Howto – Zertifikat unter Ubuntu erstellen und mit Windows CA zertifizieren

Servus zusammen,
hier mal ein kleines Tutorial, wie man unter Ubuntu ein Zertifikat erstellt und dieses mit einem Windows-CA Server zertifiziert.
Anschließend noch kurz angeschnitten, wie man das Zertifikat in den Apache2 als SSL-Zertifikat einbinden kann.
1. Keyfile generieren
Hierbei wichtig, worüber ich zuerst gestolpert bin. Erstellt man ein Keyfile mit Passwort, so muss dieses jedes mal beim Neustart des Apache2 Server eingegeben werden. Deshalb empfehle ich die 2. Variante.

openssl genrsa -des3 -out webserver.key //  openssl genrsa -out webserver.key 2048
Generating RSA private key, 2048 bit long modulus
...............................................................................................+++......+++
unable to write 'random state' e is 65537 (0x10001)

2. Request erstellen
Nun können wir den eigentlichen Request erstellen:

openssl req -new -key webserver.key -out webserver-request.csr

Anschließend müssen die std. Werte für das Zertifikat eingegeben werden.
Common Name = Ausgestellt für, also in unserem Fall servername.domaine.de
3. Request anzeigen lassen
Damit wir uns den Request nicht umständlich per SCP o.ä saugen müssen, schauen wir ihn uns einfach an:

openssl req -in svdrm115.csr
-----BEGIN CERTIFICATE REQUEST-----
.................................
-----END CERTIFICATE REQUEST-----

4. Zertifikat Erstellen
Nun können wir unser Zertifikat beim CA-Server beantragen. Dazu auf den CA-Server gehen http://caserver/certsrv

Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file, or submit a renewal request by using a base-64-encoded PKCS #7 file. 

Per Hand kopieren wir nun den obigen Inhalt des Zertifikats in , Template = Webserver (in unserem Fall)
5. Zertifikat in PEM Format umwandeln
Damit der Apache was mit unserem Zertifikat anfangen kann müssen wir es zuerst in ein .pem File konvertierten:

openssl x509 -in /tmp/1/zertifikat-der.cer -inform DER -out /tmp/1/zertifikat.pem -outform PEM

6. Testen ob Zertifikat korrekt ist:

openssl verify zertifikat.cer/pem

Hier sollte ein „OK“ zurückkommen.
7. Zertifikat im Apache2 einbinden
Dazu in der /etc/apache2/sites-available/default-ssl eintragen:

SSLCertificateKeyFile /etc/apache2/ssl/zertifikat.key
SSLCertificateFile /etc/apache2/ssl/zertifikat.pem

8. Apache neustarten

sudo service apache2 restart

Das wars auch schon. Gruß
Constey

Squid Web Cache Proxy Server installieren unter Ubuntu 10.10

Ich habe ein kleines Howto geschrieben, wie man den Squid squid-3.0.STABLE25 auf einem Ubuntu 10.10 installieren und konfigurieren kann.
Hier gibts es 2 Wege, einmal den etwas komplizierteren über die eigene Installation – oder über das fertige debian Paket.
Ich beschreibe beide Wege……
### Die einfache Variante über ein fertiges Ubuntu Paket

sudo apt-get install squid3

Fertig 🙂 – Das Startscript etc. wird automatisch angelegt. Der Config Folder ist nun aber /etc/squid3/.
Für eine einfachere Konfiguration über ein Webinterface empfehle ich die Installation von webmin. Diese Webseite bereitet die Konfig etwas vereinfacht auf.
# webmin installieren

cd /tmp
wget http://prdownloads.sourceforge.net/webadmin/webmin_1.530_all.deb
sudo dpkg --install webmin_1.530_all.deb

– Eventuell – falls Abhängigkeiten fehlen sollten noch:

apt-get install perl libnet-ssleay-perl openssl libauthen-pam-perl libpam-runtime libio-pty-perl

Im webmin unter Servers / squid web proxy cache müssen dann evlt. noch die Pfade angepasst werden, wenn squid nicht per apt-get insall squid installiert wurde.
Folgende Werte müssen geändert werden:
Full path to squid config file: /usr/local/squid/etc/squid.conf
Squid executable: /usr/local/squid/sbin/squid
Full path to PID file: /usr/local/squid/var/logs/squid.pid
Full path to squid cache directory: /usr/local/squid/var/cache
Squid cachemgr.cgi executable: /usr/local/squid/libexec/cachemgr.cgi
Full path to squid log directory: /usr/local/squid/var/logs
(Thanks to http://www.admin-wissen.de/eigene-tutorials/linux/squid/squid-tutorial-teil-3/)
### Installation via Source Files (….weiterlesen)

