Zertifikat mit Plesk einstellen

  • Habe ein Problem und mir ist nicht ganz bekannt ob ich irgendwo ein Fehler mache.
    Ich habe dieses Zertifikat bestellt: RapidSSL Zertifikat


    Hierbei musste ich ja ein Zertifizierungsanforderung (CSR) erstellen.
    Das habe ich mit dieser Anleitung gemacht: Knowledge Base :: Wie wird eine Zertifizierungsanforderung (CSR) erstellt (Apache)?


    Hierauf habe ich dann bei der Bestellung im CCP den Inhalt von der csr Datei kopiert und in den Bestellformular eingefügt.
    Ashampoo_Snap_2014.12.23_02h50m57s_006_.png


    Das wurde dann auch als Gültig angezeigt und so konnte ich den Rest ausfüllen und bekam auch die Mails der Bestätigung.


    Soweit ist alles gut gelaufen und ich bekomme auch angezeigt dass die Registrierung erfolgreich durchgeführt wurde.
    Ashampoo_Snap_2014.12.23_02h52m50s_007_.png


    In Plesk wollte ich dann zu meiner Doamin (Webspace) dann die Zertifikate einstellen.
    Dazu habe ich ja diese drei Felder:
    Ashampoo_Snap_2014.12.23_02h27m04s_005_.png


    In Feld Privater Schlüssel habe ich den Inhalt aus der Datei .key was ja für diese Domain mit erstellt wurde eingefügt.
    In Feld Zertifikat habe ich den Inhalt eingestellt was ich nach der Fertigstellung aus dem CCP angezeigt bekomme.
    In Feld CA-Zertifikat hatte ich den Inhalt aus der csr Datei oder was ja auch im CCP mit angezeigt wird eingegeben.


    Nach dem absenden bekomme ich dann von Plesk eine Fehlermeldung mit dem Inhalt:
    Ashampoo_Snap_2014.12.23_02h58m57s_008_.png


    Gebe ich aber nur den Inhalt in Zertifikat und Privater Schlüssel ein und lasse das Feld mit CA-Zertifikat leer dann wird dass Zertifikat von Plesk ohne Fehlermeldung gespeichert.
    Ich kann es dann auch auswählen und verwenden.


    Wenn ich jetzt die Seite aufrufe muss ich zwar nicht bestätigen dass ich der Seite vertraue, aber die Seite wird immer noch als nicht vertrauenswürdig angezeigt.
    Ashampoo_Snap_2014.12.23_03h01m59s_009_.png


    Ist das so normal oder mache ich da was Falsch?
    Ihr könnte es Euch auch mal selber unter myWBB'World Forum anschauen.
    Setzt aber nach dem http noch ein s dahinter, da ich die Seite noch nicht fest als SSL eingestellt habe.


    Gruß Coolman

    Kühlst du schon oder Lüftest du noch?!..PC-AQUACOOLING.DE

  • Das liegt unteranderen daran, dass folgende Inhalte -hart- von eingebunden werden


    Extern: http://steamcommunity-a.akamai…m/sits_large_noborder.png
    Intern: http://www.mywbb-world.com/other/bilder/img22.gif

    Code
    <img class="weihnachten" src="http://www.mywbb-world.com/other/bilder/img22.gif" height="68" width="460">


    Solche expliziten Einbindungen sind zu unterlassen, sondern sollten relativ sein.

  • Habe nun beides raus genommen, aber es hat sich nichts geändert.


    EDIT: Scheint doch alles in Ordnung zu sein.
    Denn ich hatte ja zwei Zertifikate bestellt und dass zweite Forum wird als Sicher anzeigt.


    Dann habe ich dazu meines wieder aufgerufen und dabei entdeckt dass es über dem ersten ICON als Unsicher angezeigt wird, aber im zweiten dann als Sicher angezeigt wird.
    Ashampoo_Snap_2014.12.23_03h01m59s_009_.png


    Ashampoo_Snap_2014.12.23_04h09m35s_010_.png


    Ich habe dann zu einem anderem Style gewechselt und habe gesehen dass dort die Seite als Sicher angezeigt wurde.
    Also ist in meinem Hauptstile was mit dabei was diesen Fehler verursacht.


    Zumindest ist mir jetzt bekannt dass mit dem einbinden des Zertifikates alles ok ist und ich den Fehler im Style suchen muss.
    Der Style wird auch komisch angezeigt, was der Titel der Foren angeht sobald dass SSL verwendet wird.


    Danke nochmals für den Hinweis. :)


    EDIT: Jetzt habe ich festgestellt dass es diese CSS-Deklaration ist was die Unsichere Seite anzeigen lässt.

    Code
    /* font face */
    @font-face {
    font-family: "Economica";
    font-style: italic;
    font-weight: 700;
    src: local("Economica Bold Italic"), local("Economica-BoldItalic"), url("http://themes.googleusercontent.com/static/fonts/economica/v1/ac5dlUsedQ03RqGOeay-3TqR_3kx9_hJXbbyU8S6IN0.woff") format("woff");
    }


    Nehme ich es raus dann wird die Seite als Sicher angezeigt.
    Diese CSS Deklaration ist dann auch für die Textgenstallung verantwortlich was so komisch mit SSL aussieht.
    Habe es schon dem Hersteller des Styles gemeldet, da der Style gekauft wurde.


