Re: [lmn] Update 6.0 - 6.1
Hallo Jens! Eventuell wäre es ja auch denkenswert, für eigene Anpassungen spezielle Batch-Files vorzusehen, die dann bei einem Update garnicht erst vom Update angefasst werden Ich war so frei mal ein Ticket zu erstellen. Frank ist dran an der Sache: http://www.linuxmuster.net/flyspray/task/461 Beste Grüße Thorsten | Wir sind nicht nur linuxmuster.net, wir sind es auch! ### eingesetztes System ### LINUXMUSTER.NET Die _freie_ Linux Musterlösung - virtualisiert unter KVM + Server Codename Babo 6.1.0-30ubuntu0 + IPFire Core 88 + coovachilli auf Blau - Linbo 2.2.16 ### ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Update 6.0 - 6.1
Hallo, hallo jens, wiedergeholt - es sollte aber in die Updateanleitung ein Hinweis aufgenommen werden, dass man vor dem Update eine Sicherung der Batchdateien anlegen sollte, so man dort eigene Anpassungen vorgenommen hat. ganz so einfach können wir es uns nicht machen, wenn im Wiki speziell für die z.B. Druckeranpassung Anleitungen stehen, dass man z.B. sowas in die common.bat reinschreiben soll. Eventuell wäre es ja auch denkenswert, für eigene Anpassungen spezielle Batch-Files vorzusehen, die dann bei einem Update garnicht erst vom Update angefasst werden :-) Grüße Jens Baumgärtner Freudenstadt wenn man eigene anpassungen vornimmt, liegt es in der eigenen verantwortung, diese zu sichern. sowas braucht nicht in die anleitung. ansonsten wäre diese nämlich ziemlich schnell überladen, denn dann müsste für jedes einzelne file, das verändert wird, was in die anleitung. das würde ja dann niemand mehr lesen, bzw niemand mehr durchblicken. es ist ja eher gesunder menschenverstand, daß man eigene manipulationen auch selbst überwacht und sichert. da von den entwicklern zu erwarten, daß sie riechen, wer eventuell was irgendwo verändert hat, und dies dann auch noch in ne anleitung zu schreiben ist etwas zuviel :) jonny ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Update 6.0 - 6.1
hallo jens, wiedergeholt - es sollte aber in die Updateanleitung ein Hinweis aufgenommen werden, dass man vor dem Update eine Sicherung der Batchdateien anlegen sollte, so man dort eigene Anpassungen vorgenommen hat. wenn man eigene anpassungen vornimmt, liegt es in der eigenen verantwortung, diese zu sichern. sowas braucht nicht in die anleitung. ansonsten wäre diese nämlich ziemlich schnell überladen, denn dann müsste für jedes einzelne file, das verändert wird, was in die anleitung. das würde ja dann niemand mehr lesen, bzw niemand mehr durchblicken. es ist ja eher gesunder menschenverstand, daß man eigene manipulationen auch selbst überwacht und sichert. da von den entwicklern zu erwarten, daß sie riechen, wer eventuell was irgendwo verändert hat, und dies dann auch noch in ne anleitung zu schreiben ist etwas zuviel :) jonny ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Update 6.0 - 6.1
Hallo Rüdiger, Hallo Jens und Holger, Holger hat die PKI schon verstanden: der Server bräuchte ja nur den Public-Key des Nutzers, und der ist normalerweise nicht verschlüsselt -- normalerweise. Sowohl public als auch private key sind im *.p12-File gespeichert. Man müsste den public key also da herausholen können. Nun lese ich gerade in einem Forum diesen Text: .pkcs12 .pfx .p12 Originally defined by RSA in the Public-Key Cryptography Standards, the 12 variant was enhanced by Microsoft. This is a passworded container format that contains both public and private certificate pairs. Unlike .pem files, this container is fully encrypted. Openssl can turn this into a .pem file with both public and private keys: openssl pkcs12 -in file-to-convert.p12 -out converted-file.pem -nodes (http://serverfault.com/questions/9708/what-is-a-pem-file-and-how-does-it-differ-from-other-openssl-generated-key-file Da steht: Unlike .pem files, this container is fully encrypted.. Der public key ist also auch einfach mal mit verschlüsselt. -- Klar, das Dateiformat wurde von Microsoft enhanced... Also: Microsoft hat wohl die PKI nicht ganz verstanden, und deshalb braucht man, um den public key aus dem *.p12-File zu extrahieren, ebenfalls das Nutzerpasswort. Clever, nicht wahr?? das hat M$ ja mal wieder prächtig hinbekommen: Da verschlüsseln die einen PUBLIC Key - warum ist der nur public? OK, aber selbst mit reinem openssl wäre die Lage bei uns nicht besser, denn in den HomeVezeichnissen der User steht normalerweise nur der Private-Key zur Verfügung, auf dem Server der passende public (und auch der private) - Key. Aus dem privateKey lässt sich zwar der publicKey erzeugen, aber bei einem passwortgeschützten privateKey eben erst nach Eingabe des Passworts Test: * ssh-keygen -t rsa -f test.rsa erzeugt ein Schlüsselpaar test.rsa und test.rsa.pub nach Eingabe eines frei gewählten Passworts * openssl rsa -text -noout -in test.rsa Zeigt das Zertifikat nach Eingabe des Passworts an * openssl rsa -in test.rsa -pubout -out test_rsa.pub Das wäre der Befehl, mit dem wir den publicKey erzeugen könnten aber eben erst nach Eingabe des Passworts Bei der Sicherung des ipFire läuft bei uns was schief, der sichert seit 10/2014 nicht mehr - komisch, aber ich glaube zu diesem Zeitpunkt habe ich den ipFire mal upgedatet. Naja, wenigsten die User, die vor Oktober ihr Zertifikat erstellt haben, bekommen es wieder :-) Grüße Jens ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Update 6.0 - 6.1
