Gelöst: Im Matrixtunnel zum FREETZ-Web-IF

[Accuvue]

Erschwerend ist/war in deinem Fall der falsche Link im Matrixtunnel-Wiki

"Zertifikate erzeugen" sollte schon auf TipsTricks zeigen. Zu spät, ich weiß, aber vielleicht korrigierst du das gleich mit.

Gut das Du das ansprichst. Du meinst sicher DIESE Anleitung:

#!/bin/bash

# Paßwortgeschützten Server Key erzeugen
openssl genrsa -des3 -out server.key 1024

# Ungeschützte Version extrahieren (der SSL-Server kann ja nicht
# vor der Benutzung selbst ein Paßwort eingeben)
openssl rsa -in server.key -out server.key.unsecure

# Certificate Signing Request (CSR) mit persönlichen Daten erzeugen
openssl req -new -key server.key -out server.csr

# Ein Jahr gültiges, selbst signiertes Zertifikat anfordern
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

# CSR wird nicht mehr benötigt
rm server.csr

# Schlüssel + Zertifikat (in dieser Reihenfolge!)



# in einer Datei zusammenführen
cat server.key.unsecure server.crt > stunnel-key.pem

# Nachschauen, ob auch alles da ist
ls -l

Genau in dieser Anleitung lag mein Problem. Den Befehl "openssl" gibt es im aktuellen Image nicht mehr. Und mit den mit "stunnel" installierten Programmen "openssl_genrsa" und "openssl_req" konnte ich trotz der mit "--help" angegebenen Optionen und Schaltern nichts anfangen. Vielleicht könnte das mal Jemand hier im Thread erläutern, damit künftig auch das funktioniert...

 

[colonia27]

Moin,

vom Grundsatz habt ihr recht, ist vielleicht etwas irreführend ausgedrückt.
Aber dort steht auch nirgends, daß du das Schlüsselpaar direkt auf deiner Box generieren sollst, sondern generell unter Linx:

Das bauen wir uns selbst mit OpenSSL. Das geht unter Linux prinzipiell genauso wie unter Windows,.......

Um weiteren Missverständnissen vorzubeugen, liesse sich der Satz bestimmt eindeutiger formulieren ;-)

(EDIT] grad gesehen, weiter unten steht auch noch folgendes:

Anschließend haben wir in Form der Datei stunnel-key.pem, was wir wollten: ein selbst signiertes Schlüsselpaar für unseren HTTPS-Server. Das muß jetzt nur noch irgendwie auf die Box.

Daraus lässt sich schliessen, das der Schlüssel nicht auf der Box generiert wurde.

 

[Accuvue]

@colonia27

Sicher hast Du genau betrachtet recht. Vor Allem wenn man es jetzt noch einmal liest.
Aber:
Der Anfänger (und sicher reden wir hier nur über den, der Spezialist schafft es nämlich auch ohne Anleitung) ist sicher mit dem ganzen neuen Linux-Zeugs sowieso schon derart gefordert, das er nicht noch auf Formulierungsnuancen achtet. Ich z.B. habe eine lange Zeit nach "openssl" auf der Box gesucht und an irgendwelche Fehler in meiner Freetz-Paket-Installation geglaubt...

Jetzt wissen wir, das ein externes Linux gemeint war und das es mit Windows ebenso funktioniert.

Vielleicht könnte mal einer von den Profis beschreiben, wie man es mit den auf der Box befindlichen Programmen "openssl_genrsa" und "openssl_req" bewerkstelligt. Die Schlüsselgenerierung mittels "openssl_genrsa" bekommt man ja noch hin. Aber das weitere Prozedere mittels "openssl_req" ist mir ein Rätsel...

 

[colonia27]

Klar reden wir über Anfänger, wie du richtig sagt, brauchen Pros die Anleitung nicht.
Übrigens brauche ich sie genauso wie du ;-)

Mir ist es nur nicht aufgefallen, da ich die Schlüssel bisher nie auf der Box generiert habe, sondern auf meinem Builsystem.
Und da es dir zuerst aufgefallen ist, kannst du es ja im Wiki "eindeutig" umschreiben

 

[Accuvue]

@colonia27

Im Buildsystem? Also im VM-Ware-Player mit der freetz-build-Umgebung?

 

[colonia27]

Geanu, das mein ich in deinem Fall damit. Ich behaupte mal frech Silent-Tears hat das dort mit eingebaut. Ansonsten ist es ja schnall nachinstalliert.

 

[Silent-Tears]

Weiss ich nicht, kann das mal jemand verifizieren? Sonst kommt es dann in die kommende Version....

 

[colonia27]

Hmm, ich bau ja auch nur noch nativ, sonst würd ich das tun.
Aber ich hab Gismo mal angehauen

 

[Accuvue]

Und da es dir zuerst aufgefallen ist, kannst du es ja im Wiki "eindeutig" umschreiben

Ja und wie macht man das? Hab sowas noch nie gemacht...

 

[Silent-Tears]

So schreiben, dass jeder es versteht... Wird schon, wenns schiefgeht, bringen wir das auch wieder in Ordnung.

 

[Accuvue]

So schreiben, dass jeder es versteht... Wird schon, wenns schiefgeht, bringen wir das auch wieder in Ordnung.

Danke lieber Silent-Tears. Jetzt weiß ich es ganz genau.

Und meine Vollquote am Beginn dieses Beitrags kann ja der frank_m24 wieder rauseditieren.

Für mich seit Ihr beiden echte Helden!

 

[Silent-Tears]

Ich könnte dich auch auf die Wiki-Hilfe auf freetz.org aufmerksam machen, aber die wirst du sicherlich schon gelesen haben und es hapert nur noch an der Benutzung eines wysiwyg-Editors