Weiterlesen

Squid Proxy – Blockieren von Bestimmten Dateitypen

Eigentlich ganz simpel. Ich habe einen Squid Proxy erstellt und möchte den Zugriff auf bestimmte Dateitypen wie z.B. den Download von Mp3’s, Avi’s etc. verbieten. Durch die Access Control Lists die Squid verwendet, funktioniert dies sehr einfach.
Als erstes legen wir uns eine Datei an, in der wir die entsprechenden Dateitypen eintragen.

vi /etc/squid3/forbidden_filetypes.acl

Ich habe diese im Format:

\.[Aa][Vv][Ii]$
\.[Mm][Pp]3$

bei mir eingetragen. Speichern und fertig.
Nun öffnen wir die squid Config

vi /etc/squid3/squid.conf

Im Bereich der ACL’s fügen wir folgende Zeile hinzu:

acl forbidden_filetypes urlpath_regex "/etc/squid3/forbidden_filetypes.acl"

Damit wird eine Regel „forbidden_filetypes“ angelegt. Nun muss dieser Regel noch eine Aktion hinzugefügt werden (Zeile hinzufügen):

http_access deny forbidden_filetypes

Wenn man eine gesonderte Fehlermeldung für diese Regel anzeigen möchte kann man dafür eine neue Fehlerseite angeben: (Zeile hinzufügen)

deny_info ERR_BLOCKED_FILETYPE forbidden_filetypes

Nun muss man noch eine HTML Datei anlegen unter /usr/share/squid3/errors + gewünschter Sprache mit dem Namen: ERR_BLOCKED_FILETYPE
Anschließend noch die Config speichern und Squid neustarten. Das wars.

/etc/init.d/squid3 restart

Squid Proxy – Active Directory Authentifizierung / LDAP

Diesen Beitrag musste ich einfach schreiben, mich hat es beinahe in den Wahnsinn getrieben, dass ich dieAuthentifizierung gegen eine Windows 2008 R2 Domäne auf anhieb nicht funktionieren wollte.
Ich habe mich auch an diverse Anleitungen / Howto’s gehalten, doch es klappte einfach nicht.
Beispiel, wie es in mehreren Blogs beschrieben wird:

/usr/lib/squid/group_ldap_auth -b dc=my-domain,dc=de -h "server.my-domain.de" -p 636 -g distinguishedName -d "CN=lookup,OU=Services,OU=Users,DC=my-domain,DC=de" -w lookup -u cn -m member -o group -S

oder

auth_param basic program /usr/lib/squid/ldap_auth -b o=Company -h ldapserver -D cn=Tim,ou=IT-Services,o=Company -w timspassword -f (&(objectclass=person)(cn=%s))

Bekam ich jedesmal den Fehler: Invalid Credentials for Binddn
Ich wusste, dass es also an der Authentifizierung des Users liegt, welcher das AD abfragt. (LDAP Abfragen, ohne Authentifizierung sollte ja bei jedem ausgeschaltet sein 😉
Nur warum funktioniert es nicht…..
Am nächsten Tag, habe ich das ganze nochmal mit dem LDAP Browser nachgestellt, und da ist es mir direkt ins Auge gesprungen….
Anstatt bei dem Befehl -D „CN=…..“ anzugeben, muss „DOMAINE\USERNAME“ stehen 🙂
So funktioniert es bei uns:
# Testen

admin@SQUIDSRV:/usr/lib/squid3$ ./squid_ldap_auth -R -b "DC=DOMAINE,DC=INFO" -D "DOMAINE\LDAPREADUSER" -w "PASSWORT" -f sAMAccountName=%s -h 192.168.0.1

Viele Grüße
Constey

Windows Browserwahl komplett deaktiveren

Wer sie kennt, wird sie nicht lieben. Die „neue“ Browserwahl von Microsoft – womit der Standard-Webbrowser festgelegt werden soll.
Wer dies für seine User abschalten will sollte folgendes tun:
Eintrag aus der Registry löschen:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BrowserChoice

Zusätzlich kann man noch folgenden Wert ändern:
Hkey_Local_Machine\Software\BrowserChoice
DWORD Wert:Enable – von 1 auf 0 setzen.
Zusätzlich kann man noch die browserchoice.exe aus dem windows\system32 Verzeichnis löschen. Muss man aber nicht!

Howto: Dreambox Fernbedienung programmieren

Hier eine kleine Anleitung um die Fernbedienung der Dreambox auch für den Fernseher einzustellen. Dann kann man TV & Dreambox mit nur einer Fernbedienung steuern.
Als erstes braucht ihr einen 3 Stelligen Code für euren Fernseher – den bekommt ihr am einfachsten hier in der TV-Codeliste.
Dann wie folgt vorgehen:
1. TV Taste der Fernbedienung drücken
2. SHIFT – Taste für mehrere Sekunden (3) gedrückt halten. Dann blinkt die TV-Taste kurz auf (2mal).
3. 3Stelligen Code eingeben. Anschließend blinkt die TV-Taste noch 2mal.
Fertig.
Ich hab meinen Fernseher beim 3. Code getroffen, man muss also einfach durchprobieren.

Legaler Musikdownload ?

Es gibt ein Programm – welches ich schon länger auf dem Radar habe. Mittlerweile heißt es Flyingtunes und ist eine Suchmaschine für mp3’s und Lieder aller Art.
Wer bisher immer Videos aus Youtube heruntergeladen und konvertiert hatte, sollte hier genauer hinschauen. Denn flyingtunes lädt (meistens jedenfalls) in wesentlich besserer Qualität. 320kb/s je nach Liedern.

Flyingtunes Oberfläche

Die Suche funktioniert erstaunlich stark – das runterladen ist auch extrem komfortabel. Und da man mit dieser Software nur herunterlädt – und kein Filesharing betriebt (kein Upload) ist das ganze auch noch legal.
Hinweis: Mittlerweile ist der Download der Software nicht mehr erreichbar – Infolge eines Rechtsstreits zwischen der IFPI Schweiz und flyingTunes ist ein Bezug des Programmes nicht möglich.
Wer die aktuellste Version (flyingtunes 2.0) schon hatte, wird sich ärgern – denn diese Funktioniert nicht mehr. Mit einem Hinweis, dass ein Update vorhanden ist – beendete sich mein Client direkt wieder.
Doch ich hatte noch die alte Version aka inettunes auf dem Rechner. Und siehe da, diese funktioniert noch.
Hier mal für euch angehängt. Download @ http://www.multiupload.com/AOYDZDKMRB
(Wer flyingtunes noch nicht installiert hat – muss es zuerst installieren – und dann die dateien aus dem Innettunes upload von mir einfügen – andernfalls kann es sein das Inettunes nicht starten will )
Flyingtunes Download @ http://www.multiupload.com/9LUYBFI3GR
Edit: 29.01.11 – Stand heute funktioniert die Suchfunktion im Inettunes nicht mehr. Sieht danach aus, dass das Backend auch offline genommen wurde 🙁
Viele Grüße
Constey

Heads-Up Display fuer jedermann

Heads-Up Display – was ist das überhaupt? Wer es noch nicht kenn, dem wird das folgende Bild auf die Sprünge helfen:

Hier ein Beispiel bei von den BMW Modellen

Durch eine Projektion vom Amaturenbrett aus wird einfach der Tacho, Navigation oder weitere Gimmiks an die Frondscheibe gespiegelt. Durch Zufall fand ich hierfür ein sehr schickes Android App fürs Handy, was die Funktion ebenfalls darstellt.
Das SpeedviewSpeedview App App hat 2 Anzeigemöglichkeiten, einmal die normale Geschwindigkeitsanzeige (die via GPS ermittelt wird) und die Heads-Up Anzeige, die man per Optionen aktivieren kann.
So legt man sein Handy ins Amaturenbrett und kann den „digitalen Tacho“ nochmal in der Frontscheibe genießen. Abends, und Nachts funktioniert dies super. Bei Tag sieht man allerdings kaum etwas.
Übrigens: Es gibt auch extra Heads-Up Displays zum Nachrüsten. Kosten etwas mehr, haben dann aber vermutlich auch mehr dampf.
Siehe heise Artikel: Head-Up-Display-fuer-Pkw-zum-Nachruesten
Link zum kostenlosen Speedview App: [appbox googleplay com.codesector.speedview.free]