Hallo Jens, /usr/sbin/linuxmuster-ipfire --backup sollte den IPFIRE nach /var/backup/linuxmuster/ipfire auf dem Server sichern. Gruß Alois Am 29. März 2015 um 10:13 schrieb Jens Baumgärtner jens.baumgaert...@gmx.de : Hallo Rüdiger, Hallo Jens und Holger, Holger hat die PKI schon verstanden: der Server bräuchte ja nur den Public-Key des Nutzers, und der ist normalerweise nicht verschlüsselt -- normalerweise. Sowohl public als auch private key sind im *.p12-File gespeichert. Man müsste den public key also da herausholen können. Nun lese ich gerade in einem Forum diesen Text: .pkcs12 .pfx .p12 Originally defined by RSA in the Public-Key Cryptography Standards, the 12 variant was enhanced by Microsoft. This is a passworded container format that contains both public and private certificate pairs. Unlike .pem files, this container is fully encrypted. Openssl can turn this into a .pem file with both public and private keys: openssl pkcs12 -in file-to-convert.p12 -out converted-file.pem -nodes (http://serverfault.com/questions/9708/what-is-a-pem-file-and-how-does-it-differ-from-other-openssl-generated-key-file Da steht: Unlike .pem files, this container is fully encrypted.. Der public key ist also auch einfach mal mit verschlüsselt. -- Klar, das Dateiformat wurde von Microsoft enhanced... Also: Microsoft hat wohl die PKI nicht ganz verstanden, und deshalb braucht man, um den public key aus dem *.p12-File zu extrahieren, ebenfalls das Nutzerpasswort. Clever, nicht wahr?? das hat M$ ja mal wieder prächtig hinbekommen: Da verschlüsseln die einen PUBLIC Key - warum ist der nur public? OK, aber selbst mit reinem openssl wäre die Lage bei uns nicht besser, denn in den HomeVezeichnissen der User steht normalerweise nur der Private-Key zur Verfügung, auf dem Server der passende public (und auch der private) - Key. Aus dem privateKey lässt sich zwar der publicKey erzeugen, aber bei einem passwortgeschützten privateKey eben erst nach Eingabe des Passworts Test: - ssh-keygen -t rsa -f test.rsa erzeugt ein Schlüsselpaar test.rsa und test.rsa.pub nach Eingabe eines frei gewählten Passworts - openssl rsa -text -noout -in test.rsa Zeigt das Zertifikat nach Eingabe des Passworts an - openssl rsa -in test.rsa -pubout -out test_rsa.pub Das wäre der Befehl, mit dem wir den publicKey erzeugen könnten aber eben erst nach Eingabe des Passworts Bei der Sicherung des ipFire läuft bei uns was schief, der sichert seit 10/2014 nicht mehr - komisch, aber ich glaube zu diesem Zeitpunkt habe ich den ipFire mal upgedatet. Naja, wenigsten die User, die vor Oktober ihr Zertifikat erstellt haben, bekommen es wieder :-) Grüße Jens ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Update 6.0 - 6.1
Hallo Jens, Das Zurückspielen der Zertifikate aus den [user].p12-Dateien geht übrigens NICHT, da wir ohne die Passwörter der User nicht an das verschlüsselte Zertifikat herankommen. Sonst wäre das mit openssl überhaupt kein Problem. Oder weiß da jemand, wie man ohne das Passwort zu kennen aus einer .p12 den public-Key extrahieren kann? .. du brauchst doch garnicht das Passwort: du mußt doch nur die datei wieder hochladen.. VIele Grüße Holger -- Mein öffentlicher PGP-key ist hier hinterlegt: pool.sks-keyservers.net ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Update 6.0 - 6.1
Hallo Rüdiger, wenn Du jetzt Frau wärst ;-) Gruß Alois Am 28. März 2015 um 14:41 schrieb Rüdiger Kupper k...@kg-fds.de: Bingo! Alois, Du bist ein Schatz... Da liegen die Backups der Zertifikate :-). Grüße, Rüdiger Am 28.03.2015 um 14:21 schrieb Alois Raunheimer: Hallo Jens, der IPFIRE legt offenbar unter /var/ipfire/backup backups an. Vielleicht findest Du dort auch die Zertifikate? Die Backups haben den Namen MMTT-hhmm.ipf. Bei mir werden die wohl täglich um 20.30 Uhr angelegt. Gruß Alois Am 28. März 2015 um 13:52 schrieb Rüdiger Kupper k...@kg-fds.de mailto:k...@kg-fds.de: Hallo Jens und Holger, Holger hat die PKI schon verstanden: der Server bräuchte ja nur den Public-Key des Nutzers, und der ist normalerweise nicht verschlüsselt -- normalerweise. Sowohl public als auch private key sind im *.p12-File gespeichert. Man müsste den public key also da herausholen können. Nun lese ich gerade in einem Forum diesen Text: .pkcs12 .pfx .p12 Originally defined by RSA in the Public-Key Cryptography Standards, the 12 variant was enhanced by Microsoft. This is a passworded container format that contains both public and private certificate pairs. Unlike .pem files, this container is fully encrypted. Openssl can turn this into a .pem file with both public and private keys: openssl pkcs12 -in file-to-convert.p12 -out converted-file.pem -nodes ( http://serverfault.com/questions/9708/what-is-a-pem-file-and-how-does-it-differ-from-other-openssl-generated-key-file Da steht: Unlike .pem files, this container is fully encrypted.. Der public key ist also auch einfach mal mit verschlüsselt. -- Klar, das Dateiformat wurde von Microsoft enhanced... Also: Microsoft hat wohl die PKI nicht ganz verstanden, und deshalb braucht man, um den public key aus dem *.p12-File zu extrahieren, ebenfalls das Nutzerpasswort. Clever, nicht wahr?? Viele Grüße, Rüdiger Am 28.03.2015 um 13:34 schrieb Jens Baumgärtner: Hallo Holger, eben nicht, so funktioniert