18
SSL Zertifikat für DynDNS wild card Vertrauenswürdig machen
Hallo ich habe mir ein SSL Zertifikat erstellt habe aber nur ein dyndns account.
Mein Problem ist nun das ich eine Webseite in Facebook integrieren möchte als APP, FB aber nur gesicherte Verbindungen zulässt.
Mein Zertifikat ist selbst Signiert und daher nicht Vertrauenswürdig.
Gibt es eine kostenlose Möglichkeit das Zertifikat Vertrauenswürdig zu machen?
Das ganze läuft auf einen Ubuntu Server mit Apache2 und openssl
Mein Problem ist nun das ich eine Webseite in Facebook integrieren möchte als APP, FB aber nur gesicherte Verbindungen zulässt.
Mein Zertifikat ist selbst Signiert und daher nicht Vertrauenswürdig.
Gibt es eine kostenlose Möglichkeit das Zertifikat Vertrauenswürdig zu machen?
Das ganze läuft auf einen Ubuntu Server mit Apache2 und openssl
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 189157
Url: https://administrator.de/contentid/189157
Printed on: April 19, 2024 at 06:04 o'clock
18 Comments
Latest comment
Hi
denke nicht dass das klappt. Du müsstest schon der Besitzer des dyndns Domain sein (was du ja nicht bist). Es gibt nur die Möglichkeit eine eigene Domain anzumelden und einen DNS Hoster zu suchen, der deine Einträge dynamisch updaten lässt (oder du betreibst deinen eigenen DNS). Alternativ würde auch ne fixe IP gehen.
LG
denke nicht dass das klappt. Du müsstest schon der Besitzer des dyndns Domain sein (was du ja nicht bist). Es gibt nur die Möglichkeit eine eigene Domain anzumelden und einen DNS Hoster zu suchen, der deine Einträge dynamisch updaten lässt (oder du betreibst deinen eigenen DNS). Alternativ würde auch ne fixe IP gehen.
LG
Welche Systemvoraussetzungen benötige ich für ein DNS?
Reicht ein VM mit 128MB RAM und 5GB HDD?
Wo finde ich ein Tutorial dafür?
Danke erstmal....
Reicht ein VM mit 128MB RAM und 5GB HDD?
Wo finde ich ein Tutorial dafür?
Danke erstmal....
Hi
als DNS Server kannst du BIND verwenden. Tutorials gibt es massig. Ich gebe aber zu bedenken dass Deine Seite nicht erreichbar ist wenn dein DNS Server nicht läuft. Bei den Ressourcen kommt es drauf an wieviele User/ bzw Anfragen du erwartest.
LG
als DNS Server kannst du BIND verwenden. Tutorials gibt es massig. Ich gebe aber zu bedenken dass Deine Seite nicht erreichbar ist wenn dein DNS Server nicht läuft. Bei den Ressourcen kommt es drauf an wieviele User/ bzw Anfragen du erwartest.
LG
Mein Zertifikat ist selbst Signiert und daher nicht Vertrauenswürdig.
so wie ich den TO verstehe, hat er ja bereits ein Zertifikat - muss es aber nur von Offizeller Seite noch Zertifizieren lassen.evtl hilft Dir: http://www.cacert.org/
Kann man nicht den öffentlichen Key Facebook zur Verfügung stellen, so dass dein Zertifikat "angenommen" ist.
Edit: ich habe selbst ein Wildcard Zertifikat auf einer Linux VM und DynDNS - das geht auch, solange der Client das annimmt/akzeptiert.
Genau das cert ist schon da nur mich stört es das es selbst signiert ist.
Ein normaler User wird die Seite nicht sehen können bevor er sie nicht zu den Ausnahmen hinzugefügt hat und unter einem Frame geht das schonmal nicht.
Ein normaler User wird die Seite nicht sehen können bevor er sie nicht zu den Ausnahmen hinzugefügt hat und unter einem Frame geht das schonmal nicht.
Hi
du kannst aber nicht einfach ein Zertifikat für die Domain dyndns.org bei einer öffentlichen Stelle signieren lassen. Du musst nachweisen dass du der BEsitzer bist (was du nicht bist). Sonst könnte ja jeder herkommen und z.B: für microsoft.com ein Zertifikat erwerben.
LG
du kannst aber nicht einfach ein Zertifikat für die Domain dyndns.org bei einer öffentlichen Stelle signieren lassen. Du musst nachweisen dass du der BEsitzer bist (was du nicht bist). Sonst könnte ja jeder herkommen und z.B: für microsoft.com ein Zertifikat erwerben.
LG
Sonst könnte ja jeder herkommen und z.B: für microsoft.com ein Zertifikat erwerben.
