Guten Tag,
wenn ich Web-Config per https aufrufe - https://b003 - erhalte ich deas "Zertifikatsfenster" mit folgendem Inhalt:
- Der Servername »b003« passt nicht zum Zertifikatsnamen »www.lancom-systems.de«. Möglicherweise versucht jemand Sie zu belauschen.
- Das Stammzertifikat von »www.lancom-systems.de« ist Opera unbekannt. Opera kann nicht entscheiden, ob diesem Zertifikat vertraut werden kann.
Die Meldung weist imho auf ein fehlerhaftes Zertifikat hin.
Wo ist dieses Zertifikat abgelegt? Kann ich es gegen ein eigenes oder ein funktionierendes austauschen?
Gruß
Bernhard
Ungültiges Zertifikat bei https-Verbindung
Moderator: Lancom-Systems Moderatoren
-
AndreasMarx
- Beiträge: 131
- Registriert: 31 Jan 2005, 19:10
- Wohnort: München
Hallo Bernhard,
es handelt sich nicht um ein fehlerhaftes Zertifikat, sondern einfach nur um eines, das leider nicht austauschbar ist. Opera beschwert sich hier nur, daß die IP deines Routers auf b003 aufgelöst wird, der Servername im Zertifikat aber www.lancom-systems.de lautet.
Du kannst dem Zertifikat trauen und dann sicher über SSL arbeiten. Wenn Du sichergehen willst kannst Du Dir das Zertifikat anzeigen lassen (i.A. durch Doppelklick auf ein Schloßsymbol in der Statuszeile) und den MD5-Fingerprint überprüfen. Bei mir lautet der 43:54:DF:57:0A:F8:15:E4:29:DD:F4:5E:CD:E0:BD:91 --- das ist ein 1821B mit 5.04.0039
Nachdem jetzt Zertifikate und Schlüssel ladbar sind (für IKE/X.509), wären austauschbare SSH-Schlüssel und SSL-Zertifikate natürlich eine feine Sache. Genaugenommen sind die nicht austauschbaren sogar eine Sicherheitslücke (die Schlüssel müssen ja irgendwo in der Firmware drinstehen). Meines Wissens hat sich aber noch keiner die Mühe gemacht, die Schlüssel zu extrahieren.
Vielleicht sehen wir ja irgendwann mal ein Modell mit einem Smartcard-Reader...
Andreas
es handelt sich nicht um ein fehlerhaftes Zertifikat, sondern einfach nur um eines, das leider nicht austauschbar ist. Opera beschwert sich hier nur, daß die IP deines Routers auf b003 aufgelöst wird, der Servername im Zertifikat aber www.lancom-systems.de lautet.
Du kannst dem Zertifikat trauen und dann sicher über SSL arbeiten. Wenn Du sichergehen willst kannst Du Dir das Zertifikat anzeigen lassen (i.A. durch Doppelklick auf ein Schloßsymbol in der Statuszeile) und den MD5-Fingerprint überprüfen. Bei mir lautet der 43:54:DF:57:0A:F8:15:E4:29:DD:F4:5E:CD:E0:BD:91 --- das ist ein 1821B mit 5.04.0039
Nachdem jetzt Zertifikate und Schlüssel ladbar sind (für IKE/X.509), wären austauschbare SSH-Schlüssel und SSL-Zertifikate natürlich eine feine Sache. Genaugenommen sind die nicht austauschbaren sogar eine Sicherheitslücke (die Schlüssel müssen ja irgendwo in der Firmware drinstehen). Meines Wissens hat sich aber noch keiner die Mühe gemacht, die Schlüssel zu extrahieren.
Vielleicht sehen wir ja irgendwann mal ein Modell mit einem Smartcard-Reader...
Andreas
LANCOM 1722,1724,1821+,L-322agn dual,1681V,1781EW,1781VA,1781EW+
hmmm, so weit ist/war das klar. Ich finde es jedoch äußerst nervig, dass bei jedem https-Aufruf die "Fehlermeldung" erscheint.
