Hallo,
mein SSL-Zertifikat auf meinem WAPT-Server läuft demnächst ab.
Aufgrund eines Providerwechsels stammt das neue Zertifikat nicht von derselben Zertifizierungsstelle wie das erste (das vor zwei Jahren ausgestellt wurde).
Wie kann ich dieses neue Zertifikat auf meinem Server einsetzen, ohne die Verbindung zu meinen WAPT-Clients zu verlieren?
Aktuell überprüfe ich das Serverzertifikat mit einem Zertifikatspaket, das die Zertifizierungsstellen des alten Providers enthält.
Vielen Dank für Ihre Hilfe.
Wechsel der Zertifizierungsstelle.
Forumregeln
Community-Forumregeln
* Englischer Support auf www.reddit.com/r/wapt
* Französischer Community-Support ist in diesem Forum verfügbar.
* Bitte kennzeichnen Sie gelöste Themen mit [GELÖST].
* Bitte bearbeiten Sie keine Themen, die mit [GELÖST] markiert sind. Erstellen Sie stattdessen ein neues Thema und verweisen Sie auf das alte.
* Geben Sie die installierte WAPT-Version, die vollständige Versionsnummer und die Build-Nummer (2.2.1.11957 / 2.2.2.12337 / usw.) sowie die Enterprise-/Discovery-Edition an.
* Versionen 1.8.2 und älter werden nicht mehr unterstützt. Fragen zu Version 1.8.2 werden nur beantwortet, wenn sie sich auf ein Upgrade auf eine unterstützte Version (2.1, 2.2 usw.) beziehen.
* Geben Sie das Server-Betriebssystem (Linux/Windows) und die Version (Debian Buster/Bullseye – CentOS 7 – Windows Server 2012/2016/2019) an.
* Geben Sie gegebenenfalls das Betriebssystem des Administrations-/Paketerstellungsrechners und des Rechners mit dem problematischen Agenten an (Windows 7/10/11/Debian 11/etc.).
* Vermeiden Sie es, mehrere Fragen in einem Thema zu stellen, da diese sonst möglicherweise ignoriert werden. Falls mehrere Themen relevant sind, erstellen Sie bitte separate Themen, vorzugsweise nacheinander und nicht gleichzeitig (d. h. vermeiden Sie Spam im Forum).
* Fügen Sie Code-Snippets, Screenshots und andere Bilder direkt in Ihren Beitrag ein. Links zu Pastebin, Bitly und anderen Drittanbieterseiten werden systematisch entfernt.
* Wie in jedem Community-Forum erfolgt die Unterstützung freiwillig durch die Mitglieder. Für kommerziellen Support kontaktieren Sie bitte den Vertrieb von Tranquil IT unter +44 2 40 97 57 55.
Community-Forumregeln
* Englischer Support auf www.reddit.com/r/wapt
* Französischer Community-Support ist in diesem Forum verfügbar.
* Bitte kennzeichnen Sie gelöste Themen mit [GELÖST].
* Bitte bearbeiten Sie keine Themen, die mit [GELÖST] markiert sind. Erstellen Sie stattdessen ein neues Thema und verweisen Sie auf das alte.
* Geben Sie die installierte WAPT-Version, die vollständige Versionsnummer und die Build-Nummer (2.2.1.11957 / 2.2.2.12337 / usw.) sowie die Enterprise-/Discovery-Edition an.
* Versionen 1.8.2 und älter werden nicht mehr unterstützt. Fragen zu Version 1.8.2 werden nur beantwortet, wenn sie sich auf ein Upgrade auf eine unterstützte Version (2.1, 2.2 usw.) beziehen.
* Geben Sie das Server-Betriebssystem (Linux/Windows) und die Version (Debian Buster/Bullseye – CentOS 7 – Windows Server 2012/2016/2019) an.
* Geben Sie gegebenenfalls das Betriebssystem des Administrations-/Paketerstellungsrechners und des Rechners mit dem problematischen Agenten an (Windows 7/10/11/Debian 11/etc.).
* Vermeiden Sie es, mehrere Fragen in einem Thema zu stellen, da diese sonst möglicherweise ignoriert werden. Falls mehrere Themen relevant sind, erstellen Sie bitte separate Themen, vorzugsweise nacheinander und nicht gleichzeitig (d. h. vermeiden Sie Spam im Forum).
* Fügen Sie Code-Snippets, Screenshots und andere Bilder direkt in Ihren Beitrag ein. Links zu Pastebin, Bitly und anderen Drittanbieterseiten werden systematisch entfernt.
* Wie in jedem Community-Forum erfolgt die Unterstützung freiwillig durch die Mitglieder. Für kommerziellen Support kontaktieren Sie bitte den Vertrieb von Tranquil IT unter +44 2 40 97 57 55.
Schade, keine Antwort.
Daher beantworte ich die Frage selbst (vielleicht ist sie ja für jemand anderen hilfreich).
Mein Plan:
Ich werde versuchen, ein Paket bereitzustellen, das das Pinning (verify_cert = 1) auf den Clients deaktiviert.
Da die Zertifikate nicht selbstsigniert sind, bleibt die SSL-Verschlüsselung erhalten.
Sobald diese Änderung auf alle Clients übertragen wurde, werde ich die Zertifikate meiner neuen Zertifizierungsstelle auf meinem WAPT-Server austauschen und überprüfen, ob die Kommunikation weiterhin einwandfrei funktioniert.
Viele Grüße,
Daher beantworte ich die Frage selbst (vielleicht ist sie ja für jemand anderen hilfreich).
Mein Plan:
Ich werde versuchen, ein Paket bereitzustellen, das das Pinning (verify_cert = 1) auf den Clients deaktiviert.
Da die Zertifikate nicht selbstsigniert sind, bleibt die SSL-Verschlüsselung erhalten.
Sobald diese Änderung auf alle Clients übertragen wurde, werde ich die Zertifikate meiner neuen Zertifizierungsstelle auf meinem WAPT-Server austauschen und überprüfen, ob die Kommunikation weiterhin einwandfrei funktioniert.
Viele Grüße,
Das Verfahren funktionierte einwandfrei. Glücklicherweise hatte ich ein bis zwei Wochen Zeit, die neue Konfiguration auf den Clients bereitzustellen. Andernfalls wäre es mit Certificate Pinning und dem Wechsel der Zertifizierungsstelle unweigerlich zu einem Verbindungsverlust bei allen Clients gekommen.
Beachten Sie das Zertifikatspaket in nginx :
Das öffentliche Zertifikatspaket (/opt/wapt/waptserver/ssl/cert.pem) muss in der angegebenen Reihenfolge das Serverzertifikat, dann die Zwischenzertifikate und schließlich das Root-Zertifikat enthalten. Mein Provider (GEANT) hat sie in umgekehrter Reihenfolge bereitgestellt.
Mein Fazit: Kein Pinning, wenn Sie gültige (nicht selbstsignierte) Zertifikate verwenden.
Beachten Sie das Zertifikatspaket in nginx :
Das öffentliche Zertifikatspaket (/opt/wapt/waptserver/ssl/cert.pem) muss in der angegebenen Reihenfolge das Serverzertifikat, dann die Zwischenzertifikate und schließlich das Root-Zertifikat enthalten. Mein Provider (GEANT) hat sie in umgekehrter Reihenfolge bereitgestellt.
Mein Fazit: Kein Pinning, wenn Sie gültige (nicht selbstsignierte) Zertifikate verwenden.