Dies ist wohl im eigenen Interesse des Ausstellers.http://www.verisign.de/ssl/free-30day-trial/index.html
ein Auszug aus einem Shell Script das ich dazu mal gefunden hatte:
# GENERATE A KEY AND A SELF-SIGNED CERT ##
openssl req \
-x509 -nodes -days 3652 \
-subj "/CN=*.$DOMAIN/O=none/OU=private/C=DE/ST=$STATE/L=$CITY/emailAddress=$EMAIL" \
-newkey rsa:1024 -keyout $DOMAIN.key -out $DOMAIN.self-signed.crt
# GENERATE A CERTIFICATE-SIGNING-REQUEST TO SEND TO A CERTIFICATE AUTHORITY ##
openssl req -new -key $DOMAIN.key \
-subj "/CN=*.$DOMAIN/O=none/OU=private/C=DE/ST=$STATE/L=$CITY/emailAddress=$EMAIL" \
-out $DOMAIN.csr
# Send your Certificate Signing Request (.csr) file to your SSL Certificate Authority (i.e Verisign, or GoDaddy for me, etc. )
# - purchase the cert from them.
# - paste them the contents of /etc/httpd/ssl/_.yoursite.com/_.yoursite.com.csr
# - follow their directions.
# Your Certificate Authority will send you 2 files
# - 1st File : A new Certificate (.crt) file (generated by the "CA" Certificate Authority)
# - put the contents of this file in a file named :
# /etc/httpd/ssl/_.yoursite.com/_.yoursite.com.crt
# - In your httpd.conf file under the VirtualHost Section remove the self-signed part of your cert filename.
# from : SSLCertificateFile ssl/_.yoursite.com/_.yoursite.com.self-signed.crt
# to : SSLCertificateFile ssl/_.yoursite.com/_.yoursite.com.crt
# - 2nd File : A Certificate Authority Bundle filee (.cabundle)
# - put the contents of this file in a file named:
# /etc/httpd/ssl/_.yoursite.com/_.yoursite.com.cabundle
# - uncommet the line in your httpd.conf file.
# from : #SSLCACertificateFile ssl/_.yoursite.com/_.yoursite.com.cabundle
# to : SSLCACertificateFile ssl/_.yoursite.com/_.yoursite.com.cabundlekann mir aber Vorstellen, dass so ein Wildcard Zertifikat nicht besonders billig ist.
EDIT: auch noch was: http://www.thawte.de/ssl/wildcard-ssl-certificates/index.html
Preise: http://www.psw.net/ssl-zertifikate.cfm
... ich hab die Seite gleich wieder zu gemacht - ist ja Wahnsinn
... ich hab die Seite gleich wieder zu gemacht - ist ja Wahnsinn
Bevor du dir zuhause nen dns hinstellst lies bitte durch welche anforderungen es da gibt - z.b redundante anbindung... Und auch da wirst du keinen gueltigen dns fuer dyndns hinbekommen...
Nebenbei: das zertifikat soll auf dynamischen ips auch nich unbedingt gueltig sein..
Nebenbei: das zertifikat soll auf dynamischen ips auch nich unbedingt gueltig sein..
Hallo,
Bei DDNS und Dial-In-Netzen macht ein Zertifikat eher mehr Sinn als bei "normalem" Verbindungen, weil man damit eine engere Bindung zwischen DNS und Host schafft (die sich bei normalem DNS über das relativ stabile DNS und statische IP ergibt).
Ein Zertifikat lautet ja auf einen Hostname, nicht auf eine Domain. Meistens nehmen die CAs einfach eine der in der WHOIS-DB hinterlegten Adressen für die Domain für die Verifizierung her, dann trifft das mit "müsstest du schon Besitzer sein" zu. Das ist aber nicht zwangsläufig so. Ich bin mir 100% sicher, dass mir auch schonmal eine CA angeboten hat, als Besitznachweis eine bestimmte Datei auf dem Webserver/Host, auf den das Zertifikat lauten soll abzulegen (und die CA hätte dann gecheckt, ob die Datei dort liegt). Leider weiß ich nicht mehr, welche es war, und es kann auch sein, dass das Vorgehen seither geändert wurde.
Vorschlag: Versuche einfach, dir bei http://www.instantssl.com/ ein Zertifikat signieren zu lassen, dass auf deine Hostnamen lautet. Zusätzlich kannst du es auch bei http://www.startssl.com/ probieren.
Gruß
Filipp
Nebenbei: das zertifikat soll auf dynamischen ips auch nich unbedingt gueltig sein..
Wieso das denn?Bei DDNS und Dial-In-Netzen macht ein Zertifikat eher mehr Sinn als bei "normalem" Verbindungen, weil man damit eine engere Bindung zwischen DNS und Host schafft (die sich bei normalem DNS über das relativ stabile DNS und statische IP ergibt).
du kannst aber nicht einfach ein Zertifikat für die Domain dyndns.org bei einer öffentlichen
Stelle signieren lassen.
Das ist nicht richtig. Aber ein solches wird ja auch gar nicht benötigt.Stelle signieren lassen.
Ein Zertifikat lautet ja auf einen Hostname, nicht auf eine Domain. Meistens nehmen die CAs einfach eine der in der WHOIS-DB hinterlegten Adressen für die Domain für die Verifizierung her, dann trifft das mit "müsstest du schon Besitzer sein" zu. Das ist aber nicht zwangsläufig so. Ich bin mir 100% sicher, dass mir auch schonmal eine CA angeboten hat, als Besitznachweis eine bestimmte Datei auf dem Webserver/Host, auf den das Zertifikat lauten soll abzulegen (und die CA hätte dann gecheckt, ob die Datei dort liegt). Leider weiß ich nicht mehr, welche es war, und es kann auch sein, dass das Vorgehen seither geändert wurde.
Vorschlag: Versuche einfach, dir bei http://www.instantssl.com/ ein Zertifikat signieren zu lassen, dass auf deine Hostnamen lautet. Zusätzlich kannst du es auch bei http://www.startssl.com/ probieren.
Gruß
Filipp
Die Preise sind ja Wahnsinn...
Bei http://www.startssl.com/ war ich schon da geht aber wild cards nicht for free ...
gibt es noch ne andere möglichkeit bei facebook eine externe url in die fanpage zu integrieren ohne das ich mir ein gültiges zertifikat kaufen muss....
Bei http://www.startssl.com/ war ich schon da geht aber wild cards nicht for free ...
gibt es noch ne andere möglichkeit bei facebook eine externe url in die fanpage zu integrieren ohne das ich mir ein gültiges zertifikat kaufen muss....
Hallo,
Gruß
Filipp
Bei http://www.startssl.com/ war ich schon da geht aber wild cards nicht for free ...
Wofür willst du denn ein Wildcard-Zertifikat?Gruß
Filipp
Na sonst kann ich keine sub domain anmelden ... bei startssl klappt es zb. ja nicht mit dem free und sub domains...
wobei dyndns.org sogar auf der blacklist steht....
wobei dyndns.org sogar auf der blacklist steht....
Hallo,
Gruß
Filipp
Na sonst kann ich keine sub domain anmelden
und wofür brauchst du eine Subdomain? Oder, besser formuliert: bist du dir sicher, dass du eine Subdomain benötigst? Im Allgemeinen sollte doch ein Zertifikat für deinen Host, also myfunnyapp.dyndns.org genügen... (und wenn du mehrere Hosts hast, dann halt mehrere Zertifikate für mehrere Hosts).Gruß
Filipp
Versuche doch mal dich mit Facebook in Verbindung zu setzen - das einfachste ist doch wenn Du deine eigenen öffentlichen Keys hochladen und verwalten könntest - sowas gibt es bei anderen Services auch.
mehrere Hosts hast, dann halt mehrere Zertifikate für mehrere Hosts
der TO hat sicherlich nur einen Rechner mit einer IP, da ist es "recht schwer" über einen SSL Port mehrere Zertifikate zu betreiben.Das Problem ist im SSL Protokoll, was eigentlich nur eine Domain je IP zulässt. Nur mit einem Wildcart Zertifikat (oder spezieller Software) kann man mehrere Domains auf einer IP Verschlüsselt betreiben.
Zitat von @nxclass:
> mehrere Hosts hast, dann halt mehrere Zertifikate für mehrere Hosts
der TO hat sicherlich nur einen Rechner mit einer IP, da ist es "recht schwer" über einen SSL Port mehrere
Zertifikate zu betreiben.
> mehrere Hosts hast, dann halt mehrere Zertifikate für mehrere Hosts
der TO hat sicherlich nur einen Rechner mit einer IP, da ist es "recht schwer" über einen SSL Port mehrere
Zertifikate zu betreiben.
Sorry was meinst du mit TO?
Also ich habe einen Physikalischen Rechner und mehere VMs IPs dementsprechend auch mehrere sowie 2 Physikalische Ethernet Adapter.
Sorry was meinst du mit TO?
Thread Openereinen Physikalischen Rechner und mehere VMs IPs dementsprechend auch mehrere sowie 2 Physikalische Ethernet Adapter.
.. dann kannst du natürlich einfach für jede IP ein Zertifikat anlegen.ABER: wie wird den von außen auf deinen Rechner zugegriffen ? - sind das da auch 2 IPs ? - gehen ja schlecht 2 Ports 443 auf einer IP.
Egal: zertifizieren musst Du die dann ja auch - nur dass es ohne Wildcard etwas billiger ist.