asymmetrische Kryptographie nicht. Du benötigst dafür den PubKey und den PrivateKey. In den .p12-Dateien ist der PrivateKey verschlüsselt abgespeichert (auch der PubKey?) auf jeden Fall aber kann man aus dem PrivateKey wieder den PubKey erzeugen. Der PrivateKey bringt mir ohne das Passwort also nichts, denn der OpenVPN-Server braucht auf jeden Fall den PubKey, der OpenVPN-Client den PrivateKey. Der PrivateKey liegt zwar immer auch mit auf dem Server, damit man ihn von dort herunterladen (Schulkonsole) kann. Grüße Jens Am 28.03.2015 um 12:17 schrieb Holger Baumhof: Hallo Jens, Das Zurückspielen der Zertifikate aus den [user].p12-Dateien geht übrigens NICHT, da wir ohne die Passwörter der User nicht an das verschlüsselte Zertifikat herankommen. Sonst wäre das mit openssl überhaupt kein Problem. Oder weiß da jemand, wie man ohne das Passwort zu kennen aus einer .p12 den public-Key extrahieren kann? .. du brauchst doch garnicht das Passwort: du mußt doch nur die datei wieder hochladen.. VIele Grüße Holger ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net mailto:linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user -- Dr. Rüdiger Kupper k...@kg-fds.de mailto:k...@kg-fds.de Kepler-Gymnasium Freudenstadt Email (geschäftl.): k...@kg-fds.de mailto:k...@kg-fds.de Tel. (geschäftl.): 07441 / 86 05 9 - 600 ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net mailto:linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user -- Dr. Rüdiger Kupper k...@kg-fds.de Kepler-Gymnasium Freudenstadt Email (geschäftl.): k...@kg-fds.de Tel. (geschäftl.): 07441 / 86 05 9 - 600 ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Update 6.0 - 6.1
Kann ich leider nicht mit dienen, sorry... Am 28.03.2015 um 15:20 schrieb Alois Raunheimer: Hallo Rüdiger, wenn Du jetzt Frau wärst ;-) Gruß Alois Am 28. März 2015 um 14:41 schrieb Rüdiger Kupper k...@kg-fds.de mailto:k...@kg-fds.de: Bingo! Alois, Du bist ein Schatz... Da liegen die Backups der Zertifikate :-). Grüße, Rüdiger Am 28.03.2015 um 14:21 schrieb Alois Raunheimer: Hallo Jens, der IPFIRE legt offenbar unter /var/ipfire/backup backups an. Vielleicht findest Du dort auch die Zertifikate? Die Backups haben den Namen MMTT-hhmm.ipf. Bei mir werden die wohl täglich um 20.30 Uhr angelegt. Gruß Alois Am 28. März 2015 um 13:52 schrieb Rüdiger Kupper k...@kg-fds.de mailto:k...@kg-fds.de mailto:k...@kg-fds.de mailto:k...@kg-fds.de: Hallo Jens und Holger, Holger hat die PKI schon verstanden: der Server bräuchte ja nur den Public-Key des Nutzers, und der ist normalerweise nicht verschlüsselt -- normalerweise. Sowohl public als auch private key sind im *.p12-File gespeichert. Man müsste den public key also da herausholen können. Nun lese ich gerade in einem Forum diesen Text: .pkcs12 .pfx .p12 Originally defined by RSA in the Public-Key Cryptography Standards, the 12 variant was enhanced by Microsoft. This is a passworded container format that contains both public and private certificate pairs. Unlike .pem files, this container is fully encrypted. Openssl can turn this into a .pem file with both public and private keys: openssl pkcs12 -in file-to-convert.p12 -out converted-file.pem -nodes (http://serverfault.com/questions/9708/what-is-a-pem-file-and-how-does-it-differ-from-other-openssl-generated-key-file Da steht: Unlike .pem files, this container is fully encrypted.. Der public key ist also auch einfach mal mit verschlüsselt. -- Klar, das Dateiformat wurde von Microsoft enhanced... Also: Microsoft hat wohl die PKI nicht ganz verstanden, und deshalb braucht man, um den public key aus dem *.p12-File zu extrahieren, ebenfalls das Nutzerpasswort. Clever, nicht wahr?? Viele Grüße, Rüdiger Am 28.03.2015 um 13:34 schrieb Jens Baumgärtner: Hallo Holger, eben nicht, so funktioniert asymmetrische Kryptographie nicht. Du benötigst dafür den PubKey und den PrivateKey. In den .p12-Dateien ist der PrivateKey verschlüsselt abgespeichert (auch der PubKey?) auf jeden Fall aber kann man aus dem PrivateKey wieder den PubKey erzeugen. Der PrivateKey bringt mir ohne das Passwort also nichts, denn der OpenVPN-Server braucht auf jeden Fall den PubKey, der OpenVPN-Client den PrivateKey. Der PrivateKey liegt zwar immer auch mit auf dem Server, damit man ihn von dort herunterladen (Schulkonsole) kann. Grüße Jens Am 28.03.2015 um 12:17 schrieb Holger Baumhof: Hallo Jens, Das Zurückspielen der Zertifikate aus den [user].p12-Dateien geht übrigens NICHT, da wir ohne die Passwörter der User nicht an das verschlüsselte Zertifikat herankommen. Sonst wäre das mit openssl überhaupt kein Problem. Oder weiß da jemand, wie man ohne das Passwort zu kennen aus einer .p12 den public-Key extrahieren kann? .. du brauchst doch garnicht das Passwort: du mußt doch nur die datei wieder hochladen.. VIele Grüße Holger ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net mailto:linuxmuster-user@lists.linuxmuster.net mailto:linuxmuster-user@lists.linuxmuster.net mailto:linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user -- Dr. Rüdiger Kupper k...@kg-fds.de mailto:k...@kg-fds.de mailto:k...@kg-fds.de mailto:k...@kg-fds.de Kepler-Gymnasium Freudenstadt Email (geschäftl.): k...@kg-fds.de mailto:k...@kg-fds.de mailto:k...@kg-fds.de mailto:k...@kg-fds.de Tel. (geschäftl.): 07441 / 86 05 9 - 600 ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net mailto:linuxmuster-user@lists.linuxmuster.net mailto:linuxmuster-user@lists.linuxmuster.net
