Zertifikate – SystemTechnics https://www.systemtechnics.de IT Consulting Fri, 22 Sep 2023 07:14:08 +0000 de hourly 1 https://www.systemtechnics.de/wp-content/uploads/cropped-2003-logo-st-transparanet-x200-32x32.png Zertifikate – SystemTechnics https://www.systemtechnics.de 32 32 Mosquitto und der verschlüsselte Zugriff https://www.systemtechnics.de/mosquitto-und-der-verschluesselte-zugriff/ Fri, 22 Sep 2023 07:10:33 +0000 https://www.systemtechnics.de/?p=3645 Da ich gestern darüber gestolpert bin und man im Internet noch wenig darüber Finder, notiere ich mir hier einen kleinen Merker wie die Datei- und Verzeichnisrechte bei Mosquitto aussehen sollten.

Um Mosquitto über SSL/TLS abzusichern legt man unter /etc/mosquitto/conf.d eine Datei SSL mit folgendem Inhalt an:

Listener 8883
certfile /etc/mosquitto/certs/server.crt
cafile /etc/mosquitto/ca_certificates/ca.crt
keyfile /etc/mosquitto/certs/server.key

Die entsprechenden Zertifikate müssen natürlich generiert sein (da gibt es unzählige Anleitungen) und an die entsprechende Stelle kopiert werden.

Der eigentlich Kniff war bei mir unter Debian Bookworm nun, dass die Datei- und Verzeichnisrechte nicht gepasst haben. Es kam immer zu folgenden Fehlern:

1695361882: Error: Unable to load CA certificates. Check cafile "/etc/mosquitto/ca_certificates/ca.crt".
1695361882: OpenSSL Error[0]: error:8000000D:system library::Permission denied
1695361882: OpenSSL Error[1]: error:10080002:BIO routines::system lib
1695361882: OpenSSL Error[2]: error:05880002:x509 certificate routines::system lib

Abhilfe schafft dann nur folgende Befehle auszuführen und den Mosquitto Dienst neu zu starten:

chmod 0700 /etc/mosquitto/certs
chmod 0700 /etc/mosquitto/certs/*
chmod 0700 /etc/mosquitto/ca_certificates
chmod 0700 /etc/mosquitto/ca_certificates/*
]]> Securepoint – Bequem viele Zertifikate via CLI erstellen https://www.systemtechnics.de/securepoint-bequem-viele-zertifikate-via-cli-erstellen/ Sat, 03 Feb 2018 15:29:22 +0000 http://www.systemtechnics.de/?p=2373 Um mittels CLI der Securepoint UTM bequem viele Zertifikate zu erstellen habe ich mir ein kleines Excel Dokument erstellt, welches mir den entsprechenden CLI Befehl „zusammenbaut“.

Es wird dabei der Befehl zum Erstellen eines Benutzerzertifikats, als auch den Befehl zum Anlegen Benutzer selbst ausgegeben.

Voraussetzung dabei ist, dass eine entsprechende CA zuvor erstellt wurde. Die ID der CA wird für das Excel-Dokument benötigt und kann mit folgendem Befehl ganz einfach ermittelt werden:

ssh admin@10.68.0.1 'cert get' |grep "CA:TRUE"

Diese ID merken wir uns und tragen diese gleich in die Konfigurationsseite des Excel Dokuments ein.

Starten wir nun das Excel Dokument und wechseln auf das Blatt „Config“. Dort tragen wir an markierter Stelle die zuvor ermittelte ID der CA ein. Natürlich passen wir die Organisationsdaten auf unsere eigenen Bedürfnisse an.

Anschliessend wechseln wir wieder zum Blatt „Anwender“ und geben jeweils Vorname, Nachname, Mailadresse und Passwort ein. Oben wird auch noch ein zufälliges Passwort angeboten. Diese kann man in die Zwischenablage kopieren, sollte aber beim Einfügen aufpassen das nur die Werte in das Feld eingefügt werden!

In der Spalte „E“ befinden sich nun die CLI Befehle um die drei Beispiel-Zertifikate anzulegen. In der Spalte „F“ sind die Befehle um die Benutzer anzulegen.

Num muss man sich nur als admin auf der SecurePoint UTM mittels SSH anmelden und nacheinander die Befehle hinkopieren und ausführen.
Auf diese Art kann man sehr einfach viele Nutzer anlegen. Leider muss man in der Variante 1.3 meines Excel Dokuments im Anschluss über das Webinterface noch die Nutzerrechte anpassen. Für openVPN z.B. muss man im Benutzer noch das entsprechende Zertifikat zuordnen.
Die „grobe“ Arbeit ist aber erst mal getan und die Nutzer sind beim Abspeichern des Excel Dokuments auch gleich dokumentiert.

Wer mag kann das PRE beim Benutzer- und Zertifikatsnamen noch anpassen oder leer lassen. Dies kann man im Tabellenblatt „Config“ einfach bewerkstelligen.

]]>