Beiträge von mainziman

    Hallo,

    hier ist halt die Frage wie empfindlich von wegen "Hardwareänderung" diverse Lizenzen sind ...

    es gibt x "Angriffspunkte"


    - virtuelle Platte: hat diese die selbe Größe, die selbe Schnittstelle, ...

    - virtuelles RAM: hat dieses die selbe Größe

    - virtuelle CPU: passt diese? die selbe Anzahl an Cores? ...

    - virtuelles Netzwerkinterface: hat diese die gleiche MAC-Adresse?


    werden die virt. Hardwarekomponenten mit den selben Treibern angesprochen?

    H6G zwischen kennen und kennen sind halt Unterschiede; ich habs mal gehört, mehr nicht;

    und vmk Deine Anspielung auf F77 hat zwar was, aber Visual FORTRAN ist mir lieber :D

    Code
    1. WRITE (*, '(1X, F3.0, 1H , A)') ((X, 3HMuh), X=1,3.14)

    nebenbei bemerkt, wäre ein Webhosting mit nur F77 eigentlich eines, bei dem man jeden Unfug als CGI ausführen kann;

    hab tataächlich mal eine 'Webanwendung' in reinem C programmiert;

    im Feld rechts oben gehört der Domainname, in Summe ergibt dann dann <Hostname>.<Domainname> den FQDN des vServers

    in den Feldern Nameserver 1, 2, 3 gehören IP Adressen von DNS-Servern, nur so hat der vServer selbst eine DNS-Auflsg.

    bei Domainsuche kannst Du Domainen angeben, welche bei der Namensauflsg. im Falle der Angabe von non-FQDNs angehängt werden,

    wird empfohlen leer zu lassen, denn die Angabe ohne abschließenden '.' wird als non-FQDN interpretiert

    Es gibt noch ein Mittelding zwischen domain validiert (DV) und erweiterte Validierung (EV) nämlich das Organisations-Validiert (OV), bei dem sind die von m_ueberall genannten Felder zwar befüllt, aber man muss sich selbst darum kümmern sie zu sehen;

    manche Browser bieten dies komfortabel an, manche weniger;


    und der Preis f. EV (= grüne Leiste) gegenüber OV ist eigentlich in Bezug auf das System-Umfeld mit Vorsicht zu betrachten;

    EV und grüne Leiste impliziert NICHT

    - sauber implementiert

    - zumindest SSLlabs Grade A

    - ...


    der Umstand bei einigen Browsern, es bei OV doch nicht so leicht sichtbar zu machen, daß da auch z.B. ein Name im Zertifikatssubjekt vorkommt, führt

    vermehrt zur Bereitschaft die horrenden Preise eines EV-Zertifkates zu bezahlen;

    zur Info: ein Wildcard ist nur als DV od. OV möglich; keine CA signiert ein Wildcard als EV

    und MITM-Boxen, die SSL-interception betreiben, machen die grüne Leiste auch zu nichte,

    denn diese ist in den Browsern hardcoded an Hand von Eigenschaften des signierenden CA-Zertifikates implementiert;


    die CAs gerieten in der Vergangenheit auch unter Druck,

    denn Wildcard-Zertifikate wurden bis zu diesem Zeitpunkt ausschließlich als OV angeboten;

    die restlichen kann man verwenden,

    muss man aber nicht;


    Du kannst z.B. nach Diensten bei IPv6 trennen ...


    der SMTP Dienst bekommt prefix::25 (smtp.example.com)

    der IMAP Dienst bekommt prefix::143 (imap.example.com)

    der POP3 Dienst bekommt prefix::110 (pop3.example.com)

    der HTTP Dienst bekommt prefix::80 (http://www.example.com)


    und in Summe haben alle die selbe IPv4


    so ähnlich habe ich das gemacht;

    man ersetze diese eine oben genannte Zeile durch


    Code
    1. if [ "${_csrsubj:0:1}" == "*" ]; then
    2. _csrsubjTmp="\\$_csrsubj"
    3. _debug "Wildcard in subject found"
    4. else
    5. _csrsubjTmp="$_csrsubj"
    6. fi
    7. _debug _csrsubjTmp "$_csrsubjTmp"
    8. _dnsAltnames="$(printf "%s" "$_dnsAltnames," | sed "s/DNS:$_csrsubjTmp,//g")"

    der verflixte '*' :D

    mit der Erkenntnis, daß Wildcard Zertifikate, die so erstellt sind, sodaß die maximale Kompatibilität gewahrt ist

    mit eigenem CSR nicht gehen ...

    dein Beispiel vmk vom crt.sh wurde nicht so erstellt, schlechtes Beispiel; :D


    quittiert wird dies vom acme.sh mit dem Fehler ...


    Sign failed, code is not 200.

    {"type":"urn:ietf:params:acme:error:unauthorized","detail":"Error finalizing order :: Order includes different number of names than CSR specifies","status": 403}


    die Fehlerstelle im acme.sh habe ich auch lokalisiert


    die Fkt. _readSubjectAltNamesFromCSR()


    hier findet sich diese Zeile


    _dnsAltnames="$(printf "%s" "$_dnsAltnames," | sed "s/DNS:$_csrsubj,//g")"


    und wenn der CN des Subjects z.B. '*.example.com' lautet, dann entfernt der Suchstring bei sed den falschen Teil

    die Variable $_dnsAltnames hat vorher z.B. 'DNS:*.example.com,DNS:example.com'

    und nachher an Stelle von 'DNS:example.com,' aber den falschen Wert 'DNS:*.example.com,'

    an der Bugbehebung bin ich dran ...

    moritzh ohne CSR geht es, hier reichen die 240 (eigener DNS);

    mit CSR geht es eben nur wenn der SubjectAltName nur *.example.com ist; der CN im Subject ist *.example.com;

    das Warum das so ist, erhellt sich mir nicht;

    janxb klar kann ich selbst googlen, aber niemand liefert das gesuchte;


    dass das da

    acme.sh --issue -d example.com -d *.example.com --dns dns_myapi --dnssleep 240

    funktioniert hilft mir nicht;


    ich brauch es mit dem eigenen CSR, bei dem da

    acme.sh --signcsr --csr mycsr.req --dns dns_myapi --dnssleep 240 --force

    kommen die seltsamsten Fehler


    ich will jetzt aber nicht die Frage bekommen, wieso ich den eigenen CSR brauch;

    Funktioniert wunderbar damit, ich verwende acme.sh mit direktem Zugriff auf die netcup DNS API und bekomme ein Zertifikat, dass sowohl meinedomain.tld als auch *.meinedomain.tld abdeckt.

    dann lass mal sehen, wie Du das acme.sh aufrufst ...

    Du verlinkst nur eine Paywall. Daher kann ich dir nicht helfen.

    Du nennst es Paywall, von mir aus; es ging nur darum, zu zeigen dass es nicht geht;

    da Du aber das Gegenteil meinst, dann bitte ich darum, das hier verwende ich ...

    https://github.com/Neilpang/acme.sh

    und ehrlich was ich an den verlinkten/zitierten Passagen weiter oben gelesen habe,

    muss man ja wohl sagen, daß hier ein failure by design vorliegt;

    und sauber ist das sicher nicht;

    janxb Nö, example.com. ist ein FQDN


    DNS

    example.com. IN A 80.80.80.80


    rDNS

    80.80.80.80.in-addr.arpa. IN PTR example.com.


    klappt wunderbar, und verstößt gegen keine Regeln ...


    da ich vollstándig Dual-Stack unterwegs bin, verwende ich dafür ::1 vom Prefix

    und dieser einen IPv6-Adresse ist kein Dienst zugeordnet,

    sprich: Zugriffe auf diese IPv6 werden von IP6tables gedropp'd


    bei IPv4 sind die normalen Dienste zugeordnet: Ports 22, 25, 80, 443


    auf die Art vermeide ich, daß bei Zugriffen nach außen Hostnamen wie

    http://www.example.com, mail.example.com, ... auftauchen, sondern einfach nur example.com


    damit bin ich auch nicht auf ein teures Wildcard-Zertifikat angewiesen, weil Let's Encrypt

    läßt es nicht zu, daß sowohl example.com als auch *.example.com als SubjectAltNames definiert sind ...:D