Zertifikat vom Payment Server austauschen

harald2k

Benutzer

Geschlecht: keine Angabe
Beiträge: 10
Dabei seit: 04 / 2014

Betreff:

Zertifikat vom Payment Server austauschen

· Gepostet: 31.10.2014 - 15:07 Uhr · #1

Hallo,

nach Update der Servermaschine und Clientmaschine mit XML RPC auf Ubuntu 14.04 geht der Curl Abruf nicht mehr. Curl moniert zu Recht:
xml-rpc Fehler. Code: 8 CURL error: SSL: certificate subject name 'loftXXXX.serverloft.de' does not match target host name 'XXX.X.126.244'

Das hätte er eigentlich schon länger beanstanden müssen, denn bei serverloft sind wir schon lange nicht mehr, ging aber auch so. Damit die Buchungen trotzdem abgerufen werden habe ich erstmal im XML RPC

$this->client->setSSLVerifyHost(0);

gesetzt. Da soll aber nur eine temporäre Lösung sein.
Die Frage: Wie kann ich jetzt ein neues Zertifikat für den Payment Server ausstellen, welches einfach nur auf die IP gesetzt ist.

Danke und Gruß
norbert

hibiscus

Benutzer

Geschlecht: keine Angabe
Herkunft: Leipzig
Homepage: willuhn.de/
Beiträge: 11355
Dabei seit: 03 / 2005

Betreff:

Re: Zertifikat vom Payment Server austauschen

· Gepostet: 05.11.2014 - 08:48 Uhr · #2

Das Zertifikat kann man nicht gegen ein eigenes ersetzen, da dessen Private-Key auch die Basis fuer alle verschluesselt in Hibiscus gespeicherten Daten ist. Siehe http://www.willuhn.de/wiki/dok…sicherheit
Es wird beim ersten Start automatisch generiert. Hierbei wird der Hostname des Servers als Common-Name im Zertifikat verwendet. Deine einzige Chance ist also, die Hibiscus-Installation quasi zurueckzusetzen, damit wieder ein neues Zertifikat auf den - dann hoffentlich korrekten - Hostnamen ausgestellt wird.

Tschonny_Cache

Benutzer

Geschlecht: keine Angabe
Beiträge: 7
Dabei seit: 05 / 2016

Betreff:

Re: Zertifikat vom Payment Server austauschen

· Gepostet: 09.06.2016 - 12:52 Uhr · #3

Ich versuche gerade ein Zertifikat, passend zu meinem Hostname zu erstellen.
Olaf, du meintest ja als Common Name wird der Hostname des Servers verwendet.
Ich habe meinen domain namen in /etc/hostname/ eingetragen, es wird aber ein anderer
name (.... us-west-2.compute.amazonaws.com) verwendet.
Wie genau bezieht Hibiscus den Hostnamen?

Wäre es nicht möglich mit dem Private Key einen Certificate Signin Request zu erstellen und
sich damit von letsencrypt ein gültiges Zertifikat zu holen? Ich probiere das mal

hibiscus

Benutzer

Geschlecht: keine Angabe
Herkunft: Leipzig
Homepage: willuhn.de/
Beiträge: 11355
Dabei seit: 03 / 2005

Betreff:

Re: Zertifikat vom Payment Server austauschen

· Gepostet: 09.06.2016 - 21:28 Uhr · #4

Der Hostname wird ueber die Bordmittel von Java ermittelt. Ich habe da nicht wirklich Einfluss drauf.

Tschonny_Cache

Benutzer

Geschlecht: keine Angabe
Beiträge: 7
Dabei seit: 05 / 2016

Betreff:

Re: Zertifikat vom Payment Server austauschen

· Gepostet: 14.06.2016 - 17:44 Uhr · #5

Also, das Zertifikat kann durchaus ausgetauscht werden.
Hier eine anleitung für die zertifizierung mit letsencrypt
dazu läd man sich die datei ~/.jameica/cfg/jameica.keystore von seinem server und das programm Portecle herunter.
Mit Portacle öffnet man nun die keystore datei, die ist mit dem masterpasswort von hibiscus verschlüsselt.
Nun rechtsklick auf den eintrag "jameica" und dann export.
Wähle "private key and certificate" und "pem" aus und speicherte die datei ohne neues passwort.
öffne die erstellte datei (mit nano z.bz.) und lösche den zertifikat-block (Sollte der 2te block sein).
Nun lade den schlüssel auf deinen server hoch und benutze ihn um mit letsencrypt zertifikat für deine domain zu erstellen.
(mit dem certbot: ./certbot-auto certonly -key schlüsselauskeystore.pem -d wunschdomain)
Nun das chain.pem das letsencrypt erzeugt hat herunterladen und das "DST X3 Root Zertifikat" (unter letsencrypt.org/certifiaces) per nano an die chain anhängen.
die datei in jameica.pem umbenennen
dann in Portecle auf import ca reply und das jameica.pem auswählen
die keystore datei speichern und wieder auf den hibiscus server hochladen