iOS 13 und selbst signiertes Zertifikat

Begonnen von no_Legend, 25 Januar 2020, 15:34:23

Vorheriges Thema - Nächstes Thema
Drucken
Nach unten Seiten1
Benutzer-Aktionen

no_Legend

25 Januar 2020, 15:34:23
Hallo Leute,

ich wollte es nun endlich mal angehen damit mein iPhone mein selbst signiertes Zertifikat akzeptiert.
Was ich im internet gefunden habe, war dass die Zertifikate maximal eine Gültigkeitsdauer von 825 tagen haben dürfen.
Das ganze habe so auch eingestellt.

Auf dem iPhone hab ich dann auch das cacert importiert und als vertrauenswürdig aktiviert.
trotzdem wird in Safari das FHEM Zertifikat als nicht vertrauenswürdig eingestuft.

Aber auf meine Mac mit High Sierra funktioniert so mit den gleichen Einstellung ohne Probleme.

Hat jemand eine Idee was bei iOS und den Zertifikaten sonst noch zu beachten ist?

Danke und Gruß Robert
Docker FHEM immer aktuell,4x HMLAN, CUL443, CUL868 -homekit/siri -tablet ui -homebridge
Device, diverse:
Homematic, Shelly, Tasmota, MQTT, Unifi Network usw.

dmq

#1
25 Januar 2020, 15:54:51
z.B SHA-2 als Signatur-Hashing-Algorithmus und den sog. SAN "Subject Alternative Name":

https://support.apple.com/de-de/HT210176

Für openssl gibt es viele Anleitungen hierzu. Ansonsten kannst Du ggf. auch mit XCA arbeiten.

no_Legend

#2
25 Januar 2020, 16:17:54 Letzte Bearbeitung: 25 Januar 2020, 16:45:43 von no_Legend
Zitat von: dmq am 25 Januar 2020, 15:54:51
z.B SHA-2 als Signatur-Hashing-Algorithmus und den sog. SAN "Subject Alternative Name":

https://support.apple.com/de-de/HT210176

Für openssl gibt es viele Anleitungen hierzu. Ansonsten kannst Du ggf. auch mit XCA arbeiten.

Danke für deine Antwort.
Ich hab es nach dieser Anleitung hier aus dem Wiki von Cool Tux gemacht.
https://wiki.fhem.de/wiki/FHEM_mit_HTTPS_SSL-Zertifikat_und_eine_eigene_Zertifizierungsstelle

Ich kenn mich da zu wenig mit aus. Passt das noch was wie Cool Tux es beschreiben hat?

Denn beim letzten Punkt mit dem Hinzufügen des SAN bekomm ich immer eine Fehlermeldung:
Code Auswählen

openssl ca -in req.pem -notext -extfile oats.extensions.cnf -out servercert.pem
Using configuration from /usr/lib/ssl/openssl.cnf
Enter pass phrase for ./cakey.pem:
Check that the request matches the signature
Signature ok
ERROR:There is already a certificate for


Edit: Ich hab es hin bekommen, hab noch mal die Anleitung von Anfang an gemacht. Dann ging es auch.
Jetzt akzeptiert es auch IOS 13.

Danke und Gruß Robert
Docker FHEM immer aktuell,4x HMLAN, CUL443, CUL868 -homekit/siri -tablet ui -homebridge
Device, diverse:
Homematic, Shelly, Tasmota, MQTT, Unifi Network usw.

dmq

#3
25 Januar 2020, 16:54:20
Im Grunde scheint das zu passen.

Schau mal, dass Du folgenden Eintrag setzt:

Code Auswählen
unique_subject = no

Bspw. so:

https://unix.stackexchange.com/questions/461818/generating-duplicate-certifiates-with-openssl-ca

Dann solltest Du noch folgendes in der openssl.cnf gesetzt haben (bei req und ca):

Code Auswählen
default_md      = sha256


Drucken
Nach oben Seiten1
Benutzer-Aktionen