ComputerBase Menü
Aktuelles

Baikal, https + SSL, Zertifikate, Android

sPeziFisH

sPeziFisH

Cadet 4th Year
Registriert
Okt. 2009
Beiträge
108
Hallo zusammen,

ich habe folgenden Plan, bleibe aber gerade hängen.. vielleicht kann jemand helfen :-)

Baikal CardDAV/CaDAV:
Ich habe mir auf meinem webspace (hoster artfiles.de) Baikal installiert, um zukünftig Kontakte und Kalendar per CardDAV/CalDAV abgleichen zu können.
Clients sind im wesentlichen Android (4.3, DAVdroid) und Thunderbird (per SoGoConnector).
Alles so weit eingerichtet.

https/SSL:
ich möchte den Zugriff per https/SSL absichern.
Die Crux: Zertifikate, CAs, Android, webhoster+SSL
Ich habe schon mehrere Informationen zu diesem Thema konsumiert, aber bekomme es nicht so ganz auf die Reihe *räusper*
Va. SSL und Zertifikate, Server-Seite und Client-Seite, etc.

Zugriff ist per eigener Domain und weiteren Pfadangaben (bislang keine Subdomain dafür eingerichtet) und nur zu Eigengebrauch.


Die Fragen sind:

- sind eigene Zertifkate unerlässlich, zB. cl€vererweise selbst signiert, und ich sollte einen Weg finden, diese auf dem Server eingetragen zu bekommen, oder dürfte das allgemeine artfiles-Zertifikat ausreichen?
http://www.artfiles.de/support/knowledgebase/entry.html?id=38 ..weil eigentlich vertrauenswürdig

- wenn ich das allgemeine Zertifikat nutzen möchte, kann ich es nicht in Android einbinden - uncool:
Vorgehen ist wie auf http://davdroid.bitfire.at/faq/entry/importing-a-certificate und http://www.kuketz-blog.de/root-zertifikat-importieren-unter-android/ beschrieben
Siehe auch Update-Eintrag im Kuketz Blog. Dort steht, dass man für Android seine eigene CA erstellen sollte (insofern man sich selbst vertraut): bedeutet dieses, dass ich eine eigene CA erstellen muss und das bestehende allgemeine Zertifikat hier dann weiter verwurschteln kann?
Einbinden des allgemeinen Zertifikats in Android erstellt trotz Bestätigung nämlich keinen Eintrag bei den User-Zertifikaten..
 
sind eigene Zertifkate unerlässlich
Zum Vergrößern anklicken....
Du kannst auch mit selbstsignierten arbeiten. Allerdings kosten Comodo-Zertifikate im Jahr ~6-7$. => http://www.ssls.com/ Das is mMn zu billig um sich mit selbstsignierten rumzuschlagen...
D.h. im Sommer mal 2 Bier weniger trinken und schon ist das Zertifikat finanziert. ;P

Die Krux: bietet Artfiles den Upload SSL-Zertifikaten an?OK, kannst knicken mit dem eigenen Zertifikat, die zocken einen auch mit SSL-Zertifikaten ab. https://customer.artfiles.de/sPeziFisH/baikal/carddav/... is vollkommen ausreichend...

Hab selber einen Baikal auf meinem eigenen Server - SSL only. Wenn einmal eingerichtet gibt's nichts besseres...

Kurze Erläuterung zu den Zertifikaten/asymmetrischer Kryptographie:

Asymmetrische Kryptographie in a Nutshell:
Es gibt immer ein öffentliches Zertifikat und einen privaten Schlüssel.
Mit dem öffentlichen Zertifikat kann man Informationen VERschlüsseln und mit dem privaten Schlüssel ENTschlüsseln. Der Private Schlüssel darf daher nicht in fremde Hände geraten. Außerdem kann man mit einem privaten Schlüsseln Dokumente, Dateien, Text,... signieren. Der Empfänger kann dann mit dem öffentlichen Zertifikat die Signatur überprüfen.
Bei X509 Zertifikaten ist außerde eine Zertifikathierarchie angedacht.
Dabei werden Zertifikate immer mit einem privaten Schlüssel signiert. Bei selbstsignierten Zertifikaten wird mit dem eigenen privaten Schlüssel signiert, bei beglaubigten Zertifikaten signiert zB Comodo oder GeoTrust den öffentlichen Schlüssel.

HTTPS & HTTPS-Server VS Webhoster:
Bei HTTPS-Servern wird die Verbindung bei Verbindungsaufbau zum Server verschlüsselt. Das Problem hierbei ist, dass ein Server oft viele verschiedene Webseite über eine IP-Adresse ausliefert. Das nennt man dann virtualhost. Problematisch ist das allerdings, da ein Zertifikat immer nur für eine Domain gültig ist und auf Verschlüsselungsschicht erst seit kurzem ein Zertifikat ausgewählt werden kann. Davor konnte nur ein Zertifikat pro IP Adresse und Port spezifiziert werden, ergo gab es kein HTTPS Virtualhosting, sprich jede HTTPS-Website hat ihre eigene IP-Adresse benötigt. Dank SNI ist das allerdings nicht mehr nötig. Allerdings wird SNI nur von wenigen kommerziellen Hostern verwendet.

MfG, Thomas
 
Zuletzt bearbeitet:
Danke Thomas.
Also das Geld würde ich schon sparen - hat man das Prozedere einmal durch ist das ja bei überschaubarem setting ja nicht soo wild.

