innovaphone Forum

You are here

Help with Search (new window)
Picture of tkla
Registered 3 years 248 days
tkla Wednesday, 31 March 2021, 12:30 PM
HTTPS Zertifikat intern verteilen
Hallo liebe Community,
ich versuche verzweifelt meinen Kollegen das neue myAPPS zur Verfügung zu stellen. Unser Dienstleister hat vor einigen Tagen bei uns das Update von v12 auf v13 gemacht und nun würde ich den Kollegen gerne Zugang zu myApps gewähren.

Damit das vernünftig läuft und auch das Softphone benutzt werden kann muss die Seite ja über HTTPS aufgerufen werden.

Nun kann ich zwar das, logischerweise nicht vertrauenswürdige Zertifikat, der 3011 per GPO an alle Rechner verteilen (und habe das auch schon getan), es taucht bei den Clients auch unter "Vertrauenswürdige Stammzertifizierungsstellen" auf, aber alle Browser meckern trotzdem weiter.

Sowohl Edge als auch der Firefox ESR (ist so konfiguriert das der Windows-Zertifikatsspeicher benutzt werden soll) zeigen eben die Warnung an das das Zertifikat nicht vertrauenswürdig ist.

Ich habe einen internen DNS-Eintrag der als voip.mydomain.de auf meine interne Anlage verweist. Extern bekomme ich noch ein gültiges Zertifikat, aber intern muss ich die Warnmeldung wegbekommen.

Wie habt ihr das bei euch gelöst?

Ich bin ein wenig am verzweifeln.

Vielen Dank vorab!
Picture of Olaf 1639
Registered 10 years 260 days
Olaf 1639 Wednesday, 31 March 2021, 01:20 PM
Re: HTTPS Zertifikat intern verteilen
Hallo tkla

am besten ein güliges Zertifikat verwenden oder selbst eine erstellen wie hier beschrieben:
http://wiki.innovaphone.com/index.php?title=Howto:Creating_custom_Certificates_using_a_Windows_Certificate_Authority


Wir verwenden im Normalfall bei unseren Kunden öffentliche Wildcard Zertifikate.

Gruß Olaf
Picture of Peter 627
Registered 13 years 133 days
Peter 627 Wednesday, 31 March 2021, 02:06 PM in response to tkla
Re: HTTPS Zertifikat intern verteilen
Hi,

die Browser werden auch bei gültigen und für die Clients vertrauenswürdigen Zertifikaten melden das etwas nicht stimmt wenn der aufgerufene DNS oder auch IP nicht im Zertifikat steht. Es gibt eigentlich immer drei bzw. vier Gründe warum eine Zertifikatsmeldung kommt.

1. Dem Aussteller wird nicht vetraut.
2. Das Zertfifikat ist von der Ausstelldauer nicht mehr gültig.
3. Der Aufgrufende Verweis auf dem Webserver https://dnsname-of-pbx/.... steht nicht im Zerifikat.
4. (seit glaube ich letztem Jahr) Wenn das Zertfikat noch ein "sha1" Zertfikat ist.

Dein Thema wird wahrscheinlich Punkt 3 sein.
Wenn du / der Kunde kein Zertifikat haben, kannst du auf dem Gerät auch ein Selfsigned austellen und dort dann die Daten in die Felder DNS/IP reinschreiben. Hierbei kannst du z.B. die IP zusätzlich in ein weiteres DNS Feld schreiben. Dadurch gäbe es auch keine Meldung wenn du die PBX per IP Aufrufst.

(siehe Anhang)..

Bei der APP Platform geht das allerdings nicht so einfach mit den SelfSigned, da musste du dann ein externes Tool nehmen. z.B. (XCA für Windows.).

Oder du lässt die ein Zertifikat von der Stelle des Kunden ausstellen.

Oder du nutztest direkt ein öffentlich gültiges Wildcard. Aber auch hier müssen dann intern / extern die DNS Einträge passen und richtig verweisen.

Gruß

Peter
cert.JPG

Picture of tkla
Registered 3 years 248 days
tkla Wednesday, 31 March 2021, 02:54 PM
Re: HTTPS Zertifikat intern verteilen
Hallo,
vielen Dank für die ganzen Infos!

Gut, das bedeutet ich wende mich nun an unser Rechenzentrum und lasse mir ein Wildcard-Zertifikat ausstellen.

Dieses muss ich dann in der 3011 importieren und bin erst mal safe was den externen Weg angeht, korrekt?

Intern verweist der DNS voip.mydomain.de natürlich auch auf die interne IP. Ist das dann noch ein Problem da nicht 84.1.2.3 sondern 10.1.2.4 aufgerufen wird?

Und wenn ja wie biege ich das dann gerade? Mit dem Selfsigned Zertifikat was dann zusätzlich an die Clients ausgerollt wird?
Picture of Peter 627
Registered 13 years 133 days
Peter 627 Wednesday, 31 March 2021, 04:02 PM
Re: HTTPS Zertifikat intern verteilen
Der Trick ist ja::

Wildcard auf "*.domain.de".
Intern : pbx.domain.de ==> Interne IP der PBX (Verwendung Wildcard).
Extern: pbx.domain.de ==> Reverse Proxy (Verwendung des Wildcard).

Damit solltest du dann safe sein für alles ;).


Picture of Muschelpuster
Registered 7 years 354 days
Muschelpuster Saturday, 3 April 2021, 10:42 AM
Re: HTTPS Zertifikat intern verteilen
Wichtig ist, dass bei Wildcards nur eine SUB-Domainebene abgesichert ist. Wenn man also PBX.VoIP.Dom.Tld und Apps.VoIP.Dom.Tld hat, dann muss das Wildcard auf *.VoIP.Dom.Tld ausgestellt sein, *.Dom.Tld funktioniert nicht.

begrenzte Grüße
Niels
Picture of Paul 5213
Registered 3 years 324 days
Paul 5213 Thursday, 1 April 2021, 03:58 PM in response to tkla
Re: HTTPS Zertifikat intern verteilen
Für Chrome und den anderen Browsern ist es auch ganz wichtig, dass im Zertifikat immer der DNS-Name von der Website bei dem Feld "Alternativer Antragstellername" richtig steht. Ansonsten wird dem Zertifikat im Browser nie vertraut werden. Wenn du das Zertifikat über die Microsoft Active Directory Certificate Services erstellst, musst du dann bevor du dein Zertifiakt mit dem CSR requested, bei den Additonal Attributes deine URL angeben (z.B. san:dns=testdomain.de).
← You can define your color theme preference here