OPNsense Forum

International Forums => German - Deutsch => Topic started by: missionleben on March 10, 2017, 07:00:01 pm

Title: Gelöst Zertifikat->WebGui tot - Gelöst:Ausgespert durch falsches Zertifikate
Post by: missionleben on March 10, 2017, 07:00:01 pm: Hallo,

Wie kann man von der CLI das Zertifikat für die Weboberfläche zurücksetzen? Kann diese nicht mehr laden, da ich da was falschen eingespielt habe und müsste es auf das Auslieferungszertifikat zurücksetzen. Danke!

Gruß

Christan
Title: Re: Ausgespert durch falsches Zertifikat
Post by: missionleben on March 10, 2017, 07:49:13 pm: Beantworte mir die Frage mal selbst. Hatte doch glatt die Backup Funktion vergessen.. Ein Restore des Zeitpunktes vor der Änderung und schon ging es wieder.
Title: Re: Ausgespert durch falsches Zertifikat
Post by: missionleben on March 10, 2017, 08:05:52 pm: So ganz zu machen kann ich hier leider noch nicht, vielleicht ist es auch ein Bug.. Ich habe ein Root Zertifikat. Dies kann ich auch ganz normal unter Zertifikate installieren. Folgendes wird dort bei Info angezeigt:

Certificate:
Data:
Version: 3 (0x2)
Serial Number:
5f:c3:85:ab:37:c5:f9:3d:8f:89:d8:cd:4f:28:be:50
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=US, O=thawte, Inc., OU=Domain Validated SSL, CN=thawte DV SSL SHA256 CA
Validity
Not Before: Mar 10 00:00:00 2017 GMT
Not After : Mar 9 23:59:59 2020 GMT
Subject: CN=*.akademie-mission-leben.de
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:df:93:63:41:b6:a6:0a:e1:30:d3:67:8f:f2:ad:
61:e0:2e:4a:83:fc:71:1c:45:4f:94:2f:0f:04:92:
cb:20:47:69:64:29:20:da:62:85:ca:2f:0e:5b:1b:
b6:ed:71:8a:2e:6b:c1:84:e6:cc:a8:8b:5f:9f:1a:
c7:ec:0d:7b:2d:d7:15:cc:53:aa:8f:46:d0:da:84:
6b:52:f3:8d:4f:7c:75:82:48:ec:31:9d:40:7e:8d:
dd:29:eb:07:5d:a8:93:f4:5e:72:d5:f1:ea:d4:2f:
8e:ec:bb:cc:49:93:41:db:ad:ca:79:55:3f:e2:70:
72:13:84:9f:4a:d0:22:06:68:44:bd:95:30:9c:54:
e8:80:d5:61:c8:d3:17:2f:cd:bd:df:2d:2b:25:35:
52:c8:fd:d7:45:f7:ed:75:7c:94:30:0b:3c:74:8f:
56:19:ca:cd:2f:2e:7b:e6:86:35:f1:83:5c:3a:0b:
e6:e7:95:06:e7:77:d0:4d:82:d0:b7:a8:e8:23:b0:
1d:41:bd:d2:08:c2:72:01:8c:5a:e7:30:7f:a3:90:
dc:ee:3e:b0:d9:70:7d:dc:7d:19:8f:e9:e0:a7:96:
0f:26:5d:cf:92:7d:78:81:19:c3:3e:fc:ff:dc:d0:
ba:fc:3d:75:35:a5:1d:73:f1:fb:19:83:cc:51:3e:
46:77
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Subject Alternative Name:
DNS:*.akademie-mission-leben.de, DNS:akademie-mission-leben.de
X509v3 Basic Constraints:
CA:FALSE
X509v3 CRL Distribution Points:

Full Name:
URI:http://tm.symcb.com/tm.crl

X509v3 Certificate Policies:
Policy: 2.23.140.1.2.1
CPS: https://www.thawte.com/cps
User Notice:
Explicit Text: https://www.thawte.com/repository

X509v3 Authority Key Identifier:
keyid:7D:29:31:2F:C1:1E:6E:AE:31:05:6A:B3:EB:1C:CD:A9:DD:AE:80:9A

