von apache referenziert werden. Nachdem nach dem update nichts mehr ging auch weitere beim reperaturversuch.
Kann man nicht das ganze Verzeichnis neu erstellen lassen? Bzw abschalten, ich brauche es in der Form ja nicht. Ein von mir gestelltes Zertifikat, was dann auch alle Dineste nutzen wäre vollkommen ausreichend.
Im Prinzip steht auch einer Neuinstallaiton nicht viel im Weg, es war ja noch nicht viel konfiguriert. Aber auch dann würde ich gerne die Zertifikate entsprechend tauschen. Der im pdf aufgezeigte Weg fürt ja in jedem Fall zu geänderten Zertifikaten, was hier zusätzlich Aufwand auf anderen Maschinen bedeutet.

Grüße
Alex Gran

#6

Hallo,

für den Apache Server können Sie ein alternatives Zertifikat angeben. Die entsprechende Konfiguration können Sie über die folgenden Univention Configuration Registry-Variablen setzen:

apache2/ssl/certificate => muss den vollen Pfad zur cert.pem-Datei enthalten
apache2/ssl/key => muss den vollen Pfad zur private.key-Datei enthalten

Mit freundlichen Grüßen
Murat Odabas

Mastodon