Re: [lmn] Update 6.0 - 6.1
Hallo Ihr, ich habe die Anleitung wieder in den Ursprungszustand versetzt. Gruß Alois Am 28. März 2015 um 12:17 schrieb Holger Baumhof holger.baum...@web.de: Hallo Jens, Das Zurückspielen der Zertifikate aus den [user].p12-Dateien geht übrigens NICHT, da wir ohne die Passwörter der User nicht an das verschlüsselte Zertifikat herankommen. Sonst wäre das mit openssl überhaupt kein Problem. Oder weiß da jemand, wie man ohne das Passwort zu kennen aus einer .p12 den public-Key extrahieren kann? .. du brauchst doch garnicht das Passwort: du mußt doch nur die datei wieder hochladen.. VIele Grüße Holger -- Mein öffentlicher PGP-key ist hier hinterlegt: pool.sks-keyservers.net ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Update 6.0 - 6.1
Hallo Holger, eben nicht, so funktioniert asymmetrische Kryptographie nicht. Du benötigst dafür den PubKey und den PrivateKey. In den .p12-Dateien ist der PrivateKey verschlüsselt abgespeichert (auch der PubKey?) auf jeden Fall aber kann man aus dem PrivateKey wieder den PubKey erzeugen. Der PrivateKey bringt mir ohne das Passwort also nichts, denn der OpenVPN-Server braucht auf jeden Fall den PubKey, der OpenVPN-Client den PrivateKey. Der PrivateKey liegt zwar immer auch mit auf dem Server, damit man ihn von dort herunterladen (Schulkonsole) kann. Grüße Jens Am 28.03.2015 um 12:17 schrieb Holger Baumhof: Hallo Jens, Das Zurückspielen der Zertifikate aus den [user].p12-Dateien geht übrigens NICHT, da wir ohne die Passwörter der User nicht an das verschlüsselte Zertifikat herankommen. Sonst wäre das mit openssl überhaupt kein Problem. Oder weiß da jemand, wie man ohne das Passwort zu kennen aus einer .p12 den public-Key extrahieren kann? .. du brauchst doch garnicht das Passwort: du mußt doch nur die datei wieder hochladen.. VIele Grüße Holger ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Update 6.0 - 6.1
Bingo! Alois, Du bist ein Schatz... Da liegen die Backups der Zertifikate :-). Grüße, Rüdiger Am 28.03.2015 um 14:21 schrieb Alois Raunheimer: Hallo Jens, der IPFIRE legt offenbar unter /var/ipfire/backup backups an. Vielleicht findest Du dort auch die Zertifikate? Die Backups haben den Namen MMTT-hhmm.ipf. Bei mir werden die wohl täglich um 20.30 Uhr angelegt. Gruß Alois Am 28. März 2015 um 13:52 schrieb Rüdiger Kupper k...@kg-fds.de mailto:k...@kg-fds.de: Hallo Jens und Holger, Holger hat die PKI schon verstanden: der Server bräuchte ja nur den Public-Key des Nutzers, und der ist normalerweise nicht verschlüsselt -- normalerweise. Sowohl public als auch private key sind im *.p12-File gespeichert. Man müsste den public key also da herausholen können. Nun lese ich gerade in einem Forum diesen Text: .pkcs12 .pfx .p12 Originally defined by RSA in the Public-Key Cryptography Standards, the 12 variant was enhanced by Microsoft. This is a passworded container format that contains both public and private certificate pairs. Unlike .pem files, this container is fully encrypted. Openssl can turn this into a .pem file with both public and private keys: openssl pkcs12 -in file-to-convert.p12 -out converted-file.pem -nodes (http://serverfault.com/questions/9708/what-is-a-pem-file-and-how-does-it-differ-from-other-openssl-generated-key-file Da steht: Unlike .pem files, this container is fully encrypted.. Der public key ist also auch einfach mal mit verschlüsselt. -- Klar, das Dateiformat wurde von Microsoft enhanced... Also: Microsoft hat wohl die PKI nicht ganz verstanden, und deshalb braucht man, um den public key aus dem *.p12-File zu extrahieren, ebenfalls das Nutzerpasswort. Clever, nicht wahr?? Viele Grüße, Rüdiger Am 28.03.2015 um 13:34 schrieb Jens Baumgärtner: Hallo Holger, eben nicht, so funktioniert asymmetrische Kryptographie nicht. Du benötigst dafür den PubKey und den PrivateKey. In den .p12-Dateien ist der PrivateKey verschlüsselt abgespeichert (auch der PubKey?) auf jeden Fall aber kann man aus dem PrivateKey wieder den PubKey erzeugen. Der PrivateKey bringt mir ohne das Passwort also nichts, denn der OpenVPN-Server braucht auf jeden Fall den PubKey, der OpenVPN-Client den PrivateKey. Der PrivateKey liegt zwar immer auch mit auf dem Server, damit man ihn von dort herunterladen (Schulkonsole) kann. Grüße Jens Am 28.03.2015 um 12:17 schrieb Holger Baumhof: Hallo Jens, Das Zurückspielen der Zertifikate aus den [user].p12-Dateien geht übrigens NICHT, da wir ohne die Passwörter der User nicht an das verschlüsselte Zertifikat herankommen. Sonst wäre das mit openssl überhaupt kein Problem. Oder weiß da jemand, wie man ohne das Passwort zu kennen aus einer .p12 den public-Key extrahieren kann? .. du brauchst doch garnicht das Passwort: du mußt doch nur die datei wieder hochladen.. VIele Grüße Holger ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net mailto:linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user -- Dr. Rüdiger Kupper k...@kg-fds.de mailto:k...@kg-fds.de Kepler-Gymnasium Freudenstadt Email (geschäftl.): k...@kg-fds.de mailto:k...@kg-fds.de Tel. (geschäftl.): 07441 / 86 05 9 - 600 ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net mailto:linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user -- Dr. Rüdiger Kupper k...@kg-fds.de Kepler-Gymnasium Freudenstadt Email (geschäftl.): k...@kg-fds.de Tel. (geschäftl.): 07441 / 86 05 9 - 600 signature.asc Description: OpenPGP digital signature ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Update 6.0 - 6.1