Einpflegen von Zertifikaten hab ich schon mal angefragt, würde mir das aber nochmal schriftlich geben lassen. Vllt. wäre dann ein selbstsigniertes wildcard-Zertifikat die Maßnahme, damit man nur einmal einpflegen muss.

Also wenn das bestehende Zertifikat genügt, ist jetzt für mich die Kunst, das ins Android einzupflanzen. Klappte soweit nicht, obwohl Android das kurz mitteilt.
Wenn man dann eine eigene CA erstellen soll, dann soll es klappen, kann man dann zB. den public-key aus dem bestehendem extrahieren und für die Selbstzertifizierung mit eigener CA nutzen, oder bin ich da voll. auf falscher Spur..?
 
sPeziFisH schrieb:
Danke Thomas.
Also das Geld würde ich schon sparen - hat man das Prozedere einmal durch ist das ja bei überschaubarem setting ja nicht soo wild.
Zum Vergrößern anklicken....
Sofern es nur für den Eigengebrauch ist und nur wenige Clients synchronisiert werden sollen, sind selbstsignierte Zertifikate kein Problem, darüber hinaus, würde ich aber aus Bequemlichkeit eines kaufen...
sPeziFisH schrieb:
Einpflegen von Zertifikaten hab ich schon mal angefragt, würde mir das aber nochmal schriftlich geben lassen. Vllt. wäre dann ein selbstsigniertes wildcard-Zertifikat die Maßnahme, damit man nur einmal einpflegen muss.
Zum Vergrößern anklicken....
Wenn Sie keine "fremden" Zertifikate zulassen, bleibt Dir eigentlich nix anderes, als den Hoster zu wechseln...
sPeziFisH schrieb:
Also wenn das bestehende Zertifikat genügt, ist jetzt für mich die Kunst, das ins Android einzupflanzen. Klappte soweit nicht, obwohl Android das kurz mitteilt.
Wenn man dann eine eigene CA erstellen soll, dann soll es klappen, kann man dann zB. den public-key aus dem bestehendem extrahieren und für die Selbstzertifizierung mit eigener CA nutzen, oder bin ich da voll. auf falscher Spur..?
Zum Vergrößern anklicken....
Am besten eine eigene CA erstellen und das Root-Zertifikat importieren. Damit ist das eine einmalige Sache...
 
So, in der Zwischenzeit noch n bisschen mit dem support gequatscht.

Das vorhandene Zertifikat ist nett aber nicht wirklich zielführend - domain und Zertifikat matchen nämlich in jedem Fall zu 0%, für meine Domain gibt's noch nichts und für das vorhandene wildcard-Zertifikat keine passende persönliche Domain. Ich werde das Gefühl nicht los, dass Du das mit virtualhost etc. schon ziemlich schnell überblickt hast :)
Ergo muckt auch mein Android mit DAVdroid-Sync-Konto, weil die Kette nicht stimmig sicher ist - war nicht 100%ig klar, weil ich dachte, DAVdroid schluckt das dennoch.
Hab irgendwo gelesen dass 'CardDAV Sync' hier toleranter ist, ist aber damit eben auch nicht so sicher gegen man-in-the-middle-Attacken, bringt ja dann auch nix.
Ungeschützt über http, in der heutigen Zeit natürlich überhaupt keine Alternative, flutscht das Setup, Test-Daten werden abgeglichen, supi, so soll's sein.

HighTech-Freak schrieb:
Am besten eine eigene CA erstellen und das Root-Zertifikat importieren. Damit ist das eine einmalige Sache...
Zum Vergrößern anklicken....
Jepp, that's the way to go. Werde mir ein selbst-signiertes wildcard-Zertifikat erstellen und dieses gegen etwas Service-Geld auf dem Server eintragen lassen. Dann eigenes root-Zertifikat ins Android.

Besten Dank soweit!
 
Ich selbst erst mit einem Hoster wegen HTTPS gestritten... Drum hatte ich die vermutlich auftretenden Probleme schon im Hinterkopf.. ^^
Strato beruft sich derzeit stark auf HTTPS, allerdings habe ich mich noch nicht eingehend damit befasst um mit Sicherheit sagen zu können, dass das Angebot gut ist. Falls die eigene Zertifikate zulassen kostet das Webhosting dort gerademal 3€ pro Monat. Für die gebotene Leistung ein recht guter Preis...

MfG, Thomas
 
Kann man Baikal eigentlich mit/hinter einem SSL-Proxy betreiben? Das wäre ja theoretisch die einfachere Variante und wird von vielen Hostern kostenlos mitangeboten...
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

mae1cum77
[DIY-Projekt] Traefik2 (Google-OAuth/TLS) feat. Nextcloud und Guacamole (und mehr)
2 3 4
Antworten
71
Aufrufe
13.739
mae1cum77
mae1cum77
S
Warum jede Internetseite per HTTPS (SSL/TLS) verschlüsselt sein sollte
Antworten
19
Aufrufe
3.184
chrigu
chrigu
P
Raspberry Owncloud Ssl Android und Portforwarding
Antworten
2
Aufrufe
809
pinco
P
S
Email SSL Signatur ungültig unter Android
Antworten
7
Aufrufe
2.323
HighTech-Freak
HighTech-Freak
JamesFunk
Zertifikat für Webdav über SSL (Win7)
Antworten
17
Aufrufe
16.063
GinoBambino
G
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz