Server-Zertifikat

[Markus1970]

Hallo,

ich bräuchte da mal Hilfe ?

Hoffentlich kennt sich einer mit Zertifikaten aus!? Ich habe einen Server auf dem bald das Zertifikat abläuft:

Mac OS X 10.6.8
selbst signiertes Zertifikat

Jetzt habe ich den folgenden Link gefunden:
http://tomoconnor.eu/blogish/renewing-ssl-certificate-osx-server/#.UeL1FhbrK_J

Das Zertifikat soll wieder durch ein selbstsigniertes ersetzt werden.

Kann mir Jemand weiterhelfen, ich werde nicht so ganz schlau aus der Beschreibung!?
Was bedeutet "Strip the passphrase from..." (unter Punkt 6)?

Wäre sehr dankbar für Tipps?

Markus

 

[beage]

Warum eigentlich selbstsigniert? Ich habe eines von comodo und zahle dafür 5,90 Euro im Jahr.

 

[xentric]

Warum eigentlich selbstsigniert? Ich habe eines von comodo und zahle dafür 5,90 Euro im Jahr.

Ist da die Frage? Warum signieren lassen, wenn das eh völliger Schwachsinn ist?

TE:
Steht unten drunter in der Anleitung der Befehl, dafür ist openssl rsa (Keymanagement) da:

tom.oconnor@cloud-white:/tmp$ openssl rsa -in wibblesplat.key -out wibblesplat.unprotected.key

sonst kannst du mal openssl rsa help eingeben, dann werden die einzelnen Parameter erklärt.

Also die Datei wibblesplat.unprotected.key ist dann der key, ohne password, daher auch der Name

 

[beage]

Ist da die Frage? Warum signieren lassen, wenn das eh völliger Schwachsinn ist?

Warum Schwachsinn?

 

[win2mac]

Wenn es eh selbst signiert ist kannst Du doch das ganze doch wieder über die Server Admin Gui erstellen / erneuern.

Gruß

win2mac

 

[xentric]

Warum Schwachsinn?

Na, weil so viele Masterzertifikate rausgeholt wurden aus den Buden, wer soll denn da noch glauben, dass die irgendwas wert sind?!

Diginotar: http://www.heise.de/security/meldun...-CA-Hacks-schlimmer-als-erwartet-1336603.html
VeriSign:http://www.theregister.co.uk/2011/09/07/globalsign_suspends_ssl_cert_biz/
Hier hat einer mal n paar Certs gesammelt: http://pastebin.com/1AxH30em
Hier hat selbst Google falsche Certs: http://www.heise.de/security/meldung/Falsches-Google-Zertifikat-ist-Folge-eines-Hacks-1333588.html
Und selbst MS musste schon ihr Cert zurückrüfen, weil die Kacke Scheiße implementiert ist: http://blogs.technet.com/b/srd/arch...added-to-the-untrusted-certificate-store.aspx

Beschäftige dich einfach damit,.. und wirst noch einige mehr Beispiele finden, ..

Also wofür willst du Geld ausgeben? Das kannst du auch mir schicken. Beweisen dass das sicher ist, tust du damit sicher nicht.

 

[Markus1970]

Ist da die Frage? Warum signieren lassen, wenn das eh völliger Schwachsinn ist?

TE:
Steht unten drunter in der Anleitung der Befehl, dafür ist openssl rsa (Keymanagement) da:

tom.oconnor@cloud-white:/tmp$ openssl rsa -in wibblesplat.key -out wibblesplat.unprotected.key

sonst kannst du mal openssl rsa help eingeben, dann werden die einzelnen Parameter erklärt.

Also die Datei wibblesplat.unprotected.key ist dann der key, ohne password, daher auch der Name

OK, Danke!

Wo kann man eigentlich sehen welche Dienste das Serverzertifikat benötigen? Im Server-Admin finde ich nur was im ICal und Web, was ist mit Open Directory!?

Was passiert wenn das Zertifikat abgelaufen ist?

Viel Fragen Sorry!

 

[SilverShadow]

Vertrauenssache der CAs hin oder her. Dennoch macht es sicherlich noch weniger Vertrauen, wenn er eine Webseite betreibt, welche nur über ein fehlerhaftes Zertifikat zu erreichen ist, oder?
Mich als User nervt sowas jedenfalls.

 

[xentric]

Vertrauenssache der CAs hin oder her. Dennoch macht es sicherlich noch weniger Vertrauen, wenn er eine Webseite betreibt, welche nur über ein fehlerhaftes Zertifikat zu erreichen ist, oder?
Mich als User nervt sowas jedenfalls.

Und, wo ist der Zusammenhang? deshalb stellt er jetzt ja ein aus, ..

 

[SilverShadow]

Der Einwurf mit dem "Schwachsinn" und dem hier:

Na, weil so viele Masterzertifikate rausgeholt wurden aus den Buden, wer soll denn da noch glauben, dass die irgendwas wert sind?!

Ein selbstsigniertes führt doch bei Anwendern trotzdem zu Fehlermeldungen, weil es nicht in den Root-CAs ist.
Zusammenhang auch für Dich rübergebracht?

 

[xentric]

Der Einwurf mit dem "Schwachsinn" und dem hier:


Ein selbstsigniertes führt doch bei Anwendern trotzdem zu Fehlermeldungen, weil es nicht in den Root-CAs ist.
Zusammenhang auch für Dich rübergebracht?

Ja, und? Deshalb, wegen der tollen Fehlermeldung, ist das weniger wert, als das gehackte Master-CA? Du hast es nicht verstanden. Das ganze System ist kaputt. Und diese tolle Fehlermeldung. Ja, .. wer hat die überhaupt da reingebaut das man da 20x klicken muss?!

Zusammenhang auch für dich rübergebracht?!

 

[win2mac]

OK, Danke!

Wo kann man eigentlich sehen welche Dienste das Serverzertifikat benötigen? Im Server-Admin finde ich nur was im ICal und Web, was ist mit Open Directory!?

Was passiert wenn das Zertifikat abgelaufen ist?

Viel Fragen Sorry!

Bei email war es auch. Ist schon zu lange her mit meinem 10.6 Server. Mußt halt alles mal durchschauen bei Server Admin.
Zu 2. Wenn abgelaufen funktioniert dein Server (Dienste) ganz normal weiter, du kriegst halt nur die Meldungen.
Das ist doch sicher kein Server für Kunden, oder?

Gruß

win2mac

 

[beage]

Beschäftige dich einfach damit,.. und wirst noch einige mehr Beispiele finden, ..

Also wofür willst du Geld ausgeben? Das kannst du auch mir schicken. Beweisen dass das sicher ist, tust du damit sicher nicht.

Ich beschäftige mich damit seit vielen Jahren beruflich. Ich entwickle u.a. Erweiterungen für Shopsysteme. Online-Shops kommen ohne Zertifikate nicht aus! Oder besser gesagt, es steigert enorm das Vertrauen der Kunden. Du kaufts nichts online? Oder ist es Dir egal, ob der Server per SSL verschlüsselt? Auch kein Online-Banking?

 

[beage]

Jetzt hab ich sogar noch den falschen Post geliked, ich Depp!

 

[beage]

Der Einwurf mit dem "Schwachsinn" und dem hier:


Ein selbstsigniertes führt doch bei Anwendern trotzdem zu Fehlermeldungen, weil es nicht in den Root-CAs ist.
Zusammenhang auch für Dich rübergebracht?

Runterschlucken und ausspucken! Es muss immer Leute geben, die alles besser wissen und sich in Foren als Helden profilieren.

 

[SilverShadow]

Danke @beage

@Markus1970: Als Alternative zum selber erstellen, kann ich dir noch www.startssl.com nennen.
Bei heise gab es auch mal einen Artikel dazu.

 

[win2mac]

Ich beschäftige mich damit seit vielen Jahren beruflich. Ich entwickle u.a. Erweiterungen für Shopsysteme. Online-Shops kommen ohne Zertifikate nicht aus! Oder besser gesagt, es steigert enorm das Vertrauen der Kunden. Du kaufts nichts online? Oder ist es Dir egal, ob der Server per SSL verschlüsselt? Auch kein Online-Banking?

Am meisten Vertrauen hätte ich natürlich wenn die Zertifikate von der NSA direkt ausgestellt würden und nicht erst von VeriSign

Gruß

win2mac

 

[beage]

Am meisten Vertrauen hätte ich natürlich wenn die Zertifikate von der NSA direkt ausgestellt würden und nicht erst von VeriSign

Gruß

win2mac

War klar, dass sowas kommt. Aktuelle Themen müssen natürlich aufgegriffen werden. Vor 2 Monaten hat das noch keine Sau interessiert. Machst Du jetzt Dein Online-Banking lieber ohne Zertifikat oder gar nicht mehr?
Ist mir doch Rille ob die NSA meinen Kontostand sieht!

 

[Hausbesetzer]

Ist mir doch Rille ob die NSA meinen Kontostand sieht!

Wenn Dir das wurscht ist, kannst Du ihn ja auch hier posten

 

[Markus1970]

Danke @beage

@Markus1970: Als Alternative zum selber erstellen, kann ich dir noch www.startssl.com nennen.
Bei heise gab es auch mal einen Artikel dazu.

Ich werde es erstmal wieder mit einem selbstsignierten Zertifikat versuchen.

Danke für die schnellen Antworten.