Erfolgreicher SSL-Zugriff auf Connect?
Nachdem interne Tests mit einem lokalen Setup erfolgreich waren, erweist sich die Installation beim Kunden als problematisch:
Monkey Office und Connect laufen auf einem MacMini als Server, gehostet vom IT-Dienstleister des Kunden. Dorthin existiert ein Tunnel. Der Dienstleister hat Connect mit einem Self-Signed Certificate versehen.
Doch nur unverschlüsselte Übertragungen werden beantwortet. Sobald die Verschlüsselung eingeschaltet und Connect neu gestartet wurde, erscheinen nicht einmal über den Testclient (der im Gegensatz zur Doku keine SSL-Checkbox besitzt – kann ich davon ausgehen, dass die URL genügt?) via https abgesandte Verbindungsversuche im Log. Beim Fernzugriff über Curl meldet dieses einen Fehler –1200: Sichere Verbindung konnte nicht hergestellt werden.
Für sachdienliche Hinweise bei der Verfolgung dieses Fehlers wäre ich dankbar.
-
Werter Herr Bogun,
zur Fehlersuche würde ich folgendes empfehlen, zuerst alles lokal testen, dazu auch das aktuell genutzte Zertifikat nehmen. Wenn SSL/TSL in den Einstellungen aktiviert wurde und Connect neu gestartet wurde, muss der Testclient eine https-url benutzen, die Checkbox ist nicht mehr notwendig/verfügbar. Auch ihre Anwendung mit dem curl-Zugriff prüfen. Ist der Netzzugriff in den Einstellungen korrekt eingestellt ? Der Zugriff erfolgt immer auf den in den Einstellungen festgelegten Port, also meist 8084, der muss natürlich in der Firewall freigegeben sein.. Eventuell müssen wir das Problem telefonisch klären, rufen Sie dann dazu bitte den Support an.Mit freundlichen Grüssen
André Saischowa / Entwicklung -
Meine Antwort scheint verlorengegangen zu sein. Hier noch einmal für diesen Fall:
Vielen Dank! Ich habe die Konfiguration jetzt selbst lokal getestet und laufe in dasselbe Problem:
Ich habe via Apple Schlüsselbundverwaltung ein Self-Signed-Server-Zertifikat erzeugt, es überprüft und als .p12 exportiert. Sobald ich es in Connect einbinde, das Passwort setze und Connect neu starte, zeigt mir der Testclient zwar Antwortzeiten an, aber kein Resultat, egal, welche Verschlüsselungseinstellung ich wähle. Mein eigener Client erhält wieder Fehler –1200 über Curl.
Bevor ich den Support unnötig aufsuche: Ist etwas an dieser Art von Zertifikat falsch?
Eine Firewall existiert nicht jenseits von Lulu, das aber den Port freigibt (funktioniert ja unverschlüsselt) und das ich probehalber abgeschaltet habe. -
Hallo Herr Bogun, mit einer .p12-Datei kann Connect nichts anfangen, es erwartet als Zertifikatzuweisung eine Textdatei, welche Zertifikat und Key enthält.Sie können mit Hilfe von openssl key und certificate aus der p12-Datei extrahieren
openssl pkcs12 -in as_test.p12 -clcerts -nokeys -out as_test.crt
openssl pkcs12 -info -in as_test.p12 -nodes -nocerts -out as_test.keyas_test.crt und as_test.key dann in eine Datei, z.B. as_test.txt, übertragen, die müsste dann so aussehen
-----BEGIN CERTIFICATE-----
MIIDWDCCAkCgAwIBAgIBATANBgkqhkiG9w0BAQsFADBKMRgwFgYDVQQDDA9TYWlz
....
bfQoMCFgOmUbDOYlp8nn9xqAPFCJNe763pc7Bu5XSAzy7alq7WE+KhIqysY=
-----END CERTIFICATE-----
-----BEGIN PRIVATE KEY-----
MIIEvgIBADANBgkqhkiG9w0BAQEFAASCBKgwggSkAgEAAoIBAQDMoLQbiUf8Ii7l
...
9HbzuoslCgvfZn8t1Iahz7LV
-----END PRIVATE KEY-----Diese Datei as_test.txt dann in Connect importieren, das sollte funktionieren.
Mit freundlichen Grüssen, Andre Saischowa
-
Vielen herzlichen Dank, Herr Saischowa!
Das löst schon einmal das Problem mit dem internen Testclient. Externe Zugriffe werden immer noch nicht registriert und es kommt zu Fehlern. Das mag allerdings damit zu tun haben, dass ich feststellen musste, gelogen zu haben: Da es mit wenig Aufwand ungesichert funktionierte, ist gar nicht Curl am Werken, sondern die doch sehr eingeschränkte URLConnection. Ich werde die Verbindung umbauen und, sollte es dann immer noch nicht klappen, doch noch einmal nachhaken.
Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.
Kommentare
6 Kommentare