Hallo Rüdiger, der Satz war noch nicht zu Ende ;-) ... dann würde ich mir angebaggert vorkommen. Gruß Alois Am 28. März 2015 um 15:30 schrieb Rüdiger Kupper k...@kg-fds.de: Kann ich leider nicht mit dienen, sorry... Am 28.03.2015 um 15:20 schrieb Alois Raunheimer: Hallo Rüdiger, wenn Du jetzt Frau wärst ;-) Gruß Alois Am 28. März 2015 um 14:41 schrieb Rüdiger Kupper k...@kg-fds.de mailto:k...@kg-fds.de: Bingo! Alois, Du bist ein Schatz... Da liegen die Backups der Zertifikate :-). Grüße, Rüdiger Am 28.03.2015 um 14:21 schrieb Alois Raunheimer: Hallo Jens, der IPFIRE legt offenbar unter /var/ipfire/backup backups an. Vielleicht findest Du dort auch die Zertifikate? Die Backups haben den Namen MMTT-hhmm.ipf. Bei mir werden die wohl täglich um 20.30 Uhr angelegt. Gruß Alois Am 28. März 2015 um 13:52 schrieb Rüdiger Kupper k...@kg-fds.de mailto:k...@kg-fds.de mailto:k...@kg-fds.de mailto:k...@kg-fds.de: Hallo Jens und Holger, Holger hat die PKI schon verstanden: der Server bräuchte ja nur den Public-Key des Nutzers, und der ist normalerweise nicht verschlüsselt -- normalerweise. Sowohl public als auch private key sind im *.p12-File gespeichert. Man müsste den public key also da herausholen können. Nun lese ich gerade in einem Forum diesen Text: .pkcs12 .pfx .p12 Originally defined by RSA in the Public-Key Cryptography Standards, the 12 variant was enhanced by Microsoft. This is a passworded container format that contains both public and private certificate pairs. Unlike .pem files, this container is fully encrypted. Openssl can turn this into a .pem file with both public and private keys: openssl pkcs12 -in file-to-convert.p12 -out converted-file.pem -nodes ( http://serverfault.com/questions/9708/what-is-a-pem-file-and-how-does-it-differ-from-other-openssl-generated-key-file Da steht: Unlike .pem files, this container is fully encrypted.. Der public key ist also auch einfach mal mit verschlüsselt. -- Klar, das Dateiformat wurde von Microsoft enhanced... Also: Microsoft hat wohl die PKI nicht ganz verstanden, und deshalb braucht man, um den public key aus dem *.p12-File zu extrahieren, ebenfalls das Nutzerpasswort. Clever, nicht wahr?? Viele Grüße, Rüdiger Am 28.03.2015 um 13:34 schrieb Jens Baumgärtner: Hallo Holger, eben nicht, so funktioniert asymmetrische Kryptographie nicht. Du benötigst dafür den PubKey und den PrivateKey. In den .p12-Dateien ist der PrivateKey verschlüsselt abgespeichert (auch der PubKey?) auf jeden Fall aber kann man aus dem PrivateKey wieder den PubKey erzeugen. Der PrivateKey bringt mir ohne das Passwort also nichts, denn der OpenVPN-Server braucht auf jeden Fall den PubKey, der OpenVPN-Client den PrivateKey. Der PrivateKey liegt zwar immer auch mit auf dem Server, damit man ihn von dort herunterladen (Schulkonsole) kann. Grüße Jens Am 28.03.2015 um 12:17 schrieb Holger Baumhof: Hallo Jens, Das Zurückspielen der Zertifikate aus den [user].p12-Dateien geht übrigens NICHT, da wir ohne die Passwörter der User nicht an das verschlüsselte Zertifikat herankommen. Sonst wäre das mit openssl überhaupt kein Problem. Oder weiß da jemand, wie man ohne das Passwort zu kennen aus einer .p12 den public-Key extrahieren kann? .. du brauchst doch garnicht das Passwort: du mußt doch nur die datei wieder hochladen.. VIele Grüße Holger ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net mailto:linuxmuster-user@lists.linuxmuster.net mailto:linuxmuster-user@lists.linuxmuster.net mailto:linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user -- Dr. Rüdiger Kupper k...@kg-fds.de mailto:k...@kg-fds.de mailto:k...@kg-fds.de mailto:k...@kg-fds.de Kepler-Gymnasium Freudenstadt Email (geschäftl.): k...@kg-fds.de mailto:k...@kg-fds.de mailto:k...@kg-fds.de mailto:k...@kg-fds.de
Re: [lmn] Update 6.0 - 6.1
Hallo Jens, auch wenn ein Backup des IPFIRE existiert ist es sinnvoll die Zertifikate neu auszustellen. Gruß Alois Am 28. März 2015 um 09:10 schrieb Jens Baumgärtner jens.baumgaert...@gmx.de : Hallo Liste, gestern lief unser Update eigentlich recht problemlos durch. Eigentlich heißt, dass nach linuxmuster-ipfire --setup leider mal alle p12-Zertifikate der OpenVPN-Nutzer auf dem IPFire weg sind. Kann man da noch was retten? Grüße Jens Baumgärtner, Freudenstadt ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Update 6.0 - 6.1
