[HowTo] Eigenes Zertifikat für die Domäne bzw. die Fritz!Box Fernwartung

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
Smithy

Smithy

Mitglied
Mitglied seit
22 Apr 2008
Beiträge
732
Punkte für Reaktionen
3
Punkte
18
Hallo,

ich biete euch hier ein HowTo für ein eigenes Zertifikat für die Domäne bzw. die Fritz!Box Fernwartung.

Voraussetzungen:

Aktuelle Fritz!Box 7490 ab FRITZ!OS 6.10-27948 oder 7390 ab FRITZ!OS 6.10-28022 mit aktivierter HTTPS Fernwartung

Eigene Domäne, welche die Bearbeitung der DNS-Einstellungen erlaubt (bei 1&1 z.B. nur bei Webhosting Produkten (z.B. bei mir 1&1 Starter) – I.d.R. nicht bei 1und1 DSL inklusiv-Domains.

Box muss per Dynamic DNS oder fester IP erreichbar sein!

Nachteile:

Das Zertifikat ist, wenn von offizieller Zertifizierungsstelle ausgestellt, nur für die eigene Domain nutzbar. Nicht aber für interne HTTPS-Zugriffe. Z.B. https://fritz.box (allerdings kann ja auch von intern auf die externe Adresse zugegriffen werden)

Die Details entnehmt bitte der PDF-Datei.

Gruß
Smithy
 

Anhänge

  • HowTo_Eigenes_Cert_Fritzbox.pdf
    476.6 KB · Aufrufe: 1,873
  • Importvorgang.png
    Importvorgang.png
    24.8 KB · Aufrufe: 505
  • chrome_ssl_fritz.png
    chrome_ssl_fritz.png
    49.2 KB · Aufrufe: 442
  • Android_Chrome_I.jpg
    Android_Chrome_I.jpg
    24 KB · Aufrufe: 406
Hallo,

Vielen Dank für die Anleitung. Ich habe heute die erforderlichen Daten bei StartSSL generiert. Leider gibt mir die Box immer einen unbekannten Fehler (5) aus. Danach blinkt die Info-LED wie Teufel. :mad:

Ich werde die Datei aber nochmals neu erzeugen. Auf jeden Fall: *Hut ab* :p:mrgreen::groesste::meinemei: .... :keks:

[EDIT]
:blonk: :doof: ... es ist ja nicht so, dass Du es deutlich geschrieben hast, aber wenn man es mit FF versucht und nicht IE .... *duckundwech* :-Ö :dance: :bier:
 
Zuletzt bearbeitet von einem Moderator:
Hallo Smithy,

vielen Dank für das Tutorial. Ich habe meine Domain bei Strato, aber das dürfte an sich ja kein Problem sein. Ich habe trotzdem ein paar Fragen:

1. Zur Zeit meldet die Fbox meine aktuelle IP unmittelbar an meine (strato-Domain) meinedomain.de, aber das für meinedomain.de bzw. die (nicht benutzte subdomain) home.meinedomain.de generierte SSL-Zertifikat nimmt die FritzBox nicht, da es nicht gültig sei. Ich gehe davon aus, dass es an der fehlenden subdomain liegt, richtig?
2. Wenn ich jetzt eine subdomain (sub.meinedomain.de) einrichte, wohin soll CNAME zeigen? auf meinedomain.de? Ich meine, dass man sogar für die subdomain einen ddns-Eintrag bei strato einrichten kann, so dass die Fbox dann die aktuelle IP für die subdomain meldet, aber das ist wahrlich nicht zielführend, oder?
3. (Jetzt bitte nicht lachen): Die Datei Fritz_cert.pem: Das Wort "Zeilenumbruch" soll ersetzt werden durch einen tatsächlichen Zeilenumbruch, aber "ssl.crt" soll nicht durch den Inhalt der jeweiligen Datei (ssl.crt, ssl.key etc.) ersetzt werden, oder doch?

Danke für Deine Kommentare und Unterstützung!
 
Hallo,
Ich nutze auch strato.de, ohne Subdomain. Ein Zertifikat dafür habe ich aber angelegt. Hast Du den IE genutzt?
Es handelt sich um die jeweiligen Inhalte der Dateien, unverändert :), nur hintereinander in der korrekten Reihenfolge. Nimm Notepad++ dafür ;)
 
Zuletzt bearbeitet von einem Moderator:
Danke SF1975, werde es gleich noch mal probieren
edit: Ich glaube es nicht, aber es hat funktioniert! Vielen Dank!
 
Zuletzt bearbeitet:
@SF1975 & The Brad

Danke für die Rückmeldungen. Freut mich, dass es bei euch geklappt hat. Hatte mich schon gewundert, dass gar kein Feedback kommt... :)

Edit:

Im Changelog der neuen Labor der 7490 wird nun explizit erwähnt. Ggf. wurde ja es für andere Browser gefixt. Muss ich mal testen.

Neue Funktionen und Verbesserungen in 06.10-28144

Internet: NEU - Import- und Export-Möglichkeit für das SSL-Zertifikat, das die FRITZ!Box verwendet (Internet/Freigaben/FRITZ!Box-Dienste)
Zum Vergrößern anklicken....
 
Zuletzt bearbeitet:
Hallo Smithy,

ich bekomme leider die Meldung:
Das SSL-Zertifikat konnte nicht importiert werden. Möglicherweise handelt es sich um ein ungültiges Zertifikat. Bitte wählen Sie ein gültiges Zertifikat aus und probieren Sie es nochmal.
 
Hallo,
Hast Du Dich genau(!) an das PDF gehalten und die genaue Reihenfolge der zusammenzufassenden Keys gehalten?
 
