Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

SSL Zertifikat für DynDNS wild card Vertrauenswürdig machen

Frage Sicherheit Verschlüsselung & Zertifikate

Mitglied: Tele81

Tele81 (Level 1) - Jetzt verbinden

06.08.2012 um 11:25 Uhr, 6959 Aufrufe, 18 Kommentare

Hallo ich habe mir ein SSL Zertifikat erstellt habe aber nur ein dyndns account.

Mein Problem ist nun das ich eine Webseite in Facebook integrieren möchte als APP, FB aber nur gesicherte Verbindungen zulässt.

Mein Zertifikat ist selbst Signiert und daher nicht Vertrauenswürdig.

Gibt es eine kostenlose Möglichkeit das Zertifikat Vertrauenswürdig zu machen?

Das ganze läuft auf einen Ubuntu Server mit Apache2 und openssl
Mitglied: catachan
06.08.2012 um 11:48 Uhr
Hi

denke nicht dass das klappt. Du müsstest schon der Besitzer des dyndns Domain sein (was du ja nicht bist). Es gibt nur die Möglichkeit eine eigene Domain anzumelden und einen DNS Hoster zu suchen, der deine Einträge dynamisch updaten lässt (oder du betreibst deinen eigenen DNS). Alternativ würde auch ne fixe IP gehen.

LG
Bitte warten ..
Mitglied: Tele81
06.08.2012 um 11:56 Uhr
Welche Systemvoraussetzungen benötige ich für ein DNS?

Reicht ein VM mit 128MB RAM und 5GB HDD?

Wo finde ich ein Tutorial dafür?

Danke erstmal....
Bitte warten ..
Mitglied: catachan
06.08.2012 um 12:05 Uhr
Hi

als DNS Server kannst du BIND verwenden. Tutorials gibt es massig. Ich gebe aber zu bedenken dass Deine Seite nicht erreichbar ist wenn dein DNS Server nicht läuft. Bei den Ressourcen kommt es drauf an wieviele User/ bzw Anfragen du erwartest.

LG
Bitte warten ..
Mitglied: nxclass
06.08.2012, aktualisiert um 12:49 Uhr
Mein Zertifikat ist selbst Signiert und daher nicht Vertrauenswürdig.
so wie ich den TO verstehe, hat er ja bereits ein Zertifikat - muss es aber nur von Offizeller Seite noch Zertifizieren lassen.

evtl hilft Dir: http://www.cacert.org/

Kann man nicht den öffentlichen Key Facebook zur Verfügung stellen, so dass dein Zertifikat "angenommen" ist.

Edit: ich habe selbst ein Wildcard Zertifikat auf einer Linux VM und DynDNS - das geht auch, solange der Client das annimmt/akzeptiert.
Bitte warten ..
Mitglied: Tele81
06.08.2012 um 13:58 Uhr
Genau das cert ist schon da nur mich stört es das es selbst signiert ist.
Ein normaler User wird die Seite nicht sehen können bevor er sie nicht zu den Ausnahmen hinzugefügt hat und unter einem Frame geht das schonmal nicht.
Bitte warten ..
Mitglied: catachan
06.08.2012 um 14:01 Uhr
Hi

du kannst aber nicht einfach ein Zertifikat für die Domain dyndns.org bei einer öffentlichen Stelle signieren lassen. Du musst nachweisen dass du der BEsitzer bist (was du nicht bist). Sonst könnte ja jeder herkommen und z.B: für microsoft.com ein Zertifikat erwerben.

LG
Bitte warten ..
Mitglied: nxclass
06.08.2012, aktualisiert um 15:27 Uhr
Sonst könnte ja jeder herkommen und z.B: für microsoft.com ein Zertifikat erwerben.
Dies ist wohl im eigenen Interesse des Ausstellers.

http://www.verisign.de/ssl/free-30day-trial/index.html

ein Auszug aus einem Shell Script das ich dazu mal gefunden hatte:
01.
#	GENERATE A KEY AND A SELF-SIGNED CERT ## 
02.
openssl req \ 
03.
-x509 -nodes -days 3652 \ 
04.
-subj "/CN=*.$DOMAIN/O=none/OU=private/C=DE/ST=$STATE/L=$CITY/emailAddress=$EMAIL" \ 
05.
-newkey rsa:1024 -keyout $DOMAIN.key -out $DOMAIN.self-signed.crt 
06.
#	GENERATE A CERTIFICATE-SIGNING-REQUEST TO SEND TO A CERTIFICATE AUTHORITY ## 
07.
	openssl req -new -key $DOMAIN.key \ 
08.
	-subj "/CN=*.$DOMAIN/O=none/OU=private/C=DE/ST=$STATE/L=$CITY/emailAddress=$EMAIL" \ 
09.
	-out $DOMAIN.csr 
10.
 
11.
#	Send your Certificate Signing Request (.csr) file to your SSL Certificate Authority (i.e Verisign, or GoDaddy for me, etc. ) 
12.
#		- purchase the cert from them. 
13.
#		- paste them the contents of /etc/httpd/ssl/_.yoursite.com/_.yoursite.com.csr 
14.
#		- follow their directions. 
15.
#	Your Certificate Authority will send you 2 files 
16.
#		- 1st File : A new Certificate (.crt) file (generated by the "CA" Certificate Authority)  
17.
#		- put the contents of this file in a file named :  
18.
#			/etc/httpd/ssl/_.yoursite.com/_.yoursite.com.crt 
19.
#		- In your httpd.conf file under the VirtualHost Section remove the self-signed part of your cert filename. 
20.
#			from : SSLCertificateFile ssl/_.yoursite.com/_.yoursite.com.self-signed.crt 
21.
#			to : SSLCertificateFile ssl/_.yoursite.com/_.yoursite.com.crt 
22.
#		- 2nd File : A Certificate Authority Bundle filee (.cabundle) 
23.
#		- put the contents of this file in a file named: 
24.
#			/etc/httpd/ssl/_.yoursite.com/_.yoursite.com.cabundle 
25.
#		- uncommet the line in your httpd.conf file. 
26.
#			from : #SSLCACertificateFile ssl/_.yoursite.com/_.yoursite.com.cabundle 
27.
#			to : SSLCACertificateFile ssl/_.yoursite.com/_.yoursite.com.cabundle
kann mir aber Vorstellen, dass so ein Wildcard Zertifikat nicht besonders billig ist.

EDIT: auch noch was: http://www.thawte.de/ssl/wildcard-ssl-certificates/index.html
Bitte warten ..
Mitglied: nxclass
06.08.2012, aktualisiert um 15:49 Uhr
Preise: http://www.psw.net/ssl-zertifikate.cfm
... ich hab die Seite gleich wieder zu gemacht - ist ja Wahnsinn
Bitte warten ..
Mitglied: maretz
06.08.2012 um 16:01 Uhr
Bevor du dir zuhause nen dns hinstellst lies bitte durch welche anforderungen es da gibt - z.b redundante anbindung... Und auch da wirst du keinen gueltigen dns fuer dyndns hinbekommen...

Nebenbei: das zertifikat soll auf dynamischen ips auch nich unbedingt gueltig sein..
Bitte warten ..
Mitglied: filippg
06.08.2012, aktualisiert um 18:41 Uhr
Hallo,

Nebenbei: das zertifikat soll auf dynamischen ips auch nich unbedingt gueltig sein..
Wieso das denn?
Bei DDNS und Dial-In-Netzen macht ein Zertifikat eher mehr Sinn als bei "normalem" Verbindungen, weil man damit eine engere Bindung zwischen DNS und Host schafft (die sich bei normalem DNS über das relativ stabile DNS und statische IP ergibt).

du kannst aber nicht einfach ein Zertifikat für die Domain dyndns.org bei einer öffentlichen
Stelle signieren lassen.
Das ist nicht richtig. Aber ein solches wird ja auch gar nicht benötigt.
Ein Zertifikat lautet ja auf einen Hostname, nicht auf eine Domain. Meistens nehmen die CAs einfach eine der in der WHOIS-DB hinterlegten Adressen für die Domain für die Verifizierung her, dann trifft das mit "müsstest du schon Besitzer sein" zu. Das ist aber nicht zwangsläufig so. Ich bin mir 100% sicher, dass mir auch schonmal eine CA angeboten hat, als Besitznachweis eine bestimmte Datei auf dem Webserver/Host, auf den das Zertifikat lauten soll abzulegen (und die CA hätte dann gecheckt, ob die Datei dort liegt). Leider weiß ich nicht mehr, welche es war, und es kann auch sein, dass das Vorgehen seither geändert wurde.

Vorschlag: Versuche einfach, dir bei http://www.instantssl.com/ ein Zertifikat signieren zu lassen, dass auf deine Hostnamen lautet. Zusätzlich kannst du es auch bei http://www.startssl.com/ probieren.

Gruß

Filipp
Bitte warten ..
Mitglied: Tele81
06.08.2012 um 18:48 Uhr
Die Preise sind ja Wahnsinn...
Bei http://www.startssl.com/ war ich schon da geht aber wild cards nicht for free ...

gibt es noch ne andere möglichkeit bei facebook eine externe url in die fanpage zu integrieren ohne das ich mir ein gültiges zertifikat kaufen muss....
Bitte warten ..
Mitglied: filippg
06.08.2012 um 18:50 Uhr
Hallo,

Bei http://www.startssl.com/ war ich schon da geht aber wild cards nicht for free ...
Wofür willst du denn ein Wildcard-Zertifikat?

Gruß

Filipp
Bitte warten ..
Mitglied: Tele81
06.08.2012 um 19:46 Uhr
Na sonst kann ich keine sub domain anmelden ... bei startssl klappt es zb. ja nicht mit dem free und sub domains...

wobei dyndns.org sogar auf der blacklist steht....
Bitte warten ..
Mitglied: filippg
06.08.2012 um 23:28 Uhr
Hallo,

Na sonst kann ich keine sub domain anmelden
und wofür brauchst du eine Subdomain? Oder, besser formuliert: bist du dir sicher, dass du eine Subdomain benötigst? Im Allgemeinen sollte doch ein Zertifikat für deinen Host, also myfunnyapp.dyndns.org genügen... (und wenn du mehrere Hosts hast, dann halt mehrere Zertifikate für mehrere Hosts).

Gruß

Filipp
Bitte warten ..
Mitglied: nxclass
07.08.2012 um 11:04 Uhr
Versuche doch mal dich mit Facebook in Verbindung zu setzen - das einfachste ist doch wenn Du deine eigenen öffentlichen Keys hochladen und verwalten könntest - sowas gibt es bei anderen Services auch.
Bitte warten ..
Mitglied: nxclass
07.08.2012 um 11:11 Uhr
mehrere Hosts hast, dann halt mehrere Zertifikate für mehrere Hosts
der TO hat sicherlich nur einen Rechner mit einer IP, da ist es "recht schwer" über einen SSL Port mehrere Zertifikate zu betreiben.

Das Problem ist im SSL Protokoll, was eigentlich nur eine Domain je IP zulässt. Nur mit einem Wildcart Zertifikat (oder spezieller Software) kann man mehrere Domains auf einer IP Verschlüsselt betreiben.
Bitte warten ..
Mitglied: Tele81
07.08.2012 um 20:19 Uhr
Zitat von nxclass:
> mehrere Hosts hast, dann halt mehrere Zertifikate für mehrere Hosts
der TO hat sicherlich nur einen Rechner mit einer IP, da ist es "recht schwer" über einen SSL Port mehrere
Zertifikate zu betreiben.


Sorry was meinst du mit TO?

Also ich habe einen Physikalischen Rechner und mehere VMs IPs dementsprechend auch mehrere sowie 2 Physikalische Ethernet Adapter.
Bitte warten ..
Mitglied: nxclass
08.08.2012 um 08:21 Uhr
Sorry was meinst du mit TO?
Thread Opener

einen Physikalischen Rechner und mehere VMs IPs dementsprechend auch mehrere sowie 2 Physikalische Ethernet Adapter.
.. dann kannst du natürlich einfach für jede IP ein Zertifikat anlegen.
ABER: wie wird den von außen auf deinen Rechner zugegriffen ? - sind das da auch 2 IPs ? - gehen ja schlecht 2 Ports 443 auf einer IP.

Egal: zertifizieren musst Du die dann ja auch - nur dass es ohne Wildcard etwas billiger ist.
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Exchange Server
gelöst Exchange 2010 Activesync Problem bei IOS 10.1.1 und Wildcard SSL Zertifikat (2)

Frage von hasel123 zum Thema Exchange Server ...

Verschlüsselung & Zertifikate
gelöst Wie bekomme ich ein kostenloses SSL Zertifikat? (13)

Frage von Yanmai zum Thema Verschlüsselung & Zertifikate ...

Hosting & Housing
gelöst SSL-Zertifikat: IP statt FQDN (3)

Frage von mrserious73 zum Thema Hosting & Housing ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...