TLS 1.2 im Intranet will einfach nicht

[tlx]

Hi,

ich versuche seit schon einige Zeit einen Intranet Webserver (der später via VPN von aussen erreichbar sein soll) aufzusetzten.

Ich habe inzwischen openSSL und darauf zurückgreifend nginX als Webserver auf einem R-Pi jeweils in der neusten stabilen Version compiliert. Als http Server läuft alles super!

Wenn ich allerdings versuche den Server via https zu betreiben komm ich mit einem Browser (Firefox) einfach nicht soweit das ich das selbstsiegnierte Zertifikat als vertrauenswürdig annehmen kann. Der Server ist via SSL/TLS schlicht nicht erreichbar.

Ich habe das Zertifikat ein Mal auf die IP-Adresse (für die Domain Adresse) und ein Mal auf den Hostnamen geniert. Beides hat nicht funktioniert. Auf welchen nahmen und wie muss das Zertifikat generiert werden damit so eine verschlüsselte Intranetverbindung klappt?

Kann mich jemand an die Hand nehmen und mir die Augen öffnen?
Danke!

 

[KillerCow]

Für sowas gibts doch tonnenweise Tutorials im Netz.
Lauscht der nginx denn überhaupt auf 443? Das könntest du z.B. mit netstat nachschauen.

 

[tlx]

@ KillerCow:

vielen Dank für deine schnelle Rückmeldung. Das ist korrekt es gibt unendlich viele tutorials - ich bin vielen gefolgt. Das ist meine short-list der guten/brauchbaren die übrig blieben:

1: http://nginx.org/en/docs/http/configuring_https_servers.html
2: https://mozilla.github.io/server-si...-1.7.12&openssl=1.0.2&hsts=yes&profile=modern
3: https://raymii.org/s/tutorials/Strong_SSL_Security_On_nginx.html
4: https://www.digitalocean.com/commun...e-a-ssl-certificate-on-nginx-for-ubuntu-12-04
5: https://www.mare-system.de/guide-to...ht-cipher-suites-perfect-forward-security-pfs
6: https://wiki.mozilla.org/Security/Server_Side_TLS
7: http://www.zytrax.com/tech/survival/ssl.html#multi-server

Wie du siehst habe ich es mir nicht gerade einfach gemacht. Diese und noch einige andre habe ich durchgearbeitet und versuch soweit es sinnvoll ist zu verstehen da ich das erste Mal einen Websever mit SSL (TLS 1.2) so sicher wie für einen Anfänger möglich selbst betreiben möchte.

Alles was ich gefunden habe basiert jedoch darauf, dass man einen Domainnamen zum erstellen eines selbst signierten Zertifikats angibt. Fürs Intranet habe ich nichts gefunden was funktioniert hat oder mir neue Erkenntnis verschafft hätte.

Wie gesagt die Frage ist, was muss ich beim erstellen des Zertifikats als Domain angeben. Wenn du dazu ein "funktionierendes" tutorial zur Hand hast ist dies sehr herzlich willkommen.

Dein Tipp mit dem lauschen ist ein guter. Ich werde (jedoch erste voraussichtlich gegen Sonntag Abend) mal mit 'nmap' oder 'netstat' den Server scannen um zu sehen ob dieser auf 443 überhaupt was von sich gibt.

Danke und Grüße,
tlx

PS: Ein TCP scann mit mit nmap sollte auf der server IP alles zeigen was ich benötige: 'nmap -v -sT 192.168.8.8'

 

[mensch183]

Kannst als Test auch einfach "telnet rechnername 443" machen. Wenn da nichts läuft, bekommst du "Connection refused". Wenn da ein Webserver(oder was anderes) lauscht, kommt die Verbindung zustande und telnet wartet auf Eingaben von dir.