Die Meldung kommt in der Regel wenn das Zertifikat nicht ordnungsgemäß aufgebaut ist. Hast du das Zertifikat und das Intermediate Zertifikat, sowie den privaten Key in der Datei zusammen gefügt? - Welchen Editor verwendet? Nichts ergänzt oder geändert an den Daten? Bei welchem Anbieter das Zertifikat beantragt?
 
Mir ist wahrscheinlich ein Fehler unterlaufen und ich habe statt Verschlüsselung 2000 4000 ausgewählt :-( ansonsten habe ich alles wir vorgegeben gemacht und habe es mit cat file > file.crt reingeschrieben. Jetzt bleibt wohl nur das kostenplfichtige wiederrufen bei startssl :-(
 
Wenn es eine Subdomaine ist, könntest du einfach auch eine andere als z.B. "Home" ausweichen. Ansonsten müsstest du entweder auf einen anderen Provider ausweichen oder aber widerrufen und neu erzeugen. Ich bin mir nicht sicher ob die Fritte 4000 packt oder nicht. Habe ich selbst nicht getestet. Vielleicht nochmal alles durch prüfen...
 
hatte ja auch irgendwie gehofft, das man eins alleine ausstellen kann über openssl :-(
 
StartSSL ist ja nur ein Beispiel von mir, weil es da gratis geht.
Jede andere Zertifizierungstelle geht auch. Z.B. mit dem Lite Zertifikat von PSW getestet.
PeterPawn hat mit der eigenen Zertifizierungstelle getestet, geht auch. OpenSSL sollte auch kein Problem sein.
Wenn es keine externe Zertifizierungstelle ist, dann muss eben immer auf jedem Browser das Root-CA installiert sein.
 
OpenSSL habe ich kein tut gefunden, komme bis zum erstelen von csr und key und das war es :-( eigentlich fand ich das ja mit StartSSL super, aber jetzt für das zurückziehen zu bezahlen :-(
 
Hallo,
Tja, den Weg bin ich durch :lach: war ein teures Zertifikat bei mir :-Ö
 
Neija, ich sag mal so, teuer ist relativ. 15€ im Jahr bei PSW z.B. für das Lite Zertifikat sind nicht die Welt. Habe ich schnell verraucht :D Und 30 Tage kann man vorher problemlos testen :D
 
The Brad schrieb:
2. Wenn ich jetzt eine subdomain (sub.meinedomain.de) einrichte, wohin soll CNAME zeigen? auf meinedomain.de? Ich meine, dass man sogar für die subdomain einen ddns-Eintrag bei strato einrichten kann, so dass die Fbox dann die aktuelle IP für die subdomain meldet, aber das ist wahrlich nicht zielführend, oder?
Zum Vergrößern anklicken....

Ein extra DynDNS-Dienst (z.B. Strato, 1&1, DynDNS, NoIP, etc) ist überflüssig, weil schon in MyFritz! integriert. Setzt für Eure Sub-Domain einfach einen CNAME auf "<UUID>.myfritz.net". ;)
 
mfeske schrieb:
Mir ist wahrscheinlich ein Fehler unterlaufen und ich habe statt Verschlüsselung 2000 4000 ausgewählt :-( ansonsten habe ich alles wir vorgegeben gemacht und habe es mit cat file > file.crt reingeschrieben. Jetzt bleibt wohl nur das kostenplfichtige wiederrufen bei startssl :-(
Zum Vergrößern anklicken....

Ein StartSSL Class2-Multi-Domain-Wildcard-Zertifikat mit 4096 Bit konnte ich problemlos importieren. Du brauchst' also nicht widerrufen. Wenn der OVH-Support endlich in die Hufe kommt und den DS-Key meiner Domain an die DENIC übermittelt, ist die 7390 sogar mit DANE abgesichert. ;)
 
@renne Jo - geht natürlich auch mit MyFritz. Meinte in meiner Beschreibung mit "Dynamic DNS" es im Allgemeinen. Ob das nun MyFritz, DynDNS, No-IP oder was auch immer ist, spielt keine Rolle.
Ich selbst wollte bei MyFritz keinen zusätzlichen Account anlegen und nutze es daher nicht.

Und gut zu wissen, dass 4096 ebenfalls problemlos laufen - danke!

Gruß
Smithy
 
Hab jetzt erneut die Dateien zusammengefügt und bekomme aber die Fehlermeldung:
Das SSL-Zertifikat konnte nicht importiert werden. Möglicherweise handelt es sich um ein ungültiges Zertifikat. Bitte wählen Sie ein gültiges Zertifikat aus und probieren Sie es nochmal.

Habt Ihr noch einen Tip? Kann ich das Zertifikat irgendwie testen?
Der Befehl openssl x509 -noout -text -in domain_de.crt zweigt mir auch an das es scheinbar nur ein 2048 Zertifikat ist Public-Key: (2048 bit)
Wenn ich über openssl rsa -des3 -in <zertifikatsname.key> -out <neueskeyfile.key> versuche das Passwort zu ändern erhalte ich jedoch eine
Fehlermeldung
unable to load Private Key
140254575171232:error:0906D06C:pEM routines:pEM_read_bio:no start line:pem_lib.c:696:Expecting: ANY PRIVATE KEY

Ist evt. der Key defekt?
Gruß
Micha
 
Zuletzt bearbeitet:
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 610 (Mitglieder: 6, Gäste: 604)

Neueste Beiträge

Statistik des Forums

Themen
246,120
Beiträge
2,246,503
Mitglieder
373,618
Neuestes Mitglied
Motzinger
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück