ISPConfig 2 + Probleme mit SSL-Zertifkaten

[hahni]

Hallo zusammen,

ich wollte mir gerade für eine Kundenpräsenz mit ISPConfig 2 über die grafische Oberfläche einen Zertifikats-Request generieren. Das klappt auch soweit.

Doch wenn ich bei GeoTrust dann ein Zertifikat bestellen möchte, dann erscheint folgende Meldung:

--
Die Schlüsselgröße in Ihrer CSR gilt nicht mehr als sicher. In den Best Practices für die Sicherheit wird eine Mindestgröße von 2048 Bit gefordert. Senden Sie eine neue CSR mit einer Schlüsselgröße von mindestens 2048 Bit.
--

Vermutlich erzeugt ISPConfig 2 nur 1024 bit lange Zertifikate. Kann man das irgendwo umstellen?

Viele Grüße

Hahni

 

[million68]

Moin moin,

unter /usr/local/ispconfig/server/plugins-available/apache2_plugin.inc.php in Zeile 140 default_bits von 1024 auf 2048 umstellen. Theoretisch könntest du das auch auf 4096 bit einstellen. Das ist mit ISPConfig 2 möglich.

Viel Erfolg
Johannes

 

[hahni]

Hallo Johannes,

weder der Pfad noch die Datei sind auf meinem System vorhanden. Kann es sein, dass das für ISPConfig 3 gilt, auch wenn du ISPConfig 2 geschrieben hast?

Viele Grüße

Hahni

 

[million68]

Moin moin,

ich habe nochmal nachgeschaut, scheinbar hab ich mich vertan. Offenbar musst du es manuell generieren. Hier wird das ganz gut beschrieben. Link
Vielleicht hilft dir das weiter.

Viel Erfolg
Johannes

 

[hahni]

Genau das Tut hatte ich auch schon gefunden. Und das wollte ich eigentlich vermeiden, denn so kann niemand unter ISPConfig 2 ohne SSH-Zugriff Zertifikate erzeugen. Sehr schade eigentlich. Aber hilft ja nichts... Trotzdem 1000 Dank für deine Hilfe. Ich werde mal probieren, ob ich damit klar kommen werde.

 

[million68]

Vielleicht hab ich hier doch was. Versuche mal dieser Beschreibung zu folgen...

1. edit the openssl.cnf.master file
(typically it is in /root/ispconfig/isp/conf)
change the "default_bits" from "1024" to "2048"

2. edit the file config.lib.php
(typically it is in /root/ispconfig/scripts/lib
Change the "1024" to "2048" in the following command:

openssl genrsa -des3 -rand $rand_file -passout pass:$ssl_password -out $key_file 1024 && openssl req -new -passin pass:$ssl_password -passout pass:$ssl_password -key

3. restart ispconfig (i.e. service ispconfig_server restart)

 

[hahni]

Die Änderungen klingen interessant, aber ich habe irgendwie den Eindruck, dass die grafische Oberfläche scheinbar damit nicht klar kommt.

Denn dann müsste ich wieder einen Request absetzen über die Oberfläche und dann in das /var/www/webXXX/ssl-Verzeichnis den Request und das Zertifikat schieben. Und genau das will ich eigentlich nicht.

Echt blöd, dass das nciht geht. ISPConfig 2 ist echt spitze. Kann doch nicht sein, dass es an so einer Kleinigkeit scheitern soll.

 

[million68]

Also eigentlich sollten nach der Änderung, automatisch 2048 bit CSR erstellt werden. Warum sollte die grafische Oberfläche damit nicht zurechtkommen?

 

[F4RR3LL]

hahni ich bin gespannt wann Du auch mit dem letzten Webserver von ispconfig 2 weg bist Passt zwar nicht zum Thema hier aber wollts mal schreiben.
Sind ja doch mittlerweile ein Haufen Sachen die Outdated sind.

Grüßlaaa Sven

 

[hahni]

Die erste Datei habe ich abgeändert. In der zweiten Datei habe ich zwar die Zeile gefunden, doch dort steht schon 4096...

--
openssl genrsa -des3 -rand $rand_file -passout pass:$ssl_password -out $key_file 4096 ...
--

 

[million68]

Was sagt den GeoTrust zur neuen CSR, wird es akzeptiert?

 

[hahni]

Sehr lieb, dass du diesbezüglich noch einmal nachfragst. Deine vorgeschlagenen Änderungen habe ich an ISPConfig 2 durchgeführt. Demnach müssten alle weiteren Requests dann eine Länge von 2048 bit haben.

Im aktuellen Fall hatte ich den Request über die Console erzeugt und dann in die Registerkarte "SSL" der ISPConfig 2-Oberfläche eingetragen. Der Request wurde von GeoTrust akzeptiert.

Vorhin hatte ich das Zertifikat erhalten. Dann habe ich das ebenfalls in der ISPConfig 2-Oberfläche hinterlegt und den Apache-Dienst neu gestartet. Laut Browser funktioniert nun wieder alles wunderbar.

Schwere Geburt, aber nächstes Jahr sollte das einfacher und vor allem wieder über die Oberfläche gehen ! Vielen Dank für deinen tollen Support !

 

[hahni]

hahni ich bin gespannt wann Du auch mit dem letzten Webserver von ispconfig 2 weg bist Passt zwar nicht zum Thema hier aber wollts mal schreiben.
Sind ja doch mittlerweile ein Haufen Sachen die Outdated sind.

Grüßlaaa Sven

Huhu Sven,

ich liebe aber ISPConfig 2 und bin noch immer sehr traurig darüber, dass es nicht weiter entwickelt wird. Neue Systeme setze ich freilich mit ISPConfig 3 auf. Die alten ISPConfig 2-Systeme laufen aber weiter. Da will ich auch gar nichts dran ändern. Außerdem soll es doch irgendwann mal ein Migrations-Tool geben, meinte Till...

Übrigens: es gibt auch andere Fans von ISPConfig 2. So hab ich gerade eine Benachrichtigung von diesem Thread hier erhalten... [FONT=&quot]Upgraded to Ubuntu 12.04, ISPConfig 2 stopped working - Page 2 - HowtoForge Forums | HowtoForge - Linux Howtos and Tutorials[/FONT]

Viele Grüße

Hahni