| View previous topic :: View next topic |
| Author |
Message |
ConiKost
Developer
Joined: 11 Jan 2005
Posts: 1365
|
 Posted: Mon Jun 05, 2006 11:06 pm Post subject: Probleme mit Webmin und SSL |
 |
|
Hallo!
Ich habe mir hier Webmin installiert
Läuft auch super über SSL.
Jedoch habe ich ein Problem mit Zertifikaten ...
Wenn ich im lokalen Netzwerk Webmin aufrufe, dann wird das richtige Zertifikat für 192.168.0.254 aufgerufen ...
Wenn ich aber nun von auÃerhalb aufrufe, http://metabox.dyndns.org:10000 dann wird aber das falsche Zertifikat geladen. Es ist das wieder für 192.168.0.254 ... jedoch nicht das per Standardeingestellte für Metabox.DynDNS.org
Jemand ne Idee wie ich das löschen kann?
Wenn ich manuell das für 192.168.0.254 zugewiesene entferne, dann geht das ganze mit metabox.dyndns.org, aber lokal im netzwerk habe ich dann kein gültiges mehr! |
|
| Back to top |
|
 |
Pegasus87
Guru
Joined: 09 Sep 2004
Posts: 373
|
| Posted: Tue Jun 06, 2006 9:23 am Post subject: |
|
|
| Wenn du das lokale Zertifikat gesetzt hast und dann von außerhalb nicht über dyndns sondern über die IP zugreifst, gibt es dann auch diese Probleme? |
|
| Back to top |
|
|
ConiKost
Developer
Joined: 11 Jan 2005
Posts: 1365
|
| Posted: Tue Jun 06, 2006 12:48 pm Post subject: |
|
|
Hi!
Ja ...
wenn ich von außen über https://123.123.123.123:10000 zugreife wird trotzdem das Zertifikat für 192.168.0.254 benutzt...
Warum? |
|
| Back to top |
|
|
schotter
Guru
Joined: 30 Nov 2004
Posts: 497
Location: Germany, Bavaria, Bayreuth, Pottenstein, Tüchersfeld
|
| Posted: Tue Jun 06, 2006 2:24 pm Post subject: |
|
|
und wennste dir 'n 2.tes profil zulegst?
| Code: | firefox --help
Mozilla options
-height <value> Set height of startup window to <value>.
-h or -help Print this message.
-width <value> Set width of startup window to <value>.
-v or -version Print Firefox version.
-P <profile> Start with <profile>.
-ProfileManager Start with profile manager. |
mfg,
t.s. |
|
| Back to top |
|
|
ConiKost
Developer
Joined: 11 Jan 2005
Posts: 1365
|
| Posted: Tue Jun 06, 2006 2:55 pm Post subject: |
|
|
Wie meinst du das mit dem 2ten Profil ?
Ich nutze Opera und IE7 Beta 2 |
|
| Back to top |
|
|
schotter
Guru
Joined: 30 Nov 2004
Posts: 497
Location: Germany, Bavaria, Bayreuth, Pottenstein, Tüchersfeld
|
| Posted: Tue Jun 06, 2006 4:02 pm Post subject: |
|
|
| ConiKost wrote: | | Wie meinst du das mit dem 2ten Profil ? |
Ich hab jetzt grad nichts gefunden, ob Opera verschiedene Profile hand habt (oder nennt sich's dort "sessions"). Was ich mit Profilen meine wird hier http://www.firefox-browser.de/wiki/Profile ganz gut erklärt. Benutzer a für local und Benutzer b für's Internet. Oder nimm doch einfach verschiedene Browser, einen nur für local und einen nur für's Netz. (Was eigentlich das gleiche is, wie die Sach mit den Profilen)
mfg,
t.s. |
|
| Back to top |
|
|
Pegasus87
Guru
Joined: 09 Sep 2004
Posts: 373
|
| Posted: Tue Jun 06, 2006 5:31 pm Post subject: |
|
|
Vermutlich ist das mit den Profilen die einzige Möglichkeit. Ich kenne mich mit den SSL Zertifikaten nicht so aus, aber ich kann mir schon vorstellen, dass das bei Webmin so ausgelegt ist, dass immer nur ein PC das ganze steuern darf, sprich, es gibt nur ein Zertifikat für den PC, der zu erst kommt.... die IP wird dann entsprechend drauf ausgerichtet.