X509v3 Key Usage: critical
Digital Signature, Key Encipherment
X509v3 Extended Key Usage:
TLS Web Server Authentication, TLS Web Client Authentication
Authority Information Access:
OCSP - URI:http://tm.symcd.com
CA Issuers - URI:http://tm.symcb.com/tm.crt

CT Precertificate SCTs:
Signed Certificate Timestamp:
Version : v1(0)
Log ID : DD:EB:1D:2B:7A:0D:4F:A6:20:8B:81:AD:81:68:70:7E:
2E:8E:9D:01:D5:5C:88:8D:3D:11:C4:CD:B6:EC:BE:CC
Timestamp : Mar 10 16:26:33.546 2017 GMT
Extensions: none
Signature : ecdsa-with-SHA256
30:45:02:21:00:A5:B8:19:D0:C6:8F:1F:D4:09:10:22:
FB:48:24:17:82:4B:A1:C6:4E:06:4C:6E:9B:E8:D6:E0:
F7:F9:AD:9D:C2:02:20:1F:A0:21:B3:01:DF:E5:11:E3:
43:2F:AD:23:30:E6:C0:27:40:51:4A:89:2C:A9:58:48:
05:BE:36:D1:87:1F:19
Signed Certificate Timestamp:
Version : v1(0)
Log ID : A4:B9:09:90:B4:18:58:14:87:BB:13:A2:CC:67:70:0A:
3C:35:98:04:F9:1B:DF:B8:E3:77:CD:0E:C8:0D:DC:10
Timestamp : Mar 10 16:26:33.576 2017 GMT
Extensions: none
Signature : ecdsa-with-SHA256
30:45:02:21:00:B6:7E:38:1C:8E:BE:37:49:F4:E2:1A:
84:3D:A1:98:CF:76:C0:EA:3C:5F:37:F0:0F:F4:F4:25:
63:91:02:BF:3E:02:20:03:98:1C:BB:92:07:92:4E:42:
6E:1C:1D:8E:B3:DE:5B:73:71:BC:A6:E9:CA:A6:A6:BF:
92:AC:F2:15:EA:51:8D
Signed Certificate Timestamp:
Version : v1(0)
Log ID : EE:4B:BD:B7:75:CE:60:BA:E1:42:69:1F:AB:E1:9E:66:
A3:0F:7E:5F:B0:72:D8:83:00:C4:7B:89:7A:A8:FD:CB
Timestamp : Mar 10 16:26:33.612 2017 GMT
Extensions: none
Signature : ecdsa-with-SHA256
30:45:02:21:00:82:7B:64:DC:B2:F2:8F:56:5E:16:98:
F7:55:C8:D3:05:5F:9F:BC:E9:60:57:54:73:A2:16:8E:
81:EE:AF:93:D6:02:20:40:5E:52:9B:02:CE:BA:07:21:
60:CC:A0:EA:A6:44:6B:13:14:C5:FB:A4:2B:26:B4:C8:
A5:53:79:6D:55:47:D1
Signed Certificate Timestamp:
Version : v1(0)
Log ID : BC:78:E1:DF:C5:F6:3C:68:46:49:33:4D:A1:0F:A1:5F:
09:79:69:20:09:C0:81:B4:F3:F6:91:7F:3E:D9:B8:A5
Timestamp : Mar 10 16:26:33.783 2017 GMT
Extensions: none
Signature : ecdsa-with-SHA256
30:46:02:21:00:BC:BF:F2:38:06:4C:4A:22:15:53:FB:
E0:52:07:71:D9:99:C8:A8:D6:B9:8E:73:1E:29:30:E6:
92:9D:8B:E2:71:02:21:00:C2:DF:43:92:6B:78:22:3C:
57:C9:09:E4:2C:C9:BC:7A:8D:DB:B8:50:4C:5D:E8:52:
B7:96:5C:FD:2F:97:33:45
Signature Algorithm: sha256WithRSAEncryption
0c:32:1a:b1:80:c6:ec:3d:e1:b5:9f:6c:18:1a:c1:83:0b:d5:
85:40:84:c4:7c:22:04:a3:1c:3c:a1:d0:52:b0:e5:78:d4:75:
80:e6:79:5a:a4:35:8b:cc:d5:82:f0:f7:cb:0a:64:11:5b:80:
8e:cb:3a:6a:5a:b3:c0:bc:f3:8a:bb:b5:c0:e0:08:0d:5e:fb:
aa:d3:b1:ef:8c:fe:5e:66:60:2f:15:72:f1:b9:0b:af:33:b9:
67:82:af:c1:29:c3:05:b6:97:d2:d0:30:c0:bb:87:36:09:81:
fc:2a:67:8b:3d:03:a6:1b:a2:33:71:1c:6a:3c:5b:2e:54:10:
52:57:dc:97:bb:8b:2b:6d:cf:e7:e8:a1:c0:51:f8:17:b0:09:
20:ca:3c:5f:da:cd:77:f8:d2:70:10:36:e2:59:62:7f:db:f7:
0d:0a:76:81:ed:97:c7:51:88:56:68:00:44:f5:e8:c6:23:2b:
5c:66:ab:8d:19:19:c2:97:5d:db:e4:81:8c:34:dc:43:b4:05:
0d:27:1a:24:38:1c:5b:b7:28:d6:d6:ae:12:61:30:20:ee:44:
b0:79:c4:aa:61:54:bf:9a:72:3e:32:c8:a9:19:19:80:d4:ce:
21:35:0f:c5:5a:19:a5:d4:65:ef:fa:65:a9:54:cc:06:d3:30:
ac:46:76:3f

Sobald ich dieses Zertifikat an die WebGui binde , ist diese nicht mehr erreichbar. Reload / Reboot etc. bringt alles nichts. Wo ist da also der Fehler?
Title: Re: Ausgespert durch falsches Zertifikat
Post by: fabian on March 10, 2017, 08:11:32 pm: Also ein Root-Zertifikat ist das sicher nicht - sieht mehr nach einem Serverzertifikat aus. Schaut eigentlich sauber aus. Steht was im Systemprotokoll?
Title: Re: Neues Root Zertifikat->WebGui tot - Gelöst:Ausgespert durch falsches Zertifikate
Post by: missionleben on March 10, 2017, 08:17:18 pm: Ja klar vergiss es, ich meine Wildecard Zertifikate. ::)
Title: Re: Neues * Zertifikat->WebGui tot - Gelöst:Ausgespert durch falsches Zertifikate
Post by: fabian on March 10, 2017, 08:20:57 pm: Ja, unter System gibt es einen Punkt Protokolldatei - Wenn der Webserver ein Problem haben sollte, steht das da für eine gewisse Zeit drin.
Title: Re: Neues * Zertifikat->WebGui tot - Gelöst:Ausgespert durch falsches Zertifikate
Post by: missionleben on March 10, 2017, 08:29:29 pm: Vermutlich ist das der Fehler:

Mar 10 20:22:14 opnsense: /usr/local/etc/rc.restart_webgui: The command '/usr/local/sbin/lighttpd -f /var/etc/lighty-webConfigurator.conf' returned exit code '255', the output was '2017-03-10 20:22:14: (network.c.633) SSL: couldn't read private key from '/var/etc/cert.pem''
Title: Re: Neues * Zertifikat->WebGui tot - Gelöst:Ausgespert durch falsches Zertifikate
Post by: fabian on March 10, 2017, 08:34:46 pm: OK, wenn der Private Schlüssel fehlt, wird es eventuell schwierig...
Title: Re: Neues * Zertifikat->WebGui tot - Gelöst:Ausgespert durch falsches Zertifikate
Post by: missionleben on March 10, 2017, 08:36:49 pm: Ich habe den aber ganz sicher mit eingegeben. Habe es noch einmal gelöscht und neu angelegt. Selbes Problem. Kann ich den per Hand anlegen?
Title: Gelöst: Zertifikat->WebGui tot - Gelöst:Ausgespert durch falsches Zertifikate
Post by: missionleben on March 10, 2017, 08:40:07 pm: Ahhh... noch einmal neu angelegt. Jetzt geht es. Danke dir für deine Zeit.