Schlagwort-Archive: zertifikat

SSL

kvfgorg_allesok

Die SSL Zertifikate für die HTTPS verschlüsselte Verbindung zwischen Ihrem Browser und unseren Domains kvfg.net und kvfg.org sind so eben gegen neuere Versionen, die uns nun bis zum 01.06.2017 absichern, ausgetauscht worden. Fehler sollten keine auftreten. Getestet wurde mit den Browsern Firefox, Chromium, Konqueror und Rekonq.

XP nicht nutzbar

Problem: Die Rechner brauchen stellenweise Stunden um die Domäne „Schule“ zu finden. Sie können sich demnach nicht (oder erst nach extrem langer Wartezeit) anmelden.

Lösung: Arbeiten Sie unter Linux bis der Fehler behoben werden kann.

Hinweis: Die Anmeldeprozedur unter Linux dauert wesentlich länger als unter XP, was mehrere Ursachen hat. Die Hauptursache ist, dass die „schnelle Nutzerumschaltung“ unter Linux alle Benutzer des Systems (900 Personen) lädt. Die zweite Ursache ist, dass Ihre privaten Einstellungen vom Server geladen werden.

Private Einstellungen unter Linux: Unter Linux dürfen Sie Ihren Desktop selbst gestalten (unter XP erhalten Sie genau das, was ich Ihnen hinwerfe).

Das hat den Vorteil, dass bei der nächsten Anmeldung wieder alles so ist, wie Sie es hinterlassen haben.

Dies hat aber auch den Nachteil, dass Sie diese Einstellungen erst einmal vornehmen müssen (z.B. Bookmarks und Startseite im Browser setzen, Zertifikate importieren). Freiheit bedeutet eben auch Verantwortung und Arbeit.

SSL

kvfgorg_allesok

Problem: Beim Aufruf der Seiten https://www.kvfg.net und https://www.kvfg.org zeigten moderne Browser bisher Sicherheitswarnungen an.

Lösung: Die Verschlüsselung der Seiten kvfg.net und kvfg.org verwendet nun von offizieller Seite unterschriebene Zertifikate. Hierdurch entstehen uns zwar Kosten, aber dafür muss nicht erst / immer / immer wieder erklärt werden, was der Nachteil von selbst-signierten Zertifikaten ist und warum dies bei Schulen noch in Ordnung geht, bei Banken jedoch nicht.

Offizielle Zertifikatsunterschriften fehlen damit noch für die Seiten von Lehrerpost – aber dieser Teil wird nachgereicht. Die hausinternen Seiten (MRBS, Horde, Schulkonsole) werden auch in Zukunft nur selbst-signierte Zertifikate einsetzen.

Zertifikatschaos

Problem: Die Browser in der Schule laden die HTTPS verschlüsselten Seiten auf kvfg.net und kvfg.org nicht richtig, sondern motzen über selbst-signierte Zertifikate und zeigen Fehlermeldungen bzw. „leere Seiten“ an.

Ursache: Auf Grund eines Fehlers in der Implementierung von SSL mussten alle Zertifikate neu erstellt werden.

Lösung: Beim nächsten Update aller Clients im Haus (erfolgt noch im Laufe dieser Woche – projektiert: Donnerstag) werden die neuen Zertifikate importiert, so dass alle Benutzerkonten wieder ohne Probleme direkt auf net und org zugreifen können.


Nachtrag 1: Im Lehrerzimmer sind, Stand Donnerstag 9/11 07:25, die neuen Zertifikate nun installiert. Informatikraum, Unterstufeninformatikraum und SAR folgen …

Nachtrag 2: Im Informatikraum sowie im SAR sind die Zertifikate nun ebenfalls installiert (9/11 10:20).

Im SAR wird weiter nach den gemeldeten Fehlern zu Firefox gesucht. Hier ist ein erster Hinweis zum Thema auf BeeHive zu finden: Fehlerfälle

Update ServerG beendet

hinweis

Das Update von ServerG auf die aktuelle Version 4 der paedML lief ohne größere Probleme durch.

Es sieht im Moment so aus, als hätte ich auch die meisten im Rahmen des Updates entstandenen Fehler ganz gut im Griff, dies kann aber ziemlich täuschen: Erste Tests ergaben keine dicken Bugs – Anmeldung an Moodle wie auch an MRBS und Horde funktionieren.

Ob Open VPN mit den alten Zertifikaten noch läuft, wage ich zu bezweifeln, muss ich aber noch testen. Im schlimmsten Fall müssen Sie neue Zertifikate erstellen und herunterladen – was aber nur in der Schule funktioniert, weil Sie hierzu Zugriff auf die Schulkonsole benötigen.

Update [17:36]: Ihre alten Serverzertifikate für unser VPN gelten weiter – Sie sollten also auch über VPN Verbindung mit ServerG aufnehmen können.

Im Rahmen des Updates wurden neue Serverzertifikate erstellt. Für einen Zugriff auf MRBS und Horde müssen Sie diese akzeptieren. Wie immer sind die Zertifikate self-signed – d.h. Ihr Browser wird etwas zicken. Verwenden Sie Firefox 3 – dann zickt der Browser nach der Installation des Zertifikates nicht mehr und Sie können in Ruhe arbeiten. Anleitung ist hier.

Bevor nicht eine Woche mit weiteren Tests sowie ein Backup des neuen Servers ins Land gegangen ist, kommt hier kein grünes „Alles OK“ Schildchen hin.