ComputerBase Menü
Aktuelles

Open SSL Zertifikat erstellen?

Weckmann

Weckmann

Lt. Commander
Registriert
Okt. 2013
Beiträge
1.163
Hey,

ich bin gerade dabei, für mein Bitwarden Server ein neues Zertifikat zu erstellen. Laut Apple sind das die Voraussetzungen
https://support.apple.com/en-us/HT210176

Nach dieser Anleitung habe ich ein Zertifikat erstellt
https://praxistipps.chip.de/openssl-zertifikat-erstellen-so-gehts_46492

Das erstellte Zertifikat habe ich dann nach /bwdata/ssl/self/bitwarden/ (da wo das alte Zertifikat lag) kopiert. Wenn ich das Zertifikat dann im iPhone installiere, wird es mir unter Profile angezeigt, aber ich kann mich mit dem Bitwarden App nicht anmelden. Hat jemand von euch ein Iphone mit iOS13 und nutzt das Bitwarden App mit einem selbst gehosteten Server?
 
Es gibt einen Unterschied zwischen Server und Clientzertifikat. Die Anleitung unter Chip erklärt wahrscheinlich, wie man sich ein Serverzertifikat ausstellt(?) und du brauchst wahrscheinlich ein Clientzertifikat(?)

Schnapp dir im Zweifel XCA. Damit kann man ziemlich bequem Zertifikate und alles, was dazu gehört, in einer brauchen GUI erstellen/verwalten.
 
Auf diese Weise erstellst du dir nur ein self-signed cert.
Schau mal auf letsencrypt.org. Hier bekommst du was du brauchst (davon Ausgehend das du ein serverzertifikat benötigst).
 
  • Gefällt mir
Reaktionen: JustAnotherTux
Die Apple Seite definiert TLS Server Zertifikatsrichtlinien für Safari nutzende Applikakationen.
Stell sicher dass das für die Bitearden App zutrifft. Falls ja dann sind die Richtlinien einzuhalten was bei der Anleitung nicht der Fall ist.
 
LencoX2 schrieb:
Die Apple Seite definiert TLS Server Zertifikatsrichtlinien für Safari nutzende Applikakationen.
Stell sicher dass das für die Bitearden App zutrifft. Falls ja dann sind die Richtlinien einzuhalten was bei der Anleitung nicht der Fall ist.
Zum Vergrößern anklicken....

Genau das ist die Frage, wie erstelle ich ein Zertifikat was den Apple Richtlinien erspricht ?
 
Weckmann schrieb:
Genau das ist die Frage, wie erstelle ich ein Zertifikat was den Apple Richtlinien erspricht ?
Zum Vergrößern anklicken....
Also:
1. Erzeuge mit OpenSSL einen private Key und ein CSR mit RSA 2048, SHA256 Hash und common Name = <Domain Name> und Extension wie beschrieben bei Apple. <Domain Name> ist FQDN deines Servers bspw. my.bitwarden-domain.de
2. Sende den in 1. Erzeugten CSR an einen CA bspw Letsencrypt. Ggfs ist die Extension und die Gültigkeitsdauer bei Anfrage zu übergeben. Eventuell schon im CSR. Musst dich einlesen in Browserforum bzw beim CA.
3. Installiere das in 2. ausgestellte Zertifikat in deinem Server
 
  • Gefällt mir
Reaktionen: Weckmann
Weckmann schrieb:
Genau das ist die Frage, wie erstelle ich ein Zertifikat was den Apple Richtlinien erspricht ?
Zum Vergrößern anklicken....
Erstell dir ein Zertifikat von LE. Mit selbst Signierten hast du mehr Probleme als unverschlüsselt.
 
Hi Yuuri, hallo Weckmann, hallo Rassnahr, hi Killercow und Madmax,


@Weckmann:
Das erstellte Zertifikat habe ich dann nach /bwdata/ssl/self/bitwarden/ (da wo das alte Zertifikat lag) kopiert. Wenn ich das Zertifikat dann im iPhone installiere, wird es mir unter Profile angezeigt, aber ich kann mich mit dem Bitwarden App nicht anmelden. Hat jemand von euch ein Iphone mit iOS13 und nutzt das Bitwarden App mit einem selbst gehosteten Server?
Zum Vergrößern anklicken....
- wie ist es denn bei dir ausgegangen -bist du soweit und hast das alles ausgeführt!?

Nebenbei bemerkt: LE ist schon eine klasse Sache -und das Tolle ist dass es auch anerkannt ist.
Grundsätzlich wichtig ist bei allen SSL-Zerts, dass es eine anerkannte CA ist, denn sonst kannst dir ja ein self signed certificate machen und es läuft auf das selbe raus, nämlich keine Sicherheit


@LencoX2
1. Erzeuge mit OpenSSL einen private Key und ein CSR mit RSA 2048, SHA256 Hash und common Name = <Domain Name> und Extension wie beschrieben bei Apple. <Domain Name> ist FQDN deines Servers bspw. my.bitwarden-domain.de
2. Sende den in 1. Erzeugten CSR an einen CA bspw Letsencrypt. Ggfs ist die Extension und die Gültigkeitsdauer bei Anfrage zu übergeben. Eventuell schon im CSR. Musst dich einlesen in Browserforum bzw beim CA.
3. Installiere das in 2. ausgestellte Zertifikat in deinem Server
Zum Vergrößern anklicken....

Danke@ Lencox2

@Rassnahr
Mit certbot kannst du dir ganz einfach ein letsencrypt Zertifikat erstellen lassen.
Zum Vergrößern anklicken....

Ja mit certbot geht das auch...

mal grundsätzlich: Wie macht ihr das im allgemeinen denn so: Bei der Beantragung von SSL-Zertifikaten - brauche ich für jede Dom. ein extra - sprich ein eigenes csr-Zertifikat - ergo werde ich nun miittels jedem mitgelieferten crs-Zertifikat eine SSL beim ISP beantragen - Domain für Domain.

M.a. W. ich beantrage je gewünschtem SSL-Zertifikat dann jeweils - mittels eines mir vorliegenden Schlüssels - ( my_Domain.com.csr ) dann im Menü ein entsprechendes SSL-Zertifkiat?

Also: Ich bin bei meinem ISP freigeschaltet - m.a.W. es gab eine Freischaltung im Account und nun steht mir die Zertifikatsverwaltung mit allen Funktionen zur Verfügung - m.a.W. ich kann Zertifikate für die in meinem Account befindlichen Domains beantragen.

Vorgang: ich brauche, m.a..W für jedes Zertifikat das ich von dem oben geannten Programm - dem Schlund Basic SSL, ein extra Schlüssel zur entsprechenden Domain - von meinem Serveradmin?! Diese Zertifikate für meine im Account befindlichen Domains kann ich über den Menüpunkt "Zertifikat bestellen" beauftragen?

Es gibt ja auch auf dem Feld der SSL-Zertifikate: sogenannte Multi-Domain-Zertifikate oder Wildcard-Zertifikate. Weil dies so ist, deshalb frage ich oben so ausführlich.

Wie macht ihr das - wie verfahrt ihr denn!?


VG und einen schönen Einstieg ins Wochenende,

Tarifa
 
Grundsätzlich gibt es heutzutage eigentlich keinen Grund mehr LE nicht zu verwenden. Die DV-Zertifikate sind identisch "sicher", Wildcard-Zertifikate gibts auch. LE validiert einzig keine IP-Adressen und stellt keine EV-Zertifikate aus, sowie leider keine S/MIME-Zertifikate. Dann könnte man auch mal eine flächendeckende Mail-Verschlüsselung in Angriff nehmen.

Insofern gibts keine Unterschiede in der Sicherheit. Vor allem kann man LE eher trauen (auch wegen der Nähe zu Mozilla) als Symantec und Co. Der gute Umgang mit dem Bug letztens war schon ein ausreichender Grund.
tarifa schrieb:
mal grundsätzlich: Wie macht ihr das im allgemeinen denn so: Bei der Beantragung von SSL-Zertifikaten - brauche ich für jede Dom. ein extra - sprich ein eigenes csr-Zertifikat - ergo werde ich nun miittels jedem mitgelieferten crs-Zertifikat eine SSL beim ISP beantragen - Domain für Domain.
Zum Vergrößern anklicken....
Du erstellst zu jedem Zertifikat einen neuen PK und ein neues CSR. Es hat keinen Sinn ein altes Zertifikat irgendwie wiederzuverwenden.

Das "Zertifikat" gibt es so gesehen auch nicht. "Ein" Zertifikat besteht immer aus einem Private und einem Public Key, da es eine asynchrone Verschlüsselung ist. Das CSR ist nicht Teil des Zertifikats, sondern nur des Prozesses zur "Beglaubigung" deines Private Keys.
tarifa schrieb:
M.a. W. ich beantrage je gewünschtem SSL-Zertifikat dann jeweils - mittels eines mir vorliegenden Schlüssels - ( my_Domain.com.csr ) dann im Menü ein entsprechendes SSL-Zertifkiat?
Zum Vergrößern anklicken....
Ja. Pro Zertifikat ein Private Key und daraus resultiert ein CSR.
tarifa schrieb:
ich brauche, m.a..W für jedes Zertifikat das ich von dem oben geannten Programm - dem Schlund Basic SSL, ein extra Schlüssel zur entsprechenden Domain - von meinem Serveradmin?!
Zum Vergrößern anklicken....
Der Admin hat in der Kette gar nichts zu suchen. Den Private Key und das CSR kannst du dir mit OpenSSL selbst erstellen. Das CSR schickst du an die CA und erhälst bei erfolgreicher Validierung den Public Key. Private und Public Key hinterlegst du nun auf dem Webserver. Wenn du natürlich ein Managed Hosting hast und keinen Zugriff zum Webserver, dann musst du natürlich beides dem Admin übergeben. Oder halt dem Webinterface des Anbieters, welches dann das Zertifikat in der Konfiguration hinterlegt.
tarifa schrieb:
Wie macht ihr das - wie verfahrt ihr denn!?
Zum Vergrößern anklicken....
Einfach LE nutzen. Es gibt nur sehr wenige Ausnahmefälle, wo ein LE-Zertifikat nicht "ausreicht".

Da man LE auch perfekt automatisieren kann (DV, aber ebenso Wildcards), geht das alles viel problemloser vonstatten im Gegensatz zur herkömmlichen CA. Es nervt nicht, ein "das Zertifikat ist ganz plötzlich ausgelaufen" gibts nicht mehr, es ist keine Interaktion und somit Wartezeit mit anderen Menschen mehr nötig, ... Natürlich gibt es Bugs. Aber für etwaige Probleme hat man ne Übergangszeit von einem Monat - nach zwei Monaten kann und soll man das Zertifikat auch neu beantragen, nach drei Monaten läuft es aus.
 
Hi Tarifa,
Ich hab zwar nicht alles verstanden aber versuche es trotzdem Mal: Wie so oft kommt es darauf an.

Mir sind keine allgemeingültigen Regeln oder Empfehlungen des Browser-Forum bekannt wieviele Zertifikate und Domains auf Zertifikate verteilt sein sollten.

Es macht Sinn, die Domains technisch und/oder fachlich zusammenzufassen. Wenn die alle unter deiner Kontrolle sind aber unterschiedlichen Kunden zugeordnet sind, macht es Sinn pro Kunde.
Wenn pro Kunde mehrere Domains aber unterschiedliche Server bei anderern IPs könnte es Sinn machen auch die zu trennen.
Spielt das alle keine Rolle und man hat einen eigenen Verteiler, dann funktioniert ein einziges Multidomainzertifikat genauso.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

smashcb
SSL Zertifikat Let's Encrypt 1blu Subdomain
Antworten
16
Aufrufe
2.097
qiller
Q
Arjab
Probleme mit SSL-Zertifikaten für lokale Domains
Antworten
9
Aufrufe
1.810
Arjab
Arjab
einfachpeer
SSL Zertifikat auf Server A erstellen und auf B nutzen
Antworten
8
Aufrufe
1.383
jb_alvarado
J
A
RDP Zertifikat erstellen
Antworten
5
Aufrufe
1.030
ArrorRT
A
H3llF15H
RasPi4 / Bitwarden RS / Nginx - kein SSL Zertifikat erstellbar
Antworten
19
Aufrufe
3.435
H3llF15H
H3llF15H
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz