innovaphone Forum

You are here

Help with Search (new window)
Picture of Paul 5213
Registered 3 years 312 days
Paul 5213 Friday, 24 November 2023, 11:40 AM
[Implemented] A certificate has expired or will expire soon
Hallo Forum,

erhalte folgende Meldung auf unserer PBX.

17.01.2022-01:13:47  
Alarm
 0x000c1001 Indeterminate   x509 A certificate has expired or will expire soon

Habe jetzt nur bei einem Zertifikat (.innovaphone.com) gesehen, dass es am 15.02.2022 ablaufen würde. Ist damit das gemeint? Wenn ja wird das dann dem System automatisch zugeschickt und man muss es neu "trusten"?

*.innovaphone.com Sectigo RSA Domain Validation Secure Server CA 15.01.2021 15.02.2022

Grüße

(Edited by Sebastian Hayer-Lutz (innovaphone) - original submission Monday, 17 January 2022, 09:39 AM)

Picture of Uwe 172
Registered 12 years 263 days
Uwe 172 Monday, 17 January 2022, 09:50 AM
1 of 1 users consider this post helpful
Re: A certificate has expired or will expire soon
Hallo Paul,

im V13r2sr8 ist ein neues Zertifikat enthalten.
Das wird bald online gehen.

Das Zertifikat wird es sicherlich auch wieder separat zum Herunterladen geben.

Gesicherte Grüße
Uwe
Picture of Maurice 4820
Registered 4 years 338 days
Maurice 4820 Monday, 17 January 2022, 09:48 AM in response to Paul 5213
1 of 1 users consider this post helpful
Re: A certificate has expired or will expire soon
Hi,

das wird das genannte Zertifikat betreffen. Siehe hier:


Kurzgesagt ist das wildcard-Zertifikat für den push-Dienst. Entweder neues Zertifikat händisch einspielen oder ein Update auf die neuste Version machen (m.w.n. noch nicht released).

Liebe Grüße

Maurice
Picture of Volker Schmid (innovaphone)
Moderator Registered 13 years 16 days
Volker Schmid (innovaphone) Tuesday, 18 January 2022, 09:36 AM in response to Paul 5213
2 of 2 users consider this post helpful
Re: A certificate has expired or will expire soon
Hallo zusammen,
ein neues bis 10.02.2023 gültiges Zertifikat ist in den gestern erschienenen Firmwareupdates drin und kann auch hier separat heruntergeladen werden (Punkt 2).
Gruß
Picture of Marco 3371
Registered 7 years 241 days
Marco 3371 Wednesday, 19 January 2022, 10:43 AM
Re: A certificate has expired or will expire soon
Hallo,

das neue Cert ist nach dem Update auf Sr8 überall drauf.

Nur leider aber auch das noch alte bald ablaufende.

Löscht sich das von selbst ab dem 15.02.22?

Gruß Marco

Cert.png

Picture of ThomasAH
Registered 3 years 178 days
ThomasAH Wednesday, 19 January 2022, 03:59 PM
Re: A certificate has expired or will expire soon
Hallo!

Ich gehe nicht davon aus, dass das automatisch geloescht wird, wir haben im RP und in den Telefonen mit 13r2sr8 zusaetzlich noch ein aelteres:
*.innovaphone.com COMODO RSA Domain Validation Secure Server CA 14.11.2017
11.02.2021

Es waere aber schoen, wenn man abgelaufene Zertifikate automatisch entfernen koennte oder das Loeschen wenigstens leicht fuer alle Geraete verteilen koennte. Gibt es da was?

Gruesse,
Thomas
Picture of Maurice 4820
Registered 4 years 338 days
Maurice 4820 Wednesday, 19 January 2022, 05:00 PM
Re: A certificate has expired or will expire soon
Hallo zusammen,

automatisch entfernt wird das auf keinen Fall. Es gibt in dem Sinne nur zwei Möglichkeiten:

1. Händisch löschen
2. Entfernen via Update-Skripte:
!mod cmd X509 form /item-trusted-9c43518c2c29a689a5486417bcf6111c1a1e7e4fa820378215d5d86234b6f3eda0f07e43 on /trusted-delete Remove
Allerdings ist Option 1 in größeren Systemen sehr aufwändig und Option 2 für viele Systeme vermutlich keine "Mache ich mal grade"-Option, da die Updates nicht mehr über solche Skripte verteilt werden.

Option 3 ist dann mein way to go: Größtenteils ignorieren smile

Edit: Altes Zertifikat erst nach dem 15.02. löschen! Bis dahin wird das noch benötigt.

Liebe Grüße

Maurice
Picture of Muschelpuster
Registered 7 years 342 days
Muschelpuster Friday, 21 January 2022, 05:39 PM
Re: A certificate has expired or will expire soon
Bei mir war mit dem Update auf V13r2sr8 das alte Zertifikat weg und so ging Push nicht mehr. Ich habe mir jetzt von einer anderen Anlage das Alte heruntergeladen und auf meine Kiste hochgeladen - schon geht Push auf wieder smile

zwischenzeitliche Grüße
Niels
Picture of Lutz 2512
Registered 9 years 26 days
Lutz 2512 Friday, 21 January 2022, 09:55 AM in response to Volker Schmid (innovaphone)
Re: A certificate has expired or will expire soon
Hallo Volker,

Gilt das auch für 12er Installationen die push nutzen müssen ?
besser, gilt das auch für 12er Installationen bei denen es sehr aufwändig (Kunde anrufen, Teamviewersitzung oder schlimmeres,...) ist mich da aufzuschalten?
Es werden Kosten verursacht, die der Kunde zahlen muss oder soll, ...

Ich denke innovaphone könnte sich hier mal was überlegen.
In Richtung : Automatische Zertifikatverlängerung OHNE dass man hier nochmal händisch tätig werden muss. LetsEncrypt kann's ja auch.

Das Zertifikat braucht man aktuell für Push-Dienste, und die sind ja eh schon "internetfähig". Das sollte von der PBX aus laufen. Zumindest ich habe Installationen V12 ohne LAP. Da fällt mir ein , ich habe auch V13er ohne AppPlatform. smile

Gruss Lutz Miethe

Picture of Uwe 172
Registered 12 years 263 days
Uwe 172 Friday, 21 January 2022, 11:50 AM
2 of 2 users consider this post helpful
Re: A certificate has expired or will expire soon
Hallo Lutz,

sorry, aber ich finde Lets Encrypt ist leider auch nicht die eierlegende Wollmichsau oder anders gesagt die technische Antwort auf alle Zertifikatsfragen.

Die Aktualisierung der Zertifikate ist ein allgemein gültiges und nicht von innovaphone herbeigeführtes "Problem".
Wobei Problem hier ja auch nicht der richtige Ausdruck ist, der Austausch dient letztendlich der Sicherheit.

Ich sehe das so:
Wege um das zu automatisieren sind der Update-Server oder aber mit eigenen Scripten ranzugehen.

Oder man geht das Zertifikatsthema im eigenen Netz zentral an und baut eine terminierende Instanz davor, die dann nach außen die passenden Zertifikate vorhält und ggf. auch zentral für LE zuständig ist.
Dann kannst du intern mit alten und eigenen oder gar keinen Zertifikaten arbeiten und hast einen zentralen Administrationspunkt.

<Ironie> Aus der Praxis wissen wir ja alle, dass intern ja ruhig alles ungeschützt sein kann, da passieren ja eh keine Angriffe. </Ironie>


Natürlich könnte sich innovaphone mal überlegen, ob man auf dem Push-Server öffentliche Zertifikate anderer Aussteller akzeptieren kann und man der Büchse sagen kann, welches Zertifikat für Push Verwendung finden kann.
Aber dass wird man in Sindelfingen sicher auch schon gesehen und sich aus guten Gründen bisher für den bisherigen Weg entschieden haben.

Aber eine Presales Anfrage zu diesen Überlegungen kann nicht schaden und im Forum einen Feature Request zu erstellen auch nicht.

Ausgestellte Grüße
Uwe
Picture of Mario 2388
Registered 9 years 97 days
Mario 2388 Friday, 21 January 2022, 12:15 PM
Re: A certificate has expired or will expire soon
Hallo

Hier mal meine Meinung zu dem Thema.
Eine Unterstützung für LE wäre sehr wünschenswert, da es eine stumpfsinnige und wiederkehrende Arbeit automatisch erledigen kann.
Das Problem in diesem Beitrag ist aber, dass die Trusted Zertifikate auf der Inno aktualisiert werden müssen.
Dies sollte aus meiner Sicht lösbar sein, denn die nötigen Funktionen dazu gibt es auf der Inno ja schon:
1. Prüfen und Downloaden von Inhalt aus dem Internet:
Maintenance -> Update hat diese Fähigkeit
2. automatisches Ausführen von Aufgaben:
Service -> Update kann in einem Intervall laufen (aka Cron Job)

Wenn diese beiden Funktionen nun clever kombiniert werden, haben wir eine Lösung big grin

kombinierte Grüsse
Mario


Picture of Danny 2274
Registered 9 years 158 days
Danny 2274 Friday, 21 January 2022, 12:58 PM in response to Uwe 172
Re: A certificate has expired or will expire soon
Hallo Uwe,

schöne Zusammenfassung der ganzen Problematik. Und guter Hinweis, dass das eine generelle Problematik bei Zertifikaten ist, die alle betrifft (z.B. auch alle Browseranbieter).

Dazu und zum Thema der Gültigkeit von "nur" einem Jahr hier zwei ergänzende Informationen:
https://www.heise.de/news/Browser-Hersteller-verkuerzen-Zertifikats-Lebensdauer-auf-1-Jahr-4796599.html bzw. https://heise.de/-4796599
https://www.globalsign.com/de-de/blog/ssl-tls-zertifikate-gelten-nun-maximal-ein-jahr
Picture of Uwe 172
Registered 12 years 263 days
Uwe 172 Friday, 21 January 2022, 03:16 PM
Re: A certificate has expired or will expire soon
Hallo Danny,

danke und danke für die Hinweise.

Erlesene Grüße
Uwe
Picture of Lutz 2512
Registered 9 years 26 days
Lutz 2512 Friday, 21 January 2022, 03:27 PM in response to Uwe 172
Re: A certificate has expired or will expire soon
Hi Uwe,
war ja nur ein Beispiel das es geht. ich möchte auch keine LE-certs auf ner inno sehen.
smile Lutz
Picture of Sebastian Hayer-Lutz (innovaphone)
Moderator Registered 6 years 332 days
Sebastian Hayer-Lutz (innovaphone) Friday, 24 November 2023, 12:01 PM in response to Paul 5213
Re: A certificate has expired or will expire soon
Hallo zusammen,

dieses Problem ist ab 14r1 gelöst.

a) Devices kann nun automatisch die Trust Liste pflegen
https://wiki.innovaphone.com/index.php?title=Reference14r1:Concept_App_Service_Devices#Certificates_configuration

b) Es gibt eine Lets Encrypt App um die eigenen Zertifikate aktuell zu halten
https://wiki.innovaphone.com/index.php?title=Reference14r1:Concept_Let%27s_Encrypt
← You can define your color theme preference here