Fritz!Box 7490 immer ungültiges Zertifikat nach Neustart [gelöst]
-
GwenDragon
- Legende
- Beiträge: 8909
- Registriert: 20.07.2014, 12:25
- Hat sich bedankt: 51 Mal
- Danke erhalten: 38 Mal
Fritz!Box 7490 immer ungültiges Zertifikat nach Neustart [gelöst]
Seltsamerweise verliert das SSL-Zertifikat der 7490 nach dem Neustart die Gültigkeit. Firmware der 7490 ist 7.01.
Wenn ich https://fritz.box aufrue, ist das Schloss nicht grün.
Wenn ich das Zertifikat boxcert.cer herunterlade und dann in den Windows-Vertrauenswürdigen Stammzertifikaten installiere, klappt es wieder. Aber so sammeln sich mehrer Stammzertifikate an, deren CommonName die IP der Internetverbindung zum Zeitpunkt der Erstellung ist.
Ist schon seltsam, denn früher haben Neustarts der FB nicht gestört.
FB hat nur LAN-Zugriff, kein Internetzugriff per myfritz oder so.
Wenn ich https://fritz.box aufrue, ist das Schloss nicht grün.
Wenn ich das Zertifikat boxcert.cer herunterlade und dann in den Windows-Vertrauenswürdigen Stammzertifikaten installiere, klappt es wieder. Aber so sammeln sich mehrer Stammzertifikate an, deren CommonName die IP der Internetverbindung zum Zeitpunkt der Erstellung ist.
Ist schon seltsam, denn früher haben Neustarts der FB nicht gestört.
FB hat nur LAN-Zugriff, kein Internetzugriff per myfritz oder so.
-
GwenDragon
- Legende
- Beiträge: 8909
- Registriert: 20.07.2014, 12:25
- Hat sich bedankt: 51 Mal
- Danke erhalten: 38 Mal
Re: Fritz!Box 7490 immer ungültiges Zertifikat nach Neustart
jemand bei AVM schlägt vor ich solle Internetzugriff zulassen und mit Let's Encrypt ein Zertifkat erstellen.
Wohl kaum. Der Router soll und muss lokal bleben.
Ich versuche mal rauszubeommen, ob FB ein von mir erstelltes Zertifikat frisst, dass keine globale IP als CommonName hat.
Was für eine verrückte Zertifikatserstellung die eingebaut haben.
Wohl kaum. Der Router soll und muss lokal bleben.
Ich versuche mal rauszubeommen, ob FB ein von mir erstelltes Zertifikat frisst, dass keine globale IP als CommonName hat.
Was für eine verrückte Zertifikatserstellung die eingebaut haben.
-
DK2000
- Legende
- Beiträge: 9198
- Registriert: 03.04.2018, 00:07
- Hat sich bedankt: 156 Mal
- Danke erhalten: 482 Mal
- Gender:
Re: Fritz!Box 7490 immer ungültiges Zertifikat nach Neustart
Das passiert bei mir auch mit der 7390 nach dem letzten Firmwarupdate.
Das Problem mit den Zertifikaten der Box ist jetzt, dass diese an die externe IP gebunden sind. Solange sich diese nicht ändert, bleibt das Zertifikat gültig. Änder sich jedoch die externe IP wird das Zertifikat ungültig und man muss ein neues installieren, passend zur neuen IP.
Wer auf diesen Unfug kam, weiß ich auch nicht. Davor war das nicht so. Da war das Zertifikat an die Box gebunden und nicht an dessen externe IP.
Wollte das auch mal mit einem selbst erstellten Zertifikat versuchen, aber das hat auch irgendwie nicht geklappt, weil es wohl nicht das richtige war. Habe das dann aber auch nicht weiter verfolgt. Müsste ich mal wieder machen.
Müsste dann nur mal wissen, wie ich lokal ein gültiges Zertifikat für SSL erstellen kann (openssl?).
Das Problem mit den Zertifikaten der Box ist jetzt, dass diese an die externe IP gebunden sind. Solange sich diese nicht ändert, bleibt das Zertifikat gültig. Änder sich jedoch die externe IP wird das Zertifikat ungültig und man muss ein neues installieren, passend zur neuen IP.
Wer auf diesen Unfug kam, weiß ich auch nicht. Davor war das nicht so. Da war das Zertifikat an die Box gebunden und nicht an dessen externe IP.
Wollte das auch mal mit einem selbst erstellten Zertifikat versuchen, aber das hat auch irgendwie nicht geklappt, weil es wohl nicht das richtige war. Habe das dann aber auch nicht weiter verfolgt. Müsste ich mal wieder machen.
Müsste dann nur mal wissen, wie ich lokal ein gültiges Zertifikat für SSL erstellen kann (openssl?).
-
GwenDragon
- Legende
- Beiträge: 8909
- Registriert: 20.07.2014, 12:25
- Hat sich bedankt: 51 Mal
- Danke erhalten: 38 Mal
Re: Fritz!Box 7490 immer ungültiges Zertifikat nach Neustart
Oha, also eine Firmwaremacke oder 'Broken by Design'. 
für deine Anwtort.
Das mit der globalen IP ist eben Mist. Das ist als würde ein Anfängerfehler bei AVM die Zertifikatserstellung generieren. jeder Admin weiß doch dass IPs keine gültigen Domains (im SInne von CommonName) sind.
Ich habe jetzt ein selbstsigniertes Zertifikat mit XCA erstellt mit dem Zertifikatstemplate HTTPS-Server.
Dabei habe ich fritz.box als commonName benutzt, und als
Funktioniert.
Die aus XCA exportierte Konfig als openssl.conf
für deine Anwtort.Das mit der globalen IP ist eben Mist. Das ist als würde ein Anfängerfehler bei AVM die Zertifikatserstellung generieren. jeder Admin weiß doch dass IPs keine gültigen Domains (im SInne von CommonName) sind.
Ich habe jetzt ein selbstsigniertes Zertifikat mit XCA erstellt mit dem Zertifikatstemplate HTTPS-Server.
Dabei habe ich fritz.box als commonName benutzt, und als
Code: Alles auswählen
nsComment=xca certificate
nsCertType=server
subjectAltName=DNS:fritz.box, DNS:www.fritz.box, DNS:fritz.nas, DNS:www.fritz.nas, DNS:friderike, DNS:friderike.fritz.box, DNS:myfritz.box, DNS:www.myfritz.box
keyUsage=digitalSignature, nonRepudiation, keyEncipherment
subjectKeyIdentifier=hash
basicConstraints=critical,CA:FALSE
Die aus XCA exportierte Konfig als openssl.conf
Code: Alles auswählen
oid_section = xca_oids
[ xca_oids ]
dom = 1.3.6.1.4.1.311.20.2
MsCaV = 1.3.6.1.4.1.311.21.1
msEFSFR = 1.3.6.1.4.1.311.10.3.4.1
iKEIntermediate = 1.3.6.1.5.5.8.2.2
nameDistinguisher = 0.2.262.1.10.7.20
id-kp-eapOverPPP = 1.3.6.1.5.5.7.3.13
id-kp-eapOverLAN = 1.3.6.1.5.5.7.3.14
[ req ]
default_bits = 1024
default_keyfile = privkey.pem
distinguished_name = xca_dn
x509_extensions = xca_extensions
req_extensions = xca_extensions
string_mask = MASK:0x2002
utf8 = yes
prompt = no
[ xca_dn ]
0.CN=fritz.box
[ xca_extensions ]
nsComment=xca certificate
nsCertType=server
subjectAltName=DNS:fritz.box, DNS:www.fritz.box, DNS:fritz.nas, DNS:www.fritz.nas, DNS:friderike, DNS:friderike.fritz.box, DNS:myfritz.box, DNS:www.myfritz.box
keyUsage=digitalSignature, nonRepudiation, keyEncipherment
subjectKeyIdentifier=hash
basicConstraints=critical,CA:FALSE
Re: Fritz!Box 7490 immer ungültiges Zertifikat nach Neustart
Ich habe zu dem Problem eine Verständnisfrage: Ich habe AVM so verstanden, daß ein Zertifikat
von Let's Encrypt nur bei Zugriffen aus dem Internet auf die Fritz!Box notwendig ist. Der Zugriff
von außen ist bei Dir doch deaktiviert?!
Wenn ich die Fritz!Box 7490 (Firmware 7.01 und auch schon früher) von "innen" aufrufe, erscheint
zwar auch das durchgestrichene Schloßsymbol, aber Firefox blockiert den Zugriff nicht. Dieses
Verhalten scheint "üblich" zu sein, weil das Zertifikat "boxcert.cer" (mitunter) als nicht vertrauens-
würdig angesehen wird. Ein Sicherheitsproblem soll dies kaum darstellen.
von Let's Encrypt nur bei Zugriffen aus dem Internet auf die Fritz!Box notwendig ist. Der Zugriff
von außen ist bei Dir doch deaktiviert?!
Wenn ich die Fritz!Box 7490 (Firmware 7.01 und auch schon früher) von "innen" aufrufe, erscheint
zwar auch das durchgestrichene Schloßsymbol, aber Firefox blockiert den Zugriff nicht. Dieses
Verhalten scheint "üblich" zu sein, weil das Zertifikat "boxcert.cer" (mitunter) als nicht vertrauens-
würdig angesehen wird. Ein Sicherheitsproblem soll dies kaum darstellen.
-
GwenDragon
- Legende
- Beiträge: 8909
- Registriert: 20.07.2014, 12:25
- Hat sich bedankt: 51 Mal
- Danke erhalten: 38 Mal
Re: Fritz!Box 7490 immer ungültiges Zertifikat nach Neustart [gelöst]
Dass das Zertifikat nicht vertrauenwürdig ist, liegt an seiner kaputten Erstellung trotz Vorhandensein als Vertrauenswürdiges Stammzertifikat in Windows- oder Mozilla Zertifikatspeicher.
Und ich will dem Internet meinen Router nicht über Let's Encrypt bekannt geben. Deswegen kein Let's Encrypt.
Ich will mit jedem Browser im LAN auf F!B-Administrationsoberfläche zugreifen können. Da nerven solche Warnungen, blockierte Inhalte und rote Schlösser wegen kaputter Zertifikate. Deswegen habe ich das Zertifikat per OpenSSL bzw. XCA selbst erstellt.
Und ich will dem Internet meinen Router nicht über Let's Encrypt bekannt geben. Deswegen kein Let's Encrypt.
Ich will mit jedem Browser im LAN auf F!B-Administrationsoberfläche zugreifen können. Da nerven solche Warnungen, blockierte Inhalte und rote Schlösser wegen kaputter Zertifikate. Deswegen habe ich das Zertifikat per OpenSSL bzw. XCA selbst erstellt.