Hallo Alois, danke für die Rückmeldung. Wir haben in Freudenstadt immernoch zwingend den Zugang per OpenVPN ins WLAN - Chillispot ist bei uns nicht eingeführt worden, wir gehen da auf Nummer Sicher. OK: Ist das beim Umstieg von 6.0 auf 6.1 vorgesehen, dass die Zertifikate verschwinden (dann MUSS das in die Dokumentation rein) - oder ist da bei uns was gehörig schiefgelaufen? Grüße Jens Hallo Jens, ich bin sowieso von der 5.1 auf die 6.x umgestiegen und habe das nicht größer publiziert. Nur wer OpenVPN regelmäßig nutzte dem habe ich auch Anfrage gesagt dass er das Zertifikat neu ausstellen muss. Insofern hielt sich die Aufregung in Grenzen. Die welche ein OpenVPN-Zertifikat hatten, aber nie nutzten, haben bis heute nicht gemerkt dass OpenVPN bei ihnen gar nicht mehr funktioniert. Da inzwischen OpenVPN nicht mehr zwingend erforderlich ist um ins WLAN zu kommen, gibt es auch nicht mehr so viele Zertifikate wie früher. Gruß Alois Am 28. März 2015 um 09:22 schrieb Jens Baumgärtner jens.baumgaert...@gmx.de mailto:jens.baumgaert...@gmx.de: Hallo Alois, na das ist ja wenig praktisch - könnte das mal jemand in die Dokumentation schreiben? Hast du das mit deinen ~1000 Zertifikaten auch machen müssen? Ich habe gleich heute morgen mal daran gedacht, per openssl aus den in den HomeVZ der User liegenden .p12-Dateien den public-Key zu extrahieren, das scheitert aber leider daran, dass ich dafür das Passwort der User bräuchte, da die .p12 damit verschlüsselt ist :-( OK, wenn niemand mehr was einfällt dazu, dann müssen halt alle OpenVPN-User das Zertifikat neu in der Schulkonsole erstellen. Grüße Jens Hallo Jens, auch wenn ein Backup des IPFIRE existiert ist es sinnvoll die Zertifikate neu auszustellen. Gruß Alois Am 28. März 2015 um 09:10 schrieb Jens Baumgärtner jens.baumgaert...@gmx.de mailto:jens.baumgaert...@gmx.de: Hallo Liste, gestern lief unser Update eigentlich recht problemlos durch. Eigentlich heißt, dass nach linuxmuster-ipfire --setup leider mal alle p12-Zertifikate der OpenVPN-Nutzer auf dem IPFire weg sind. Kann man da noch was retten? Grüße Jens Baumgärtner, Freudenstadt ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net mailto:linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net mailto:linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net mailto:linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Update 6.0 - 6.1
Hallo alle zusammen, ich gehe davon aus, dass die Aktualisierung des IPFIRE der Grund für das Verschwinden der Zertifikate ist. Auslieferungszustand bedeutet m.E. auch dass alle Zertifikate weg sind. Unsere Umstellung ist schon länger her. Unsere Zertifikate blieben erhalten. Nur der Vollständigkeitshalber. Bei der Umstellung von 6.0 auf 6.1 geht da nix verloren: am IPFire wird so gut wie nichts geändert: erst wenn man zusätzlich auf subnetting umstellt wird im IPFire was gemacht. .. ich denke es ist anders gelaufen: Jens hat die 6.0 mit IPCop betrieben, weil er so früh umgestiegen ist: auch ich hatte eine Schule, die in den Weihnachtsferien 2012 auf lml 6 umgestiegen sind (damals noch Beta). Die hatten auch bis etwa ende 2013 noch lml6 mit IPCop: dann hab ich auf IPFire umgestellt. Stellt man von IPCop auf IPFIre um, dann gehen die Einstellungen verloren.. Aber: ich denke man hat vielleicht eine Chance auf diese Arten: 1) auf dem alten IPCop nachschauen, wo den die Zertifikate liegen und sie im IPFire an die entsprechende Stelle legen oder 2) sie Certs sind ja in den HOmes der Nutzer noch vorhanden: also könnte man sie mittels linuxmuster-ovpn wieder hochladen und wieder aktiviren (vielleicht geht das mit dem IPFire). VIele Grüße Holger -- Mein öffentlicher PGP-key ist hier hinterlegt: pool.sks-keyservers.net ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Update 6.0 - 6.1
Hallo Alois, na das ist ja wenig praktisch - könnte das mal jemand in die Dokumentation schreiben? Hast du das mit deinen ~1000 Zertifikaten auch machen müssen? Ich habe gleich heute morgen mal daran gedacht, per openssl aus den in den HomeVZ der User liegenden .p12-Dateien den public-Key zu extrahieren, das scheitert aber leider daran, dass ich dafür das Passwort der User bräuchte, da die .p12 damit verschlüsselt ist :-( OK, wenn niemand mehr was einfällt dazu, dann müssen halt alle OpenVPN-User das Zertifikat neu in der Schulkonsole erstellen. Grüße Jens Hallo Jens, auch wenn ein Backup des IPFIRE existiert ist es sinnvoll die Zertifikate neu auszustellen. Gruß Alois Am 28. März 2015 um 09:10 schrieb Jens Baumgärtner jens.baumgaert...@gmx.de mailto:jens.baumgaert...@gmx.de: Hallo Liste, gestern lief unser Update eigentlich recht problemlos durch. Eigentlich heißt, dass nach linuxmuster-ipfire --setup leider mal alle p12-Zertifikate der OpenVPN-Nutzer auf dem IPFire weg sind. Kann man da noch was retten? Grüße Jens Baumgärtner, Freudenstadt ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net mailto:linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Update 6.0 - 6.1
Hallo Jens, ich gehe davon aus, dass die Aktualisierung des IPFIRE der Grund für das Verschwinden der Zertifikate ist. Im Prinzip steht das hier Externe Firewall umstellen Im Zuge der Aktualisierung wird die interne und externe Firewall auf IP-basierte Regeln http://www.linuxmuster.net/wiki/dokumentation:techsheets:internetsperre umgestellt. Damit dies sicher und erfolgreich abgeschlossen werden kann, ist hier nochmal ein weiterer Eingriff nötig. Nachdem das Distributions-Upgrade durchgelaufen ist, setzen Sie die externe Firewall mit dem Befehl # linuxmuster-ipfire --setup einmal in den Auslieferungszustand http://www.linuxmuster.net/wiki/dokumentation:handbuch:installation:ipfire.defaultconfig zurück. Beachten Sie, dass Sie *eigene Regeln und Portweiterleitungen danach wieder einpflegen und aktivieren* müssen. Auslieferungszustand bedeutet m.E. auch dass alle Zertifikate weg sind. Gruß Alois Am 28. März 2015 um 09:43 schrieb Jens Baumgärtner jens.baumgaert...@gmx.de : Hallo Alois, danke für die Rückmeldung. Wir haben in Freudenstadt immernoch zwingend den Zugang per OpenVPN ins WLAN - Chillispot ist bei uns nicht eingeführt worden, wir gehen da auf Nummer Sicher. OK: Ist das beim Umstieg von 6.0 auf 6.1 vorgesehen, dass die Zertifikate verschwinden (dann MUSS das in die Dokumentation rein) - oder ist da bei uns was gehörig schiefgelaufen? Grüße Jens Hallo Jens, ich bin sowieso von der 5.1 auf die 6.x umgestiegen und habe das nicht größer publiziert. Nur wer OpenVPN regelmäßig nutzte dem habe ich auch Anfrage gesagt dass er das Zertifikat neu ausstellen muss. Insofern hielt sich die Aufregung in Grenzen. Die welche ein OpenVPN-Zertifikat hatten, aber nie nutzten, haben bis heute nicht gemerkt dass OpenVPN bei ihnen gar nicht mehr funktioniert. Da inzwischen OpenVPN nicht mehr zwingend erforderlich ist um ins WLAN zu kommen, gibt es auch nicht mehr so viele Zertifikate wie früher. Gruß Alois Am 28. März 2015 um 09:22 schrieb Jens Baumgärtner jens.baumgaert...@gmx.de: Hallo Alois, na das ist ja wenig praktisch - könnte das mal jemand in die Dokumentation schreiben? Hast du das mit deinen ~1000 Zertifikaten auch machen müssen? Ich habe gleich heute morgen mal daran gedacht, per openssl aus den in den HomeVZ der User liegenden .p12-Dateien den public-Key zu extrahieren, das scheitert aber leider daran, dass ich dafür das Passwort der User bräuchte, da die .p12 damit verschlüsselt ist :-( OK, wenn niemand mehr was einfällt dazu, dann müssen halt alle OpenVPN-User das Zertifikat neu in der Schulkonsole erstellen. Grüße Jens Hallo Jens, auch wenn ein Backup des IPFIRE existiert ist es sinnvoll die Zertifikate neu auszustellen. Gruß Alois Am 28. März 2015 um 09:10 schrieb Jens Baumgärtner jens.baumgaert...@gmx.de: Hallo Liste, gestern lief unser Update eigentlich recht problemlos durch. Eigentlich heißt, dass nach linuxmuster-ipfire --setup leider mal alle p12-Zertifikate der OpenVPN-Nutzer auf dem IPFire weg sind. Kann man da noch was retten? Grüße Jens Baumgärtner, Freudenstadt ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user ___ linuxmuster-user mailing listlinuxmuster-user@lists.linuxmuster.nethttps://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user ___ linuxmuster-user mailing listlinuxmuster-user@lists.linuxmuster.nethttps://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
[lmn] Update 6.0 - 6.1
Hallo Liste, gestern lief unser Update eigentlich recht problemlos durch. Eigentlich heißt, dass nach linuxmuster-ipfire --setup leider mal alle p12-Zertifikate der OpenVPN-Nutzer auf dem IPFire weg sind. Kann man da noch was retten? Grüße Jens Baumgärtner, Freudenstadt ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Update 6.0 - 6.1
Hallo Jens, ich bin sowieso von der 5.1 auf die 6.x umgestiegen und habe das nicht größer publiziert. Nur wer OpenVPN regelmäßig nutzte dem habe ich auch Anfrage gesagt dass er das Zertifikat neu ausstellen muss. Insofern hielt sich die Aufregung in Grenzen. Die welche ein OpenVPN-Zertifikat hatten, aber nie nutzten, haben bis heute nicht gemerkt dass OpenVPN bei ihnen gar nicht mehr funktioniert. Da inzwischen OpenVPN nicht mehr zwingend erforderlich ist um ins WLAN zu kommen, gibt es auch nicht mehr so viele Zertifikate wie früher. Gruß Alois Am 28. März 2015 um 09:22 schrieb Jens Baumgärtner jens.baumgaert...@gmx.de : Hallo Alois, na das ist ja wenig praktisch - könnte das mal jemand in die Dokumentation schreiben? Hast du das mit deinen ~1000 Zertifikaten auch machen müssen? Ich habe gleich heute morgen mal daran gedacht, per openssl aus den in den HomeVZ der User liegenden .p12-Dateien den public-Key zu extrahieren, das scheitert aber leider daran, dass ich dafür das Passwort der User bräuchte, da die .p12 damit verschlüsselt ist :-( OK, wenn niemand mehr was einfällt dazu, dann müssen halt alle OpenVPN-User das Zertifikat neu in der Schulkonsole erstellen. Grüße Jens Hallo Jens, auch wenn ein Backup des IPFIRE existiert ist es sinnvoll die Zertifikate neu auszustellen. Gruß Alois Am 28. März 2015 um 09:10 schrieb Jens Baumgärtner jens.baumgaert...@gmx.de: Hallo Liste, gestern lief unser Update eigentlich recht problemlos durch. Eigentlich heißt, dass nach linuxmuster-ipfire --setup leider mal alle p12-Zertifikate der OpenVPN-Nutzer auf dem IPFire weg sind. Kann man da noch was retten? Grüße Jens Baumgärtner, Freudenstadt ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user ___ linuxmuster-user mailing listlinuxmuster-user@lists.linuxmuster.nethttps://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Update 6.0 - 6.1
Hallo Jens, ich habe den Hinweis mit den Zertifikaten in die Doku aufgenommen. Gruß Alois Am 28. März 2015 um 09:59 schrieb Alois Raunheimer alois.raunhei...@gmail.com: Hallo Jens, ich gehe davon aus, dass die Aktualisierung des IPFIRE der Grund für das Verschwinden der Zertifikate ist. Im Prinzip steht das hier Externe Firewall umstellen Im Zuge der Aktualisierung wird die interne und externe Firewall auf IP-basierte Regeln http://www.linuxmuster.net/wiki/dokumentation:techsheets:internetsperre umgestellt. Damit dies sicher und erfolgreich abgeschlossen werden kann, ist hier nochmal ein weiterer Eingriff nötig. Nachdem das Distributions-Upgrade durchgelaufen ist, setzen Sie die externe Firewall mit dem Befehl # linuxmuster-ipfire --setup einmal in den Auslieferungszustand http://www.linuxmuster.net/wiki/dokumentation:handbuch:installation:ipfire.defaultconfig zurück. Beachten Sie, dass Sie *eigene Regeln und Portweiterleitungen danach wieder einpflegen und aktivieren* müssen. Auslieferungszustand bedeutet m.E. auch dass alle Zertifikate weg sind. Gruß Alois Am 28. März 2015 um 09:43 schrieb Jens Baumgärtner jens.baumgaert...@gmx.de: Hallo Alois, danke für die Rückmeldung. Wir haben in Freudenstadt immernoch zwingend den Zugang per OpenVPN ins WLAN - Chillispot ist bei uns nicht eingeführt worden, wir gehen da auf Nummer Sicher. OK: Ist das beim Umstieg von 6.0 auf 6.1 vorgesehen, dass die Zertifikate verschwinden (dann MUSS das in die Dokumentation rein) - oder ist da bei uns was gehörig schiefgelaufen? Grüße Jens Hallo Jens, ich bin sowieso von der 5.1 auf die 6.x umgestiegen und habe das nicht größer publiziert. Nur wer OpenVPN regelmäßig nutzte dem habe ich auch Anfrage gesagt dass er das Zertifikat neu ausstellen muss. Insofern hielt sich die Aufregung in Grenzen. Die welche ein OpenVPN-Zertifikat hatten, aber nie nutzten, haben bis heute nicht gemerkt dass OpenVPN bei ihnen gar nicht mehr funktioniert. Da inzwischen OpenVPN nicht mehr zwingend erforderlich ist um ins WLAN zu kommen, gibt es auch nicht mehr so viele Zertifikate wie früher. Gruß Alois Am 28. März 2015 um 09:22 schrieb Jens Baumgärtner jens.baumgaert...@gmx.de: Hallo Alois, na das ist ja wenig praktisch - könnte das mal jemand in die Dokumentation schreiben? Hast du das mit deinen ~1000 Zertifikaten auch machen müssen? Ich habe gleich heute morgen mal daran gedacht, per openssl aus den in den HomeVZ der User liegenden .p12-Dateien den public-Key zu extrahieren, das scheitert aber leider daran, dass ich dafür das Passwort der User bräuchte, da die .p12 damit verschlüsselt ist :-( OK, wenn niemand mehr was einfällt dazu, dann müssen halt alle OpenVPN-User das Zertifikat neu in der Schulkonsole erstellen. Grüße Jens Hallo Jens, auch wenn ein Backup des IPFIRE existiert ist es sinnvoll die Zertifikate neu auszustellen. Gruß Alois Am 28. März 2015 um 09:10 schrieb Jens Baumgärtner jens.baumgaert...@gmx.de: Hallo Liste, gestern lief unser Update eigentlich recht problemlos durch. Eigentlich heißt, dass nach linuxmuster-ipfire --setup leider mal alle p12-Zertifikate der OpenVPN-Nutzer auf dem IPFire weg sind. Kann man da noch was retten? Grüße Jens Baumgärtner, Freudenstadt ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user ___ linuxmuster-user mailing listlinuxmuster-user@lists.linuxmuster.nethttps://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user ___ linuxmuster-user mailing listlinuxmuster-user@lists.linuxmuster.nethttps://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Update 6.0 - 6.1
Hallo Alois! Hallo Jens! ich gehe davon aus, dass die Aktualisierung des IPFIRE der Grund für das Verschwinden der Zertifikate ist. ... Auslieferungszustand bedeutet m.E. auch dass alle Zertifikate weg sind. Unsere Umstellung ist schon länger her. Unsere Zertifikate blieben erhalten. Nur der Vollständigkeitshalber. Beste Grüße Thorsten ### eingesetztes System ### LINUXMUSTER.NET Die _freie_ Linux Musterlösung - virtualisiert unter KVM + Server Codename Babo 6.1.0-26ubuntu0 + IPFire Core 87 + coovachilli auf Blau - Linbo 2.2.6 ### ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Update 6.0 - 6.1
Hallo Holger, umgestellt auf den IPFire haben wir schon eine ganze Weile, dabei gingen die Zertifikate nicht verloren. Erst gestern sind die dann verschwunden. Das mit dem IPCop ist eine gute Idee, dann kann ich immerhin die Zertifikate retten, die es damals schon gab. Das Zurückspielen der Zertifikate aus den [user].p12-Dateien geht übrigens NICHT, da wir ohne die Passwörter der User nicht an das verschlüsselte Zertifikat herankommen. Sonst wäre das mit openssl überhaupt kein Problem. Oder weiß da jemand, wie man ohne das Passwort zu kennen aus einer .p12 den public-Key extrahieren kann? Grüße Jens Am 28.03.2015 um 11:11 schrieb Holger Baumhof: Hallo alle zusammen, ich gehe davon aus, dass die Aktualisierung des IPFIRE der Grund für das Verschwinden der Zertifikate ist. Auslieferungszustand bedeutet m.E. auch dass alle Zertifikate weg sind. Unsere Umstellung ist schon länger her. Unsere Zertifikate blieben erhalten. Nur der Vollständigkeitshalber. Bei der Umstellung von 6.0 auf 6.1 geht da nix verloren: am IPFire wird so gut wie nichts geändert: erst wenn man zusätzlich auf subnetting umstellt wird im IPFire was gemacht. .. ich denke es ist anders gelaufen: Jens hat die 6.0 mit IPCop betrieben, weil er so früh umgestiegen ist: auch ich hatte eine Schule, die in den Weihnachtsferien 2012 auf lml 6 umgestiegen sind (damals noch Beta). Die hatten auch bis etwa ende 2013 noch lml6 mit IPCop: dann hab ich auf IPFire umgestellt. Stellt man von IPCop auf IPFIre um, dann gehen die Einstellungen verloren.. Aber: ich denke man hat vielleicht eine Chance auf diese Arten: 1) auf dem alten IPCop nachschauen, wo den die Zertifikate liegen und sie im IPFire an die entsprechende Stelle legen oder 2) sie Certs sind ja in den HOmes der Nutzer noch vorhanden: also könnte man sie mittels linuxmuster-ovpn wieder hochladen und wieder aktiviren (vielleicht geht das mit dem IPFire). VIele Grüße Holger ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
