 |
|
|
|
| Autor |
Nachricht |
mwiefel
Anmeldungsdatum: 09.12.2011
Beiträge: 3
Wohnort: Münster
|
 Verfasst am:
Fr 09 Dez, 2011 13:33 |
  |
|
Hallo,
ich habe ein Problem mit dem L-54g 
Der Router dient als Access Point für einen HotSpot. Der Hotspot hat eine Private IP (192.168.0.199). Mein Problem ist, dass die Verbindung mit Https hergestellt wird und das Zertifikat, welches ich selber erstellt habe natürlich nicht verifiziert werden kann 
Gibt es eine Möglichkeit mein SSL Zertifikat vom Server auf den Router Hochzuladen, sodass jeder der sich auf dem Router verbindet es bekommt?
Diese Meldung ist echt nervig (Das Zertifikat ist nicht sicher...)
Danke im voraus für eure Antworten =)
mfg
Max |
|
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
alf29
Moderator
Anmeldungsdatum: 07.11.2004
Beiträge: 4500
Wohnort: Aachen
|
| Verfasst am:
So 11 Dez, 2011 10:15 |
|
|
Moin,
ich weiß jetzt nicht, was Du mit 'vom Server auf den Router hochladen meinst', vielleicht erstmal
ein paar grundsätzliche Ausführungen:
Damit ein beliebiger Client das Zertifikat eines HTTPS-Servers ohne Fehlermeldungen akzeptiert,
müssen mindestens zwei Bedingungen gegeben sein:
1. Das Zertifikat muß von einer CA ausgestellt sein, deren Root-Zertifikat beim Client zu diesem
Zeitpunkt bereits installiert ist.
2. Der Name des angesprochenen Servers muß identisch mit den Common Name im Zertifikat
sein.
Im Auslieferungszustand ist mindestens Bedingung (1) nicht erfüllt, kann sie auch nicht sein, wir
wissen ja nicht, unter welchem Hostnamen die Clients das LANCOM nachher beim Public-Spot-
Login ansprechen werden. Wer die Fehlermeldungen des Browsers loswerden möchte, der
muß sich deshalb üblicherweise
1. bei einer der 'bekannten' Zertifizierungsstellen wie z.B. Verisign ein Zertifikat ausstellen lassen
und dies ins LANCOM hochladen
2. den im Zertifikat hinterlegten Common bzw. Host-Namen im LANCOM unter Setup->Public-Spot->
Device-Hostname hinterlegen. Damit sagt man dem LANCOM, daß es in den Anmeldeseiten diesen
Hostnamen und nicht seine IP-Adresse in dem HTTPS-Link benutzt
3. Im DNS-Server, der den Clients per DHCP zugeteilt wird, dafür sorgen, daß dieser Hostname
auf die IP-Adresse des LANCOM auflösbar ist.
Beim 'Hochladen von Zertifikaten' bitte beachten, daß zu einem Gerätezertifikat auch immer ein
entsprechender privater Schlüssel gehört, der mit im LANCOM vorhanden sein muß. Alleine mit
dem im Zertifikat enthaltenen öffentlichen Schlüssel kann man Signaturen verifizieren, aber der
Server kann keine solchen erzeugen.
Wem das alles zu kompliziert ist und wer damit leben kann, daß Anmeldepaßwörter im Klartext
übers WLAN gehen, der kann unter Setup->HTTP den Login-Page-Type von HTTPS auf HTTP
umstellen.
Gruß Alfred |
|
|
 |
|
mwiefel
Anmeldungsdatum: 09.12.2011
Beiträge: 3
Wohnort: Münster
|
| Verfasst am:
Fr 16 Dez, 2011 10:33 |
|
|
Erstmal danke für die Antwort.
Mein Problem ist nur, dass der Server im privaten Netz steht.. (192.168.0.199).
Kann ich sowas Zertifizieren lassen? Bin leider ein totaler Neuling in dem Gebiet und dachte es wäre möglich, das Zertifikat in den Router zu laden und die Clients bekommen es dann von dem. Ich kann leider auch nicht das Zertifikat bei jeden Client installieren.
MfG
Max |
|
|
|
|
alf29
Moderator
Anmeldungsdatum: 07.11.2004
Beiträge: 4500
Wohnort: Aachen
|
| Verfasst am:
Fr 16 Dez, 2011 11:48 |
|
|
Moin,
| Zitat:
|
Mein Problem ist nur, dass der Server im privaten Netz steht.. (192.168.0.199).
Kann ich sowas Zertifizieren lassen?
|
Also 'offizielle' Zertifiziertungsstellen a la Verisign stellen
üblicherweise keine Zertifikate auf IP-Adressen aus, nur
auf Hostnamen.
| Zitat:
|
|
Ich kann leider auch nicht das Zertifikat bei jeden Client installieren.
|
Dann wirst Du nicht darum herumkommen, Dir ein
Zertifikat von einer Zertifizierungsstelle zu besorgen, die
den Browsern 'bekannt' ist. Und dieses Zertikfikat muß
dann aufs LANCOM, mit Deinem 'Server' dahinter hat das
alles nichts zu tun, denn die Anmeldedaten der Clients
landen beim LANCOM.
Gruß Alfred |
|
|
|
|
mwiefel
Anmeldungsdatum: 09.12.2011
Beiträge: 3
Wohnort: Münster
|
| Verfasst am:
Fr 16 Dez, 2011 13:45 |
|
|
Und wieder Danke für die schnelle Antwort =)
Mein "Problem" bleibt weiterhin dass es um eine Private IP geht ohne Hostnamen oder ähnliches.
Kann ich die auch verifizieren lassen?
Eine .csr hab ich bereits. |
|
|
|
|
alf29
Moderator
Anmeldungsdatum: 07.11.2004
Beiträge: 4500
Wohnort: Aachen
|
| Verfasst am:
Fr 16 Dez, 2011 13:50 |
|
|
Moin,
wie geschrieben, nein, darauf stellen CAs üblicherweise keine
CAs aus. Du mußt dafür sorgen, daß die Clients per DHCP
einen DNS-Server bekommen, der in der Lage ist, den im
ausgestellten Zertifikat stehenden Hostnamen auf diese
(private) IP-Adresse aufzulösen.
Gruß Alfred |
|
|
|
|
|
|
|
|
| |
|
|
