Schulkonsole Zertifikat

Stellmacher · 3. Januar 2017 um 14:27

Hallo Zusammen

Unser Ubuntu Client ist mit dem Server Zertifikat 10.16.1.1:242 nicht
zufrieden.
Ich kann keine deutliche Hilfe in den Anleitungen finden, wie man für den Mozilla Firefox ein aktuelles Zertifikat erteilen kann ,
bzw. dem Server ein aktuelles Zertifikat verschafft. (Ablauf Mitte 2015)

Grund: Die Schüler müssen bei jedem Aufruf der Schulkonsole das
Zertifikat übergehen.

Kann mir da jemand helfen?

Gruß Ulrich Stellmacher

Michael · 3. Januar 2017 um 14:50

Hallo. Kennst du diese Seite oder hast du das bereits versucht?
https://www.linuxmuster.net/wiki/anwenderwiki:firefox:ausnahmeregeln
hth.

maxEG · 3. Januar 2017 um 16:08

Hallo Ulrich,

wenn man dem Firefox ein neues Profil “spendiert”, ist der Haken bei “Ausnahme dauerhaft speichern” wieder aktiv und man kann das Zertifikat als linuxadmin einmalig speichern und keiner wird mehr gefragt.

LG
Max

baumhof · 6. Januar 2017 um 21:07

Hallo,

Unser Ubuntu Client ist mit dem Server Zertifikat 10.16.1.1:242 nicht
zufrieden.
Ich kann keine deutliche Hilfe in den Anleitungen finden, wie man für
den Mozilla Firefox ein aktuelles Zertifikat erteilen kann ,
bzw. dem Server ein aktuelles Zertifikat verschafft. (Ablauf Mitte 2015)

Grund: Die Schüler müssen bei jedem Aufruf der Schulkonsole das
Zertifikat übergehen.

Ja: das ist Mist.

Um das zu ändern gibt es zwei Möglichkeiten:

man erstellt auf dem Server ein neues selbst signiertes Zertifikat.
Wie das geht steht hier:
dokumentation:handbuch:maintenance:certificates.server [CommunityWiki]

Danach hat man ein selbstsigniertes Zertifikat, das von den Browsern
wieder abgelehnt wird.
Also muß man es im Profil der Nutzer als „Ausnahme“ hinterlegen.
Wie das geht, steht hier:
http://www.linuxmuster.net/wiki/anwenderwiki:firefox:ausnahmeregeln

Allerdings muß man danach den Nutzern das neue Profil auch ausrollen.

man verwendet lets encrypt.
Dafür gibt es zwei Voraussetzungen:
der Server ist extern unter einer URL Erreichbar
die interne Domain ist gleichlautend wie die externe.

Vorteil: man erhält ein korrekt signiertes Zertifikat, welches die
Browser sofort akzeptieren.
Nachteil: interne und externe Domain müssen gleich sein.
Wie die interne Domain lautet, kann man der /etc/hosts auf dem Server
entnehmen.

lets encrypt Anleitung ist hier:
http://www.linuxmuster.net/wiki/anwenderwiki:server:ssl-tls-letsencrypt

VIele Grüße

Holger

Ulrich_Stellmacher · 6. Januar 2017 um 22:51

Hallo Holger

Vielen Dank , vorab werde ich den ersten Tipp anwenden , und den zweiten

folgen lassen.

Gruß Uli

e-tel-it Telefonie und Informationstechnologie (e.K.)
Ulrich Stellmacher
Friedensgasse 17
79540 Lörrach
Telefon 07621 12454
Fax 12419
ulrich.stellmacher@etelit.de
www.etelit.de

rettich · 7. Januar 2017 um 08:51

Hallo Uli,
Ich bin Weg 2 gegangen. Läuft super!
Nur an einer Stelle musst du aufpassen:
Bei den Links auf den Server stand bei uns beispielsweise
https://server:242 das müsste in
https://server.staufer-gymnasium.de

Gruß,
Mathias

rettich · 7. Januar 2017 um 09:37

Hallo Uli,
eine Kleinigkeit hätte ich da noch vergessen:
Wenn ihr einen Webauftritt mit der URL www.euereSchule.de oder moodle.euereSchule.de oder … habt, dann musst du auch dafür sorgen, dass die Namensauflösung die IP-Adressen auch kennt:

Editiere die Datei /etc/bind/db.linuxmuster und füge dort die entsprechnenden Einträge ein.

Dann mit /etc/init.d/bind9 restart bind neu starten.

Wenn mich nicht alles täuscht, ist in einem Netzbrief ein gültiges Serverzertifikat (also nicht selbstsigniert) sogar vorgeschrieben.

Gruß,

Mathias