Kennt jemand vielleicht eine Möglichkeit, dieses Verhalten zu umgehen? Installieren, exportieren und importieren des Zertifikats in unterschiedlichen Variationen funktioniert jedenfalls nicht bzw. scheitert aufgrund des fehlenden Schlüssels...
Also: Wie bringe ich den Browsern bei, diesem Zertifikat zu vertrauen, ohne dies jedes Mal explizit mitzuteilenzu müssen?
Kennt jemand vielleicht eine Möglichkeit, dieses Verhalten zu umgehen? Installieren, exportieren und importieren des Zertifikats in unterschiedlichen Variationen funktioniert jedenfalls nicht bzw. scheitert aufgrund des fehlenden Schlüssels...
Also: Wie bringe ich den Browsern bei, diesem Zertifikat zu vertrauen, ohne dies jedes Mal explizit mitzuteilenzu müssen?
Hallo berni,
Du wirst dann aber nicht mehr die Seiten von Lancom im Internet erreichen...
Gruß
Mario
Du bringst Deinem DNS-Server oder Deiner lokalen hosts-Datei bei, dass www.lancom-systems.de zur IP Deines Routers auflösbar ist und gibst diesen Namen auch in der https Verbindung an.Also: Wie bringe ich den Browsern bei, diesem Zertifikat zu vertrauen, ohne dies jedes Mal explizit mitzuteilenzu müssen?
Du wirst dann aber nicht mehr die Seiten von Lancom im Internet erreichen...
Gruß
Mario
Hi,Du bringst Deinem DNS-Server oder Deiner lokalen hosts-Datei bei, dass www.lancom-systems.de zur IP Deines Routers auflösbar ist und gibst diesen Namen auch in der https Verbindung an.
Du wirst dann aber nicht mehr die Seiten von Lancom im Internet erreichen...
das ist zwar ein Lösungsansatz, aber nicht wirklich eine Lösung.
tschöööö
Bernhard
-
langewiesche
- Beiträge: 1255
- Registriert: 27 Apr 2005, 11:28
- Wohnort: Gevelsberg / Sprockhoevel im Ruhrgebiet
- Kontaktdaten:
Hi,
in der Support KnowledgeBase kann ich nur Anleitungen zu VPN finden,
aber nicht wie man das https Stammzertifikat von www.lancom-systems.de
auf mein LAN ändern kann. Wie kann ich das machen?
Vielen Dank und ein schönes WE
Grüsse
in der Support KnowledgeBase kann ich nur Anleitungen zu VPN finden,
aber nicht wie man das https Stammzertifikat von www.lancom-systems.de
auf mein LAN ändern kann. Wie kann ich das machen?
Vielen Dank und ein schönes WE
Grüsse
Moin,
(selbstsignierte) Zertifikat samt privatem Schlüssel gegen ein eigenes auszutauschen,
dessen Name dem Host-Namen des LANCOM entspricht und das von einer
Zertifizierungsstelle ausgestellt wurde, der Dein Browser vertraut (d.h. deren Root-
Zertifikat Du importiert hast).
Das Hochladen läuft wie bei VPN oder EAP/TLS über den entsprechenden Menüpunkt
in der WEBconfig.
Gruß Alfred
So ist das auch nicht gemeint. Du hast die Option, das im Gerät eingebautein der Support KnowledgeBase kann ich nur Anleitungen zu VPN finden,
aber nicht wie man das https Stammzertifikat von www.lancom-systems.de
auf mein LAN ändern kann. Wie kann ich das machen?
(selbstsignierte) Zertifikat samt privatem Schlüssel gegen ein eigenes auszutauschen,
dessen Name dem Host-Namen des LANCOM entspricht und das von einer
Zertifizierungsstelle ausgestellt wurde, der Dein Browser vertraut (d.h. deren Root-
Zertifikat Du importiert hast).
Das Hochladen läuft wie bei VPN oder EAP/TLS über den entsprechenden Menüpunkt
in der WEBconfig.
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015