.titleBar { margin-bottom: 5px!important; }

WebDav und SSL

Dieses Thema im Forum "Freetz" wurde erstellt von henfri, 16 Nov. 2008.

  1. henfri

    henfri Mitglied

    Registriert seit:
    21 Sep. 2005
    Beiträge:
    422
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Hallo,

    webdav funktioniert ja nun auch mit SSL. (http://www.freetz.org/ticket/268)
    Leider ist nicht ganz klar, wo man die Zertifikate ablegen soll.
    Könnte hierzu jemand vieleicht 2-3 Zeilen schreiben?

    Aus http://www.freetz.org/ticket/268:
    Code:
    Soeben konnte ich erfolgreich eine Verbindung zu https://mediacenter.1und1.de herstellen. In der davfs2.conf habe ich den parameter servercert /var/davfs2/certs/cert.pem hinzugefügt. cert.pem muss neben das Zertifikates der Seite noch das Zertifikat des Ausstellers enthalten. Man kann das Zert. aus Firefox exportieren. Dann die Zert. tauschen, fertig.
      Changed 6 weeks ago by ralf ¶
    
    Falls mehrere SSL-Clients auf der Box sind, wäre es sinnvoll, diese nicht in die einzelnen Programme zu integrieren, sondern sie an einer zentralen Stelle im dateisystem abzulegen, z.B. /etc/ssl/ wie auf normalen Linux-Systemen (evtl. als Link in den beschreibbaren Teil, wobei sich die Root-Zertifikate vermutlich nicht so oft ändern.
    
    Gruß,
    Hendrik
     
  2. henfri

    henfri Mitglied

    Registriert seit:
    21 Sep. 2005
    Beiträge:
    422
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Hallo,

    verwendet denn niemand webdav mit SSL, oder die 1und1 SmartDisk?

    Gruß,
    Hendrik
     
  3. henfri

    henfri Mitglied

    Registriert seit:
    21 Sep. 2005
    Beiträge:
    422
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Hallo,

    so funktioniert es jetzt bei mir:
    1) Zertifikat von sd2dav.1und1.de UND von ThawtePremiumServerCA (dem Aussteller des Zertifikats) exportieren und in *eine* Datei cert.pem speichern:
    Das sieht so aus:
    Code:
    -----BEGIN CERTIFICATE-----
    ...
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    ...
    -----END CERTIFICATE-----
    
    2) Diese Datei nach /var/davfs2/cert kopieren
    3) echo "servercert /var/davfs2/cert/cert.pem" >> /var/davfs2/davfs2_1.conf in /mod/etc/webdav einfügen
    4) /mod/etc/webdav ausführen.

    Fertig.


    Was jetzt fehlt ist die Möglichkeit dies per Webinterface zu steuern und v.a. dies permanent zu speichern.

    Hierzu würde es vorerst reichen, wenn man im WebIF den Pfad der Zertifikatdatei für jeden Server angeben kann.

    Wäre jemand bereit, dies einzupflegen?

    Gruß,
    Hendrik
     
  4. henfri

    henfri Mitglied

    Registriert seit:
    21 Sep. 2005
    Beiträge:
    422
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Hallo,

    da ich nicht weiß, wie ich die obigen Änderungen in Freetz integrieren kann:
    Wie kann ich sie denn wenigstens permanent speichern, so dass sie ein reboot überleben?

    Gruß,
    Hendrik
     
  5. 1A1

    1A1 Gesperrt

    Registriert seit:
    15 Nov. 2008
    Beiträge:
    76
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    permanent speichern oder nach reboot laden

    könnte man die Befehle echo
    in der
    rc custum
    oder in der debug cfg
    eintragen

    gruss
     
  6. olistudent

    olistudent IPPF-Urgestein

    Registriert seit:
    19 Okt. 2004
    Beiträge:
    14,761
    Zustimmungen:
    5
    Punkte für Erfolge:
    38
    Beruf:
    Softwareentwickler
    Ort:
    Kaiserslautern
    Das Zertifikat kopierst du nach /var/tmp/flash mit anschließendem "modsave flash". Dann kannst du in der rc.custom oder debug.cfg ein Link anlegen.

    MfG Oliver
     
  7. henfri

    henfri Mitglied

    Registriert seit:
    21 Sep. 2005
    Beiträge:
    422
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Hallo,

    danke für den Tipp. Für die Datei würde es reichen.
    Aber man muss ja auch noch die /mod/etc/webdav 'patchen' und ich weiß leider nicht, wie ich die entspr. Zeile an der richtigen Stelle einbauen kann... (per Skript).

    Wie sieht es denn mit der Integration ins WebIF von Freetz aus. Planst du da etwas, oder würde es sich lohnen, wenn ich mir eine Bastellösung baue?

    Gruß,
    Hendrik
     
  8. MaxMuster

    MaxMuster IPPF-Promi

    Registriert seit:
    1 Feb. 2005
    Beiträge:
    6,924
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    #8 MaxMuster, 23 Nov. 2008
    Zuletzt bearbeitet: 23 Nov. 2008
    Versuche, das doch selbst zu machen ;-) sooo komplex sollte das nicht sein!

    - Lege eine zusätzliche Datei unter "Einstellungen" an, in die das Zert kommt (analog z.B. zum Openvpn). Dazu im "default" Ordner eine Datei anlegen, ähnlich wie "make/openvpn/files/root/etc/default.openvpn/box_crt.def", also z.B. make/davfs2/files/root/etc/default.davfs2/davfs_servercrt.def:
    Code:
    # etc/default.davfs2/davfs_servercrt.def
    CAPTION='WebDav SSL Server Cert'
    DESCRIPTION='Certificate for server.'
    CONFIG_FILE='/tmp/flash/davfs_servercrt.pem'
    CONFIG_SAVE='modsave flash; if [ ! -z "$(pidof mount.davfs)" ]; then echo ""; /mod/etc/init.d/rc.davfs2 reload; fi'
    CONFIG_TYPE='text'
    
    Dann musst du die rc-Datei unter make/davfs2/files/root/etc/init.d/rc.davfs2 entsprechend ergänzen:

    Code:
    case "$1" in
    	""|load)
    
    		if type modreg > /dev/null; then
    			modreg cgi davfs2 'WebDAV'
    [B]			deffile='/mod/etc/default.davfs2/davfs_servercrt.def
    			[ -r "/tmp/flash/davfs_servercrt.def" ] && deffile='/tmp/flash/davfs_servercrt.def'
    			modreg file 'davfs_servercrt' 'WebDav Server Cert' 0 "$deffile"
    [/B]			adduser -D davfs2 2>/dev/null
    			addgroup davfs2 davfs2 2>/dev/null
    		fi
    		if [ "$WEBDAV_ENABLED" != "yes" ]; then
    			echo "WebDAV is disabled" 1>&2
    			exit 1;
    		fi
    
    		if [ ! -z "$(pidof mount.davfs)" ]; then
    			echo "WebDAV already started."
    		else
    			start
    		fi
    		;;
    	unload)
    		stop
    		modunreg cgi davfs2
    	[B]	modunreg file 'davfs_servercrt'[/B]
    		delgroup davfs2 
    		deluser davfs2
    		;;
    
    
    Dann liegt die Datei unter /tmp/flash/davfs_servercrt.pem und das muss dann in die Config rein.

    Wenn ich das richtig gelesen habe, wird die Datei "/mod/etc/webdav" ebenfalls im "rc.davfs2" angelegt, nämlich hier in start(), wo die Ausgabe von "default.davfs2/webdav_mount" in dieses Datei umgeleitet wird:
    Code:
    start() {
    
    	mkdir /var/davfs2 2>/dev/null
    	
    	(
    		if [ -x "/tmp/flash/webdav_secrets" ]; then
    			/tmp/flash/webdav_secrets
    		else
    			/mod/etc/default.davfs2/webdav_secrets
    		fi
    
    	) > /var/davfs2/secrets
    
    	(
    		if [ -x "/tmp/flash/webdav_mount" ]; then
    			/tmp/flash/webdav_mount
    		else
    			/mod/etc/default.davfs2/webdav_mount
    		fi
    
    	) [B]> /mod/etc/webdav[/B]
    
    	(
    		if [ -x "/tmp/flash/webdav_umount" ]; then
    			/tmp/flash/webdav_umount
    		else
    			/mod/etc/default.davfs2/webdav_umount
    		fi
    	) > /mod/etc/webdav_umount
    		  	
    	echo -n 'mount WebDAV...'
    	
    	chmod +x $DAEMON
    	chmod +x $DAEMON_UMOUNT
    	$DAEMON > /dev/null 2>&1
    		
    	exitval=$?
    	
    	if [ "$exitval" -eq 0 ]; then
    		echo 'done.'
    	else
    		echo 'failed.'
    		exit $exitval
    	fi
    }
    
    Also fügst du deine Ergänzung in "default.davfs2/webdav_mount" hinzu, oder machst das "platt" direkt in der Datei...
    Ich weiß natürlich nicht, ob das auch funktioniert, wenn du den Parameter angibst, aber garkein Zertifikat nutzt. Schöner wäre es, das noch steuerbar zu machen, dazu benötigst du dann eine zusätzliche Variable, die in der GUI zu setzen wäre. Dazu muss ein neuer Parameter in die default .cfg-Datei und die Variable des gleichen Namens in der GUI vorhanden sein....

    Da ich das nicht nutze, kann ich es nicht testen, aber vielleicht helfen dir die Hinweise, und du baust deine erste eigene Ergänzung zu freetz ;-)

    Jörg


    EDIT: Versuche doch mal den anhängenden Patch. Hilft der dir? (habe ihn nicht getestet)...
     

    Anhänge:

  9. henfri

    henfri Mitglied

    Registriert seit:
    21 Sep. 2005
    Beiträge:
    422
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Hi Jörg!

    vielen herzlichen Dank. Ich probiere das (heute oder morgen) mal aus.
    Ich habe für eine zentrale Zertifikatsverwaltung mal einen Ticket aufgemacht:
    http://www.freetz.org/ticket/299

    Gruß,
    Hendrik
     
  10. Whoopie

    Whoopie Aktives Mitglied

    Registriert seit:
    19 Okt. 2004
    Beiträge:
    814
    Zustimmungen:
    4
    Punkte für Erfolge:
    18
    Danke, MaxMuster.