Mag sein, dass ich mich irre....  |
|
| Back to top |
|
|
ConiKost
Developer
Joined: 11 Jan 2005
Posts: 1365
|
| Posted: Tue Jun 06, 2006 5:36 pm Post subject: |
|
|
Hallo!
Aber wie bitte sollen hier Profile helfen?!
Ich habe gesagt.
Wenn ich in der Webmin Config die Zertifikate für 192.168.0.254 wegenehme wird wie es sollte das zertigikat für metabox.dyndns.org geladen, wenn ich diese url nutze.
Wenn ich nun aber in der webmin config für 192.168.0.254 eins zuweise, dann wird aber für metabox.dyndns.org das 192.168.0.254 zerttifikat genutzt. |
|
| Back to top |
|
|
Pegasus87
Guru
Joined: 09 Sep 2004
Posts: 373
|
| Posted: Tue Jun 06, 2006 5:49 pm Post subject: |
|
|
| ConiKost wrote: | Hallo!
Aber wie bitte sollen hier Profile helfen?!
Ich habe gesagt.
Wenn ich in der Webmin Config die Zertifikate für 192.168.0.254 wegenehme wird wie es sollte das zertigikat für metabox.dyndns.org geladen, wenn ich diese url nutze.
Wenn ich nun aber in der webmin config für 192.168.0.254 eins zuweise, dann wird aber für metabox.dyndns.org das 192.168.0.254 zerttifikat genutzt. |
???
Ja klar, macht ja auch Sinn!
Warum fügst du nicht beide IPs in die Liste ein? |
|
| Back to top |
|
|
ConiKost
Developer
Joined: 11 Jan 2005
Posts: 1365
|
| Posted: Tue Jun 06, 2006 6:05 pm Post subject: |
|
|
| Pegasus87 wrote: | | ConiKost wrote: | Hallo!
Aber wie bitte sollen hier Profile helfen?!
Ich habe gesagt.
Wenn ich in der Webmin Config die Zertifikate für 192.168.0.254 wegenehme wird wie es sollte das zertigikat für metabox.dyndns.org geladen, wenn ich diese url nutze.
Wenn ich nun aber in der webmin config für 192.168.0.254 eins zuweise, dann wird aber für metabox.dyndns.org das 192.168.0.254 zerttifikat genutzt. |
???
Ja klar, macht ja auch Sinn!
Warum fügst du nicht beide IPs in die Liste ein? |
Wieso macht das Sinn?
Das ganze ist momentan so:
Standardzertifikat für Metabox.DynDNS.org ist eingestellt ...
Zusätzlich für 192.*** das 192er ...
Wenn ich nun Webmin über https://192.168.0.254 aufrufe wird das 192.168.0.254 geladen.
Wenn ich nun Webmin über https://metabox.dyndns.org aufrufe wird aber trotzdem 192.168.0.254 zertifikat geladen?!
Warum? |
|
| Back to top |
|
|
Pegasus87
Guru
Joined: 09 Sep 2004
Posts: 373
|
| Posted: Tue Jun 06, 2006 6:15 pm Post subject: |
|
|
| Vielleicht, weil DynDNS auf die IP deines Rechners verweist und dann Webmin das als lokalen Aufruf erkennt???!!! Hmm.... |
|
| Back to top |
|
|
ConiKost
Developer
Joined: 11 Jan 2005
Posts: 1365
|
| Posted: Tue Jun 06, 2006 6:16 pm Post subject: |
|
|
| Pegasus87 wrote: | | Vielleicht, weil DynDNS auf die IP deines Rechners verweist und dann Webmin das als lokalen Aufruf erkennt???!!! Hmm.... |
Ja, aber warum geht das mit Apache dann? Apache erkennt korrekt 192 und Metabox.DynDNS.org ...
Webmin macht das irgendwie nicht. |
|
| Back to top |
|
|
Pegasus87
Guru
Joined: 09 Sep 2004
Posts: 373
|
| Posted: Tue Jun 06, 2006 6:23 pm Post subject: |
|
|
| ConiKost wrote: | | Pegasus87 wrote: | | Vielleicht, weil DynDNS auf die IP deines Rechners verweist und dann Webmin das als lokalen Aufruf erkennt???!!! Hmm.... |
Ja, aber warum geht das mit Apache dann? Apache erkennt korrekt 192 und Metabox.DynDNS.org ...
Webmin macht das irgendwie nicht. |
Nu ist Webmin auch ein abgespeckter Apache, vielleicht ist gerade diese Funktion mit verloren gegangen. Oder ein Bug, mal bei der Webminseite geguckt? |
|
| Back to top |
|
|
ConiKost
Developer
Joined: 11 Jan 2005
Posts: 1365
|
| Posted: Tue Jun 06, 2006 6:25 pm Post subject: |
|
|
| Pegasus87 wrote: | | ConiKost wrote: | | Pegasus87 wrote: | | Vielleicht, weil DynDNS auf die IP deines Rechners verweist und dann Webmin das als lokalen Aufruf erkennt???!!! Hmm.... |
Ja, aber warum geht das mit Apache dann? Apache erkennt korrekt 192 und Metabox.DynDNS.org ...
Webmin macht das irgendwie nicht. |
Nu ist Webmin auch ein abgespeckter Apache, vielleicht ist gerade diese Funktion mit verloren gegangen. Oder ein Bug, mal bei der Webminseite geguckt? |
Auf der Webmin Seite finde ich nix zum Thema  |
|
| Back to top |
|
|
think4urs11
Bodhisattva
Joined: 25 Jun 2003
Posts: 6659
Location: above the cloud
|
| Posted: Tue Jun 06, 2006 10:01 pm Post subject: |
|
|
was passiert denn wenn du auf dem Client von dem aus du auf Webmin von intern zugreifen willst mal spaßeshalber in dessen /etc/hosts 192.168.0.254 metabox.dyndns.org einträgst?
Oder allgemeiner gesagt: Sorg mal dafür das deine internen Clients den Webminserver unter seinem via dyndns bekannten Namen erreichen können aber eben mit dessen interner IP-Adresse.
Auf die Tour müßte eigentlich beides funktionieren, sowohl Webmin von 'außen' (über externe IP), wie von 'innen' (deine LAN-IP) und in beiden Fällen mit dem Zertifikat das auf metabox.dyndns.org läuft.
Das Zertifikat 'hängt' ja sozusagen am DNS-Namen, der SSL-Handshake findet aber statt bevor der jeweilige Webserver überhaupt weiß welche URL angesprochen werden soll. Deswegen geht es ja auch mit Apache nicht mehrere unterschiedliche SSL-Hosts (https://eins.de, https://zwei.de) auf der gleichen IP auf dem gleichen Port zu betreiben. (https://eins.de:443/, https://zwei.de:444/ geht allerdings dann wieder)
Alternativ könntest du dir auch ein 'catch-all'-Zertifikat ausstellen (als CN *.server.de, würde dann für eins.server.de/zwei.server.de/... gelten) oder zumindest eines das auf mehrere Namen läuft (subjectAltName setzen, z.B. subjectAltName: DNS:www.www.eins.de,DNS:www.zwei.de,...) - beides ziemlich tricky, vor allem wenn es ein 'offizielles Zert.' einer anerkannten CA sein soll - obige Methode ist vergleichsweise simpler 
_________________
Nothing is secure / Security is always a trade-off with usability / Do not assume anything / Trust no-one, nothing / Paranoia is your friend / Think for yourself |
|
| Back to top |
|
|
ConiKost
Developer
Joined: 11 Jan 2005
Posts: 1365
|
| Posted: Tue Jun 06, 2006 11:11 pm Post subject: |
|
|
Hi!
Dein Tipp hat leider nicht geholfen
Es wird weiterhin beim aufruf von metabox.dyndns.org das 192 Zertifikat geladen ... |
|
| Back to top |
|
|
schotter
Guru
Joined: 30 Nov 2004
Posts: 497
Location: Germany, Bavaria, Bayreuth, Pottenstein, Tüchersfeld
|
| Posted: Tue Jun 06, 2006 11:47 pm Post subject: |
|
|
Abend,
| ConiKost wrote: | | Aber wie bitte sollen hier Profile helfen?! |
ich versuchs nochmal anders. du erstellst dir 2 Benutzer, einen für's lan und einen für's wan. Der lan-Benutzer wird NUR für's lan verwendet, drum hat er dann auch nur DAS lan-Zertifikat. Und analog geht's mit'm wan-Benutzer.
Anstelle jetzt zwei Benutzer anzulegen, legst du einfach (je nachdem ob's dein Browser unterstützt) ein weiteres Profil an. In dem Link, den ich oben gepostet hab, steht was darin, dass sich ein anderes Profil anbietet, wenn man andere Erweiterungen testen will, ich nehm also mal an, dass die Profile von einander abgeschottet sind und keine Gemeinsamkeiten besitzen.
Ich hab dein Problem schon verstanden 
Versuch dich mal mit ein und dem selben Browser auf der Homepage xy mit verschiedenen Benutzernamen anzumelden. Da wirst du auch scheitern und um sowas zu umgehen, nehm ich entweder einen anderen Browser (z.B. Opera). (Wobei ich mir gerade garnicht sicher bin, ob man hierfür ein anderes Profil benutzen könnte. Bitte um Aufklärung )
mfg,
t.s. |
|
| Back to top |
|
|
ConiKost
Developer
Joined: 11 Jan 2005
Posts: 1365
|
| Posted: Wed Jun 07, 2006 11:39 am Post subject: |
|
|
| schotter wrote: | Abend,
| ConiKost wrote: | | Aber wie bitte sollen hier Profile helfen?! |
ich versuchs nochmal anders. du erstellst dir 2 Benutzer, einen für's lan und einen für's wan. Der lan-Benutzer wird NUR für's lan verwendet, drum hat er dann auch nur DAS lan-Zertifikat. Und analog geht's mit'm wan-Benutzer.
Anstelle jetzt zwei Benutzer anzulegen, legst du einfach (je nachdem ob's dein Browser unterstützt) ein weiteres Profil an. In dem Link, den ich oben gepostet hab, steht was darin, dass sich ein anderes Profil anbietet, wenn man andere Erweiterungen testen will, ich nehm also mal an, dass die Profile von einander abgeschottet sind und keine Gemeinsamkeiten besitzen.
Ich hab dein Problem schon verstanden
Versuch dich mal mit ein und dem selben Browser auf der Homepage xy mit verschiedenen Benutzernamen anzumelden. Da wirst du auch scheitern und um sowas zu umgehen, nehm ich entweder einen anderen Browser (z.B. Opera). (Wobei ich mir gerade garnicht sicher bin, ob man hierfür ein anderes Profil benutzen könnte. Bitte um Aufklärung )
mfg,
t.s. |
Hi!
Sry, ich bin irgendwie zu dumm. Wie soll das Profil helfen?
Schau, es ist doch egal, ob ich von außern metabox.dyndns.org aufrufe ?! Es wird dort ja leider 192.168.0.254 Zertifikat geladen? |
|
| Back to top |
|
|
think4urs11
Bodhisattva
Joined: 25 Jun 2003
Posts: 6659
Location: above the cloud
|
| Posted: Wed Jun 07, 2006 5:50 pm Post subject: |
|
|
| ConiKost wrote: | Hi!
Dein Tipp hat leider nicht geholfen
Es wird weiterhin beim aufruf von metabox.dyndns.org das 192 Zertifikat geladen ... |
Hast du Webmin auch so konfiguriert das es nur noch das Zertifikat für metabox.dyndns.org hat/findet?
Ich könnte mir vorstellen das sonst das erstbeste passende genommen wird. Und wenn erst die IP und dann der DNS-Eintrag gecheckt wird ob dafür ein Zertifikat vorhanden ist würde das das erklären.
_________________
Nothing is secure / Security is always a trade-off with usability / Do not assume anything / Trust no-one, nothing / Paranoia is your friend / Think for yourself |
|
| Back to top |
|
|
ConiKost
Developer
Joined: 11 Jan 2005
Posts: 1365
|
|
| Back to top |
|
|
schotter
Guru
Joined: 30 Nov 2004
Posts: 497
Location: Germany, Bavaria, Bayreuth, Pottenstein, Tüchersfeld
|
| Posted: Wed Jun 07, 2006 6:33 pm Post subject: |
|
|
| ConiKost wrote: | Wie soll das Profil helfen?
Schau, es ist doch egal, ob ich von außern metabox.dyndns.org aufrufe ?! Es wird dort ja leider 192.168.0.254 Zertifikat geladen? |
Ja schon, aber wenn in dem einen Profil kein Zertifikat vom lokalen Zugriff vorhanden ist, dann muss er doch das von metabox.dyndns.org nehmen, oder?
Du hast doch selber geschrieben, wenn du des Zertifikat rauslöscht, dann fragt er nach und holt sich's. |
|
| Back to top |
|
|
think4urs11
Bodhisattva
Joined: 25 Jun 2003
Posts: 6659
Location: above the cloud
|
| Posted: Wed Jun 07, 2006 7:24 pm Post subject: |
|
|
| Think4UrS11 wrote: | | Hast du Webmin auch so konfiguriert das es nur noch das Zertifikat für metabox.dyndns.org hat/findet? |
Schmeiß doch mal die 127.x/192.x Zertifikate raus und schau ob es dann geht (wie gesagt mit dem hosts-Trick von oben)
_________________
Nothing is secure / Security is always a trade-off with usability / Do not assume anything / Trust no-one, nothing / Paranoia is your friend / Think for yourself |
|
| Back to top |
|
|
ConiKost
Developer
Joined: 11 Jan 2005
Posts: 1365
|
| Posted: Wed Jun 07, 2006 7:51 pm Post subject: |
|
|
| Think4UrS11 wrote: |
| Think4UrS11 wrote: | | Hast du Webmin auch so konfiguriert das es nur noch das Zertifikat für metabox.dyndns.org hat/findet? |
Schmeiß doch mal die 127.x/192.x Zertifikate raus und schau ob es dann geht (wie gesagt mit dem hosts-Trick von oben) |
Hi!
Ja, wenn ich alle 127* und 192* wird immer Metabox.DynDNS.org benutzt (auch ohne den /etc/hosts Trick!)
|
|
| Back to top |
|
|
think4urs11
Bodhisattva
Joined: 25 Jun 2003
Posts: 6659
Location: above the cloud
|
| Posted: Wed Jun 07, 2006 8:02 pm Post subject: |
|
|
 und wo ist dann dein Problem?
_________________
Nothing is secure / Security is always a trade-off with usability / Do not assume anything / Trust no-one, nothing / Paranoia is your friend / Think for yourself |
|
| Back to top |
|
|
ConiKost
Developer
Joined: 11 Jan 2005
Posts: 1365
|
| Posted: Wed Jun 07, 2006 9:29 pm Post subject: |
|
|
Ich will, wenn ich in meinem lokalem Netzwerk 192.168.0.254:10000 aufrufe, soll das 192.168.0.254 Zertefikat geladen werden. Das ist auch ok.
Aber, wenn ich außerhalb meines netzweks metabox.dyndns.org:10000 aufrufe, dann wird nicht das metabox.dyndns.org zertifikat geladen, sondern das 192.168.0.254.
Wozu ist den sonst die zusätzliche einteilung der zertifikate? |
|
| Back to top |
|
|
|
Deutsches Forum (German)
