Hallo,
Das Problem wurde schon einige Male beschrieben: Bei SSL über Jana meldet die entsprechende Anwendung (IE, Outlook, etc.) bei jedem Start Thomas' Zertifikat als nicht vertrauenswürdig, weil die IP im Zertifikat nicht mit der IP bzw. dem Namen des Janaservers übereinstimmt. Das kann auf Dauer ganz schön nerven, deshalb macht es Sinn, ein eigenes Zertifikat zu erstellen.
Im Forum wurde auf das Tool "UnrealIRCD" (
www.unrealircd.com/downloads.php) hingewiesen, mit dem ich das erfolgreich bewerkstelligt habe (besten Dank für den Tipp!). Ich habe herbei die Version Beta 12 (Win32-SSL) eingesetzt. Sie enthält OpenSSL, das man natürlich auch direkt bei
www.openssl.org herunterladen kann. UnrealIRCD hat aber den Vorteil, dass eine makecert.bat enthalten ist, welche die gewünschten Angaben abfragt und die openssl.exe mit den nötigen Parametern aufruft. Damit erspart man sich den Umgang mit den doch etwas kryptischen OpenSSL-Kommandos (Thomas kann glaube ich ein Lied davon singen). Zum Editieren der Dateien habe ich den Source-Editor Proton (
www.meybohm.de) eingesetzt, da ich bei solchen Geschichten mit Notepad schon schlechte Erfahrungen gemacht habe (Steuerzeichen, etc.).
Installation und Einrichtung:
Bei der Installation von UnrealIRCD kann man sich zwar bereits ein Zertifikat erstellen (Option: Create certificate), allerdings sollte man darauf verzichten, weil es dann bereits nach 1 Jahr abläuft. Auch alle anderen hier angebotenen Optionen sollten deaktiviert werden. Nach der Installation befinden sich alle nötigen Dateien (openssl.exe, zwei DLLs, makecert.bat und ssl.cnf) im Unreal3.2-Verzeichnis. Ein Start von UnrealIRCD ist nicht nötig. Für eine längere Gültigkeitsdauer des Zertifikats als die voreingestellten 365 Tage den Parameter „days“ in der Makecert.bat entsprechend erhöhen.
Erzeugen der Zertifikatdateien:
Nach dem Start der Makecert.bat werden die nötigen Angaben nacheinander abgefragt. Wichtig ist hierbei der „Common Name“. Dieser muss genau der Jana-IP bzw. Rechner-/Domainname entsprechen. Es wird dann eine „Server.cert.pem“ im Verzeichnis erzeugt, die das Zertifikat enthält und eine „Server.key.pem“ mit dem Schlüssel. Diese beiden Dateien müssen in eine Datei zusammengeführt werden.
Zusammenführen der Dateien:
Jetzt Proton starten, beide Dateien öffnen und den Inhalt der „Server.key.pem“ in die „Server.cert.pem“ reinkopieren. Darauf achten, dass der Key-Bereich unterhalb des Zertifikat-Bereichs steht und keine Leerzeilen entstehen. Das Ergebnis dann unter dem neuen Namen „cert.pem“ speichern.
Ersetzen der vorhandenen Jana-Zertifikate:
Sicherheitskopie des Verzeichnisses „Cert“ anlegen, Jana-Serverdienst anhalten und die neue cert.pem in diesem Verzeichnis speichern. Alle vorhandenen Dateien bis auf die "127.0.0.1.cert.pem" müssen durch die neue ersetzt werden, d. h. sie muss ggfs. mehrfach unter den verschiedenen, bereits vorhandenen Namen gespeichert werden (z. B. „0.0.0.0.cert.pem“, „192.168.1.1.cert.pem“, „janaserver.cert.pem“. Nochmal zur Sicherheit: Die 127.0.0.1.cert.pem nicht ersetzen!).
Danach Jana-Serverdienst wieder starten und Server.log prüfen, ob das SSL-Modul korrekt gestartet wurde, andernfalls enthält das Zertifikat einen Fehler und man muss nochmal neu beginnen.
Installation des Zertifikats auf den Clients:
Damit das Zertifikat als vertrauenswürdig eingestuft wird, muss es auf den Clients noch installiert werden. Das geht am einfachsten so: Internetexplorer öffnen und die Adresse
„
https://janaadresse:port“ eingeben, wobei „janaadresse“ der Name bzw. die IP des Janaservers ist und „port“ die Portnummer irgendeines aktivierten Jana-SSL-Dienstes (z. B. SSL-POP3-Port „995“ bei aktiviertem SSL-Mailserver). Bei der hochkommenden Meldung dann auf "Zertifikat anzeigen" dann "installieren“.
Das war´s. Viel Erfolg beim Zertifizieren!
? Das Programm erfüllt seinen Zweck. Und dafür das es absolut kostenlos ist...
