zertifikat – SystemTechnics

Proxmox Mail Gateway TLS Fehler

knut — Fri, 05 Jan 2024 19:50:36 +0000

Bekommt man nach der Installation des PMG folgenden Fehler, dann kann dies daran liegen dass man noch nicht die Zertifikate für den Server erstellt hat.

Out: 454 4.7.0 TLS not available due to local problem

Am einfachsten geht man in das Webinterface zu dem Punkt „Konfiguration“ und dann zum Unterpunkt „Zertifikate„. Dort muss man zuerst in der Registerkarte „ACME-Konten“ ein entsprechendes Konto erstellen.

Im Anschluß kann man dann in der Registerkarte „Zertifikate“ eine Domäne hinzufügen.

Ist dies erledigt bleibt nur noch der letzte Schritt die beiden Zertifikate anzufordern.

In der Regel sollte dies ohne Fehler schnell durchgeführt sein. Bei mir kam heute allerdings folgende Fehlermeldung:

ACME account config file ‚default‘ does not exist.

Sollte das bei Euch auch so sein, dann solltet ihr mittels SSH die Datei /etc/pmg/node.conf editieren bzw. untersuchen.

Dort sollte es eine Zeile acme: account=m02 geben. Der Account Name muss natürlich zu dem Account passen den ihr zuvor angelegt habe. (Siehe oben. Nicht wundern, der Screenshot von oben zeigt meinen Cluster und daher stehen dort zwei Accounts)

Nachdem dies erfolgt ist lassen sich die beiden Zertifikate auch ausstellen und der Server bzw. die Cluster Node mit TLS anmailen.

Merker: acme.sh

knut — Fri, 31 Dec 2021 12:48:04 +0000

Um Zertifikate für Dienste zu erstellen, die keinen Webserver mitbringen, kann man auch wie folgt erstellen. Dazu ist es nötig, dass der Domainprovider bzw. DNS Anbieter eine Schnittstelle für die DNS-Challenge mitbringt. INWX tut dies :-)

Die unterstützten Provider kann man auf Github nachlesen: https://github.com/acmesh-official/acme.sh/tree/master/dnsapi

Erstellen kann man dann ein Zertifikat wie folgt:
(Pfade sollten natürlich vorhanden sein)

acme.sh \
  --issue \
  --cert-home /Users/knut/Downloads/SSL \
  --dns dns_inwx \
  -d amsel.systemtechnics.de \
  -d drossel.systemtechnics.de

Erneuern mit folgendem Befehl:

acme.sh \
  --renew \
  --cert-home /Users/knut/Downloads/SSL \
  --dns dns_inwx \
  -d amsel.systemtechnics.de \
  -d drossel.systemtechnics.de

Alle bestehenden Zertifikate (die unter /Users/knut/Downloads/SSL existieren ) erneuern:

acme.sh \
  --renew-all \
  --cert-home /Users/knut/Downloads/SSL \
  --dns dns_inwx

Zertifikatsdatei (komplette „Kette“)/ PEM erstellen

knut — Tue, 24 Apr 2018 16:30:00 +0000

Mitunter ist es notwendig eine komplette Zertifikatskette in einer Datei (PEM) zu erstellen. Der Aufbau ist wie folgt:

The Private Key – domain_name.key
The Primary Certificate – domain_name.crt
The Intermediate Certificate – intermediate.crt
The Root Certificate – root.crt

—–BEGIN RSA PRIVATE KEY—–
(Your Private Key: domain_name.key)
—–END RSA PRIVATE KEY—–

—–BEGIN CERTIFICATE—–
(Your Primary SSL certificate: domain_name.crt)
—–END CERTIFICATE—–

—–BEGIN CERTIFICATE—–
(Your Intermediate certificate: intermediate.crt)
—–END CERTIFICATE—–

—–BEGIN CERTIFICATE—–
(Your Root certificate: root.crt)
—–END CERTIFICATE—–

In diesem Aufbau die einzelnen Inhalte in eine Datei (meine-domain.pem) speichern und verwenden.

Merker: openVPN Zertifikat zurückziehen

knut — Fri, 03 Feb 2017 09:05:09 +0000

Eine Authentifizierung zusätzlich mit Zertifikaten bietet einen weiteren Sicherheitsfaktor, sofern man bei Verlust diese zurückzieht und anhand einer Certificate Revokation List (CRL) ausgewertet.

Um ein Zertifikat bei openVPN zurückzuziehen kann man wie folgt vorgehen:

cd /etc/openvpn/easy-rsa/
. ./vars
. ./revoke-full NUTZER

Die Dateien des NUTZER (.crt, .key, .csr) im Verzeichnis keys kann man dann ebenfalls löschen.

Die CRL muss nun auch an die richtige Stelle für den openVPN Server kopiert werden. Über den Eintrag „crl-verify keys/crl.pem“ in der openvpn.conf wird diese CRL dazu verwendet zurückgezogene Zertifikate zu blockieren.

cp -a keys/crl.pem /etc/openvpn/keys/

Anschauen kann man sich die CRL am einfachsten mit folgendem Befehl:

openssl crl -in keys/crl.pem -text

Sollte es den Benutzer ebenfalls nicht mehr geben, so sollte man natürlich auch den Benutzer löschen.

userdel -f -r NUTZER

Merker: openVPN Nutzer anlegen

knut — Fri, 03 Feb 2017 08:50:57 +0000

Hier mal ein paar Merker für mich um einen neuen VPN Nutzer inkl. Zertifikat anzulegen.

Benutzer in PAM anlegen, (sicheres) Passwort vergeben:

useradd -M -s /usr/bin/passwd NUTZER
passwd NUTZER

Zertifikat generieren:

cd /etc/openvpn/easy-rsa/
. ./vars
. ./build-key NUTZER

…,mit sinnvollen Werten den Assistenten befüllen und anschließend gleich signieren.

Client-Konfiguration „zusammenbauen“

. ./gen-client-config

Die fertig zusammen gebaute Konfiguration inkl. Zertifikate ist anschliessend in der Datei NUTZER.ovpn zu finden.

Merker: Proxmox Zertifikate austauschen (StartSSL)

knut — Sun, 11 Dec 2016 07:59:43 +0000

Die zu bearbeiten Dateien liegen unter

/etc/pve/local/

Dort die beiden Dateien entsprechend ersetzen

pico pve-ssl.key
pico pve-ssl.pem

Bei letzterem sollte man das Cert-Bundle für NGINX verwenden. Anschließend muss noch der PVEProxy neu gestartet werden:

/etc/init.d/pveproxy restart

Fertig.

crt.sh – wer stellt für wen Zertifikate aus

knut — Sat, 05 Dec 2015 10:37:59 +0000

Wer man schnell schauen möchte wer welche Zertifikate ausstellt, der kann das einfach via crt.sh tun.

Die momentan beliebte CA „Let’s Encrypt“ stellt gerade fleissig neue Zertifikate aus: https://crt.sh/?Identity=%25&iCAID=7395

Häufige OpenSSL Befehle

knut — Mon, 09 Nov 2015 09:22:36 +0000

Allgemeine OpenSSL Befehle

Private Key und Zertifikatsrequest (CSR) erstellen

openssl req -out CSR.csr -new -newkey rsa:2048 -nodes -keyout privKey.key

Zertifikatsrequest (CSR) mit bestehenden private key erstellen

openssl req -out CSR.csr -key privKey.key -new

Passwort von einem private Key entfernen

openssl rsa -in privKey.pem -out newPrivKey.pem

Zertifikate überprüfen

Zertifikatsrequest (CSR) prüfen

openssl req -text -noout -verify -in CSR.csr

Private Key prüfen

openssl rsa -in privKey.key -check

Zertifikat prüfen

openssl x509 -in certificate.crt -text -noout

PKCS12 (.pfx oder .p12) Datei prüfen

openssl pkcs12 -info -in keyStore.p12

Konvertierungen

Ein DER-File (.crt, .cer, .der) in PEM konvertieren

openssl x509 -inform der -in certificate.cer -out certificate.pem

Ein PEM-File in DER konvertieren

openssl x509 -outform der -in certificate.pem -out certificate.der

PKCS12-Datei (.pfx, .p12) mit privaten Schlüssel in PEM konvertieren

openssl pkcs12 -in keyStore.pfx -out keyStore.pem -nodes

Zertifikat (PEM) und Key-Datei in PKCS12 (.pfx oder .p12) konvertieren

openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt

OpenSSL – Passwort vom Keyfile entfernen

knut — Fri, 23 Oct 2015 13:19:51 +0000

Hat man auf einem Key-File beim erstellen ein Passwort vergeben und will dieses nachträglich entfernen, so geht das mit folgendem Einzeiler:

openssl rsa -in ssl.key.orig -out ssl.key.neu

Zertifikatsinfo mittels open_ssl Befehl

knut — Mon, 12 Oct 2015 06:39:56 +0000

Wer sich zum Beispiel das SSL Zertifikat seines Mailproviders auf der Console anschauen möchte, der kann dies mit folgendem Befehl tun:

openssl s_client -connect outlook.com:995 -showcerts

Dies funktioniert natürlich auch mit Webserver-Zertifikaten, man muss nur entsprechend den Port auf 443 ändern.