    Ich hab's mal eingecheckt, bitte testen und Probleme melden.
     
  11. henfri

    henfri Mitglied

    Registriert seit:
    21 Sep. 2005
    Beiträge:
    422
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Hallo,

    ich hatte es schonmal eingepatcht. Das lief. Aber mit der aktuellen SVN Version hatte ich noch Probleme (ich dachte zuerst, es läge wohmöglich am Patch).
    Jetzt läuft die SVN Version wieder und ich werde den Patch gleich mal testen.

    Danke Whoopie&MaxMuster.

    Gruß,
    Hendrik
     
  12. henfri

    henfri Mitglied

    Registriert seit:
    21 Sep. 2005
    Beiträge:
    422
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    läuft!
    Vielen Dank!
     
  13. henfri

    henfri Mitglied

    Registriert seit:
    21 Sep. 2005
    Beiträge:
    422
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Hallo,

    hat schon jemand das SmartDrive von 1und1 mit WebDav verwendet?
    Ich hab da Probleme mit den Umlauten.

    Gruß,
    Hendrik
     
  14. matze1985

    matze1985 Aktives Mitglied

    Registriert seit:
    17 Feb. 2007
    Beiträge:
    1,537
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    wo hast du die Zertifikate hergenommen? Bzw. exportiert?
     
  15. henfri

    henfri Mitglied

    Registriert seit:
    21 Sep. 2005
    Beiträge:
    422
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Oh, wie war das noch...
    Ich glaube, aus dem Firefox, wenn ich mich recht entsinne.

    Wenn mir jemand hier bestätigen kann, dass die Zertifikate nicht personenbezogen sind, kann ich sie dir auch zuschicken.

    Gruß,
    Hendrik
     
  16. matze1985

    matze1985 Aktives Mitglied

    Registriert seit:
    17 Feb. 2007
    Beiträge:
    1,537
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    ok hab im firefox gefunden, danke.

    Welchen Server hast du angeben?
    Bei http://sd2dav.1und1.de läuf es, aber das ist wohl ohne ssl, aber bei
    https://sd2dav.1und1.de sagt er folgendes:
    Code:
    # /mod/etc/webdav
    mount https://sd2dav.1und1.de...
    Mounting failed.
    401 Authorization Required
     
  17. henfri

    henfri Mitglied

    Registriert seit:
    21 Sep. 2005
    Beiträge:
    422
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Hallo,

    ja, https://sd2dav.1und1.de.


    "Authorization Required" hört sich nach falschem Passwort an.

    Wenn die Zertifikate falsch sind, war die Fehlermeldung anders.

    Code:
    cat /var/davfs2/davfs2_1.conf
    secrets /var/davfs2/secrets_1
    servercert /var/tmp/flash/davfs_servercrt1.pem
    Code:
    cat /var/davfs2/secrets_1
    https://sd2dav.1und1.de user.name@online.de xxxxx
    Code:
    cat /var/tmp/flash/davfs_servercrt1.pem
    -----BEGIN CERTIFICATE-----
    jhkjhkhkjhkhhk
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    kjhkjhkhhkj
    -----END CERTIFICATE-----
    Gruß, Hendrik
     
  18. matze1985

    matze1985 Aktives Mitglied

    Registriert seit:
    17 Feb. 2007
    Beiträge:
    1,537
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Danke für die Tips, denke nicht, dass es mit ssl zu tun, da stimmen die Fehlermeldungen nicht, da hast du recht.

    Das passwort habe ich mehrmals überprüft.
    Habs heut nochmal mit gmx versucht, da geht es.

    Hatte aber gestern die gleiche Fehlmeldung, wenn ich mit dem Firefox mit bei https://sd2dav.1und1.de/ eingeloggt habe.
    Da ich soweiso noch nen update von 15gb auf 100Gb aufgrunde der Vertragsverlängerung offen hatte, habe ich das SmartDrive nochmal gelöst und ne mail an den Support geschrieben, dass sie es auf 100GB aufstocken sollen. Wenn das passiert ist versuche ich es nochmal.

    Danke für deine Hilfe, melde mich dann nochmal :)

    PS: hab bei GMX die Umlaute auch nicht richtig dargestellt bekommen.
     
  19. matze1985

    matze1985 Aktives Mitglied

    Registriert seit:
    17 Feb. 2007
    Beiträge:
    1,537
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    so, zur rückmeldung:

    Hab das ganze jetzt nochmal neu angelegt und es läuft auch, also danke für die Hilfe.
     
  20. Whoopie

    Whoopie Aktives Mitglied

    Registriert seit:
    19 Okt. 2004
    Beiträge:
    814
    Zustimmungen:
    4
    Punkte für Erfolge:
    18
    Hi,

    könnte bitte mal jemand von Euch dieses Ticket checken?
    Ist es wirklich notwendig und funktioniert es dann korrekt?

    Danke,
    Whoopie