    Das habe ich auch twiddern zu verdanken dass ich diesen Teil der CSS Deklaration ausfindig machen konnte, da er mir dass mit den Links sagte. :)


    Gruß Coolman

    Kühlst du schon oder Lüftest du noch?!..PC-AQUACOOLING.DE

    3 Mal editiert, zuletzt von Coolman ()

  • Code
    /* font face */
    @font-face {
    font-family: "Economica";
    font-style: italic;
    font-weight: 700;
    src: local("Economica Bold Italic"), local("Economica-BoldItalic"), url("https://themes.googleusercontent.com/static/fonts/economica/v1/ac5dlUsedQ03RqGOeay-3TqR_3kx9_hJXbbyU8S6IN0.woff") format("woff");
    }


    Die Google Fonts lassen sich auch per https einbinden, damit sollte das problem auch weg sein

  • Alles klar, danke. :)


    Ein Mitglied von mir meinte:


    Von Online Tests halte ich nicht so viel, sieht man auch oft wenn man andere Tests macht die nicht ganz korrekt sind und dann am ende noch ihre Dienstleistung anbieten.
    Wie auch hier in Link 1, da wird auch versucht eine Zertifikat zu verkaufen... wie in dem Sinn... deines ist nicht gut kauft dir meinen.


    Ich meine jetzt aber alles ok zu sein, denn meine Browser meckern nicht und zeigen sogar an dass alles sicher ist.
    Ashampoo_Snap_2014.12.23_12h20m09s_001_.png
    Ashampoo_Snap_2014.12.23_04h09m35s_010_.png

    Kühlst du schon oder Lüftest du noch?!..PC-AQUACOOLING.DE

    Einmal editiert, zuletzt von Coolman ()

  • beispielsweise wird noch SSL3 unterstützt, was aufgrund des Poodle-Angriffs wenn möglich nicht mehr unterstützt werden sollte


    Das werde ich noch machen, danker für den Hinweis.


    Ich vermute aber dass mein Haupt Problem das fehlende CA Zertifikat sein wird.
    Ashampoo_Snap_2014.12.23_13h54m17s_002_.png


    Ich habe diese Daten von netcup:
    Ashampoo_Snap_2014.12.23_14h05m19s_003_.png


    Und aus dem Terminal habe ich die Dateien (OpenSSL) crs und key erstellt bekommen.
    Ashampoo_Snap_2014.12.23_14h07m48s_004_.png


    Woher bekomme ich nun das CA-Zertifikat?

    Kühlst du schon oder Lüftest du noch?!..PC-AQUACOOLING.DE

  • Das mit dem CA zertifikat habe ich nun hinbekommen.
    Danke für die Info, die Mail hatte ich bekommen, aber mir war nicht bekannt dass ich dieses Zertifikat dort bekomme und mit dem englisch habe ich es nicht so gut.
    Momentan arbeite ich noch an diese SSLv3, weil dass gar nicht so einfach ist mit dem deaktivieren wenn Plesk verwendet wird, da die Konfiguration von Plesk beim Neustart des NGINX wieder überschrieben wird.


    EDIT:
    Habe es hinbekommen. :thumbup:


    Ashampoo_Snap_2014.12.23_17h20m55s_005_.png


    Ashampoo_Snap_2014.12.23_17h21m14s_006_.png


    Dabei haben mir folgende Seiten geholfen:
    SSL3 Verwundbarkeit "Poodle" - Seite 2 - Server Support Forum
    KB Parallels: [Plesk] CVE-2014-3566: POODLE-Angriff erzwingt Rückfall auf SSL 3.0
    KB Parallels: [PPA] CVE-2014-3566. POODLE-Angriff erzwingt Rückfall auf SSL 3.0


    Aber so richtig wollte es noch nicht klappen.
    In den Verzeichnisse:

    Code
    /opt/psa/admin/conf/templates/custom/domain/
    /opt/psa/admin/conf/templates/custom/server/
    /opt/psa/admin/conf/templates/default/domain/
    /opt/psa/admin/conf/templates/default/server/


    waren Konfigurationsdateien mit diesem Inhalt:

    PHP
    <?php if (get_param('disablesslv3')): ?>
        ssl_protocols  TLSv1 TLSv1.1 TLSv1.2;
    <?php else: ?>
        ssl_protocols SSLv2 SSLv3 TLSv1 TLSv1.1 TLSv1.2;
    <?php endif ?>


    Also eine oder Anweisung und irgendwie kam bei mir immer diese Anweisung zur Geltung.
    Daher habe ich es einfach geändert in:

    PHP
    <?php if (get_param('disablesslv3')): ?>
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    <?php else: ?>
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    <?php endif ?>


    Bedeutet oder wieder ohne SSLv2 und SSLv3.


    Dann nur danach die Konfig neu einlesen lassen.

    Code
    /usr/local/psa/admin/sbin/websrvmng --reconfigure-all


    und Nginx + Apache neustarten


    Das wars... ich kann jetzt auch den Nginx neustarten und die Konfiguration wird wieder ohne dieses SSLv2 und SSLv3 geschrieben. :)
    Ein Test mit [openssl s_client -connect 5.45.109.7:443 -ssl3] zeigt nun auch dass SSLv3 nicht mehr aktiv ist.


    Die Tests mit den zwei Testseiten verlief dann auch erfolgreich.
    SSL-Zertifikat überprüfen • SSL-Trust
    Qualys SSL Labs - Projects / SSL Server Test


    An dieser Stelle bedanke ich mich recht herzlich an @'Maestro2k5' aus meinem Forum und auch an gemini, twiddern, Timon_78 aus dem netcup Forum, die mir alle sehr geholfen haben! :)
    SSL einrichten und nutzen


    Gruß Coolman

    Kühlst du schon oder Lüftest du noch?!..PC-AQUACOOLING.DE

    6 Mal editiert, zuletzt von Coolman ()