Auch wenn alle von Let’s Encrypt schwärmen, gibt es kostenlose SSL Zertifikate auch bei StartSSL. Die kostenlos ausgegeben Zertifikate müssen nach ein Jahr erneuert. StartSSL hat kürzlich die Website erneuert und dabei auch einiges beim Erstellen und verlängern der Zertifikate geändert. Leider ist das neue Interface schlecht dokumentiert und erklärt so das ich bei einer kürzlichen Verlängerung doch einige Probleme hatte darauf durchzusehen. Es muss also nicht sein das ich den besten Weg gewählt habe, aber es funktionierte. 🙂
Auf der Website einloggen muss man sich immer mit dem im Browser gespeicherten von StartSSL ausgebenen Client-Zertifikat. Hat man dieses verloren gibt es auch einen Weg direkt ein neues zu bekommen, ich habe dieses aber nicht getestet.
Wenn man als Neukunde ein SSL-Zertifikat bekommen möchte geht man über „Sign-Up“, füllt das entsprechende Formular aus, bestätigt die E-Mail Adresse und dann wird das nötige Client-Zertifikat direkt im Browser installiert. Dieses sollte man sich unbedingt sofort aus dem Zertifikatspeicher sichern.
Auch die Startseite wurde aufgeräumt, rechts finden sich die Basis-Account-Daten und man kann da auch bereits ausgebenene Zertifikate direkt herunterladen.
Unter „Tool Box“ findet man alle Werkzeuge zum Verwalten und Ausstellen von Zertifikaten, unter „Certificate List“ alle bisher ausgestellten Zertifikate.
Zunächst erneuerte ich das Client-Zertifikat. Die Auswahl „Renew“ springt auf den „Certificates Wizard“ und natürlich wählt man da „Client S/MIME and Authentication Certificate“ aus:
Da noch keine E-Mail-Adresse bestätigt wurde, kommt eine Fehlermeldung.
Der Link führt zum „Validations Wizard“, da wählt man „Email Validation“.
In der folgenden Maske gibt man eine (administrative) E-Mail-Adresse ein, auf man das Zertifikat ausstellen möchte, mach wenigen Sekunden erhält man eine E-Mail an diese Adresse mit einer Zeichenfolge, diese gibt man in der Maske ein.
Mit dieser bestätigen E-Mail-Adresse ist man nun in der Lage, innerhalb der nächsten 30 Tage ein Client-Zertifikat auszustellen.
Im „Certificates Wizard“ für „Client S/MIME and Authentication Certificate“ gibt man die bestätigte E-Mail Adresse ein. Voreingestellt ist das „Generated by PKI system“, weshalb ich das auch verwendete. Einzugeben und zu bestätigen ist außerdem ein Passwort für den privaten Schlüssel. Dieses muss man sich unbedingt merken.
Mit „submit“ wird ein entsprechender privater Schlüssel generiert. Diesen muss man sich unbedingt abspeichern da ich keinen Weg gefunden habe diesen zu einem späteren Zeitpunkt erneut herunterzuladen (deshalb kommt beim Druck auf „submit“ in dem Popup auch eine erneute Warnung).
Ist der private Schlüssel erzeugt, wird auch durch StartSSL das entsprechende Zertifikat erzeugt und steht zum Download bereit:
In der ZIP-Datei sind zwei Zertifikate, ein „1_Intermediate.crt“ (das benötigen wir jetzt nicht) und ein Zertifikat das auf die E-Mail-Adresse ausgestellt ist. Der Inhalt dieser „2_…“ Datei wird im übernächsten Schritt benötigt.
Aus diesem Zertifikat muss man mit dem privaten Schlüssel ein Client-Zertifikat generieren.
Dazu muss man zunächst den zuvor generieren privaten Schlüssel entschlüsseln. Man geht dazu in die „Tool Box“ zu „Decrypt Private Key“ und gibt da den zuvor erstellten privaten Schlüssel ein zusammen mit dem Passwort.
Dieser wird dann entschlüsselt und man speichert ihn z.B. in der Zwischenablage.
Mit dem entschlüsselten privaten Schlüssel und dem Zertifikat aus der ZIP-Datei kann man jetzt ein im Browser verwendbares Client-Zertifikat zu generieren, dazu geht man in der „Tool Box“ der StartSSL Website auf „Create PKCS#12 (PFX) File“ und kopiert alles in die Eingabefelder. Außerdem wählt man ein Passwort das man beim Import der PKCS Datei benötigt.
Die dann erstellte Datei steht dann zum Download bereit.
Sie kann dann entweder in den Windows-Zertifikatsspeicher (für Chrome oder den Microsoft-Browser) oder für Firefox unter Options->Advanced->Certificates importiert werden, dabei wird das oben angebene Passwort abgefragt. Außerdem sollte man sich diese Datei sicher ablegen.
Zertifikatspeicher von Firefox
Anschließend kann man sich aus der StartSSL-Website ausloggen und wenn man sich dann erneut einloggt muss das mit dem eben erzeugten Zertifikat erfolgreich funktionieren. Sonst hat man einen Fehler gemacht (was aber solange nicht schlimm ist, das alte Zertifikat ist noch gültig und man kann sich damit weiterhin einloggen und ggfs. einige o.g. Schritte wiederholen).
Danach kann man zur Generierung der SSL/TLS-Zertifikats übergehen.
Wenn man dazu in der „Tool Box“ auf „Certificate List“ (wo auch das eben ausgestellte Client-Zertifikat jetzt aufgelistet ist) geht findet man da eine Möglichkeit es zu erneuern:
Diese führt wieder in den bekannten“Certificates Wizard“, wo man dann „Web Server SSL/TLS Certificate“ auswählt
Da auch hier keine Domain von StartSSL validiert wurde kommt wieder eine Fehlermeldung
Der Link führt in den „Validations Wizard“ wo man „Domain Validation“ auswählt
Man gibt dort den Domainnamen an, StartSSL holt dann aus den whois-Informationen der Domain eine da eventuell vorhanden E-Email-Adresse (auf die man aber in der Regel keinen Zugriff hat) und schlägt weitere E-Mail-Adressen innerhalb der Domains vor. Eine davon muss man angeben und darauf auch Zugriff haben, da an diese ein Code verschickt wird dann man dann unten einzugeben hat.
Stimmt alles überein, kann man dazu übergehen ein SSL-Zertifikat zu bestellen
Um das Zertifikat zu beantragen, gibt man den bestätigten Hostnamen ein. Außerdem benötigt man ein „Certificate Signing Request (CSR)“. Dieses erstellt man mit einem (Windows-)Tool das auf der Seite zum Download bereit steht.
Ruft man es auf stellt man ein das ein per „OpenSSL“ ein „SSL Certificate“ beantragt, gibt den Domain-Namen und Land an. Außerdem gibt man an wo der private Schlüssel gespeichert werden soll und vergibt ein Passwort für diesen und sagt dann „Generate CSR“. Im rechten Teil des Fensters erscheint dann das CSR.
Das CSR kopiert man in das Formular auf der Webseite.
und mit „submit“ wird das Zertifikat von StartSSL erstellt und es steht wieder als ZIP-Datei zum Download bereit.
In der ZIP-Datei finden sich die Zertifikate für verschiedene Servertypen, ich behandele aber nur den Teil um das Zertifikat bei Apache-Servern einzusetzen. Beide Dateien werden auf dem Webserver benötigt und können schonmal in ein (sicheres) Verzeichnis auf diesem kopiert werden.
Außerdem braucht man noch den privaten Schlüssel. Dieser muss wieder „entschlüsselt“ werden, also z.B. in der „Tool Box“ unter „Decrypt Private Key“
In das Eingabefeld kopiert man den beim Anfordern des CSR erzeugten privaten Schlüssel mit dem dazugehörigen Passwort ein
Den ausgebenen entschlüsselten private Key kopiert man in eine eigene Datei auf dem Webserver. Ich habe sie mal im gleichen Verzeichnis angelegt in dem auch die Zertifikate sind. Diese Datei sollte nur für root lesbar sein (chmod 400)
Anschließen muss man Apache in der Konfiguration des virtuellen Servers nur noch sagen wo er die Zertifikate und den private Key findet
und nach einem Neustart des Servers wird das neue Zertifikat gefunden
Viel Spaß beim sicheren Netz!
Im Raum Rostock gibt es eigentlich schon schon immer ein Problem mit der Rundfunkversorgung. Der vermutlich in den 50er oder Anfang der 60er Jahren ca. 30 km östlich von Rostock gebaute Funkturm bei Marlow mit seinen Grundnetzsendern ist zu weit von Rostock entfernt um eine vernünftige Versorgung innerhalb von Gebäuden zu liefern. Westlich von Rostock wird das Signal auch zu schnell schwach und der nächste Grundnetzsender in Schwerin ist auch zu weit entfernt, so das es im Großraum Bad Doberan auch Empfangsprobleme gibt.
Um die Versorgung innerhalb von Rostock zu verbessern, wurden ab 1990 auf dem bestehenden Richtfunkturm in Rostock-Stadtweide mehrere Kleinsender für einige UKW- und TV-Programme (später auch für DVB-T) errichtet. Aber auch dieser Sender hat ein geographisches Problem, denn er sendet über das Gebiet der Rostocker Altstadt hinweg.
Außerdem habe ich das Gefühl das der Empfangsteil heutiger UKW-Radios immer schlechter wird, so das das Hören schlecht zu empfangener Programme keinen Spaß mehr macht.
Die Deutsche Funkturm will deshalb südlich vom Rostocker Seehafen bei Krummendorf und Toitenwinkel (ungefähr hier an der Position des grünen Pfeils) einen neuen fast 250 m hohen abgespannten Stahlgittermast errichten, von dem ich folgende Abbildung fand.
Geplant sind folgende Sendeanlagen (von unten nach oben)
- auf ca. 140 m UKW, vermutlich die Ortssender die heute in Stadtweide senden (LOHRO, N-Joy)
- auf. ca. 160 m UKW, vermutlich die Grundnetzsender die heute aus Marlow kommen
- auf ca. 225 m DAB+ (bisher nicht im Raum Rostock ausgestrahlt)
- auf ca. 230 m DVB-T
Mit der Inbetriebnahme des neues Mastes dürfte es zu einer größeren Umkoordinierung der Rundfunkfrequenzen im Großraum Rostock kommen. Die Grundnetzfrequenzen aus Marlow dürften auf den neuen Mast gehen, die Frequenzen der Füllsender aus Stadtweide (NDR1, Antenne MV, Ostseewelle und DLF) wird man dann sicherlich auf anderen Sendestadtorten östlich von Rostock wiederfinden. Der Sendemast in Marlow dürfte dann sicherlich aufgegeben werden (wenn er nicht noch für den aber aussterbenden Richtfunk gebraucht wird), vermutlich auch der Richtfunkturm in Rostock-Stadtweide (so er nicht auch für andere Funkdienste noch gebraucht wird). Und wer weiß, vielleicht auch der Sendemast auf dem Diedrichshagener Berg (taucht als „Bad Doberan“ in den Listen auf, obwohl es eher Kühlungsborn oder Kröpelin wäre) mit seinen beiden Kleinsendern für NDR1 und N-Joy.
Geplant ist es den neuen Sendemast bis 2014 zu errichten und in Betrieb zu nehmen.
Update 19.04.2013: Die Stadt Rostock hat die Baugenehmigung für den Sendemast erteilt, es kann also demnächst mit dem Bau los gehen.
Update 28.04.2013: Im Bürgerinformationsystem der Stadt Rostock findet man die Beschlußvorlage zum Bau des Sendemastes. In den Anlagen findet man auch die Bauzeichnungen. Der Bauwert des Mastes und des Nebengebäudes sollen 2,6 Mio Euro betragen. Außerdem gibt es hier ein paar Fotos vom Bauplatz.
Update 2.08.2014: Am 5. August 2014 erfolgt der Betriebsaufnahme des UKW- und DVB-T Sendebetriebs in Rostock-Toitenwinkel. Zeitgleich werden die UKW-Sender in Marlow und Rostock-Stadtweide abgeschaltet (DVB-T am 19.08.).
Generell werden alle UKW-Frequenzen von Marlow nach Rostock-Toitenwinkel verlagert und die UKW-Stadt-Frequenzen von NDR1 MV (95,80 MHz), Antenne MV (97,30 MHz) und Ostseewelle (105,60 MHz) aufgegeben. Ein Frequenzwechsel findet beim Deutschlandfunk statt, der übernimmt die wohl etwas leistungsstärkere Frequenz 97,30 MHz (dann ex Antenne MV) anstelle von 106,50 MHz. Übernommen am neuen Senderstandort werden auch die Stadtfrequenzen von N-Joy (88,9 MHz) und Lohro (90,20 MHz).
Das ergibt dann für Rostock-Toitenwinkel folgendes UKW-Angebot, siehe dazu auch die PM von Media-Broadcast:
| NDR 1 Radio MV | 91,00 MHz |
| NDR 2 | 93,50 MHz |
| NDR Kultur | 88,20 MHz |
| NDR Info | 102,80 MHz |
| N-Joy | 88,90 MHz |
| Deutschlandfunk | 97,30 MHz |
| Deutschlandradio Kultur | 96,70 MHz |
| Antenne MV | 100,80 MHz |
| Ostseewelle | 104,80 MHz |
| Lohro | 90,20 MHz |
Bei DVB-T erfolgt ein Frequenzwechsel, da das NDR-Paket dann im Gleichwellenbetrieb mit Schwerin (Kanal 26) läuft und das ZDF-Paket auf Kanal 24.
Für Rostock wurden von der Landesmedienanstalt einige UKW-Frequenzen ausgeschrieben, so das auf den frei gewordenen Frequenzen neue (noch unbekannte) Angebote starten werden.
Um die Rundfunkversorgung im Bereich von Demmin durch die Aufgabe des Sendestandortes von Marlow nicht zu stark zu beeinträchtigen, wurde dort vor einigen Wochen Kleinsender für die wichtigen UKW-Programme installiert.
Und zu guter Letzt, auch DAB+ wird ab September von Rostock-Toitenwinkel abgestrahlt. Vermutlich der Bundesmux und der NDR-Mux).
Ein geschichtlicher Abriss des alten Senderstandortes in Marlow findet man beim RBB-Medienmagazin.
DSL-6000 ist geschaltet und es funktioniert, obwohl ich Angst hatte das die alte FritzBox WLAN SL kein DPBO (DownStream Power Back Off, siehe hier) kann und lt. Auskunft des Technikers DPBO geschaltet ist. DPBO verhindert (oder vermindert) Störungen auf anderen Leitungen im Kabel auf denen DSL nicht vom gleichen Outdoor-DSLAM geschaltet ist (also typischerweise Anschlüsse von Mitbewerbern der Telekom oder Altanschlüsse die noch nicht umgestellt wurden).
Ältere DSL-Modems können nämlich kein DPBO, die hier verwendete FritzBox WLAN SL (Artikelnummer 20001669) kann es aber trotzdem, obwohl wohl der DSL-Treiber sehr alt ist (für dieses Gerät ist auch schon Ende 2007 der Support abgelaufen, siehe hier).
Aber die FritzBox wird trotzdem gegen ein neueres Modell getauscht. 😉
Der Outdoor-DSLAM meldet sich als „Infineon 113.181 – H2“ und der Vollständigkeit halber noch die Statusanzeigen der FritzBox:
Der DSALM hängt an der neuen GigabitEthernet Plattform der Telekom und lt. Übersicht kann er ADSL2+, DSL16+ aber kein VDSL.
Aber das eigentlich Interessante sieht man immer erst auf dem zweiten Blick. Anstelle von ASDL wurde ADSL2+ mit einer festen Bandbreite geschaltet die der Bandbreiten-Spezifikation von von T-DSL 6000 entspricht. Bei echten ADSL2+-Anschlüssen (das was die Telekom als „Call & Surf Comfort Plus“ vermarktet oder als „Call & Surf Comfort 5“ nur an der Hotline verkauft) wird nämlich rate adaptive benutzt. 😉
Wie schon am Ende von Teil 1 geschrieben, passierte seit dem Aufbau der Outdoor-DSALM Schränke im Juli 2009 nicht mehr. Allerdings war im Frühsommer 2010 zu erfahren, daß der Termin für die Inbetriebnahme der 31. August 2010 sein soll. Im Ostseebad Nienhagen scheinen die Outdoor-DSLAMs mittlerweile in Betrieb zu sein, denn die DSL-Verfügbarkeitsabfrage der Telekom gibt dort jetzt generell 16000 kBit/s aus.
Und seit ein paar Tagen gibt es auch wieder Bauaktivitäten zu sehen.
Zum einem wurden in der Ortslage von Bargeshagen zwei weitere Outdoor-DSLAM-Schränke an den Standorten der bisherigen Kabelverzweiger aufgestellt. Einer ist ein der Ortsmitte in Höhe des Wohngebietes „Alte Molkerei“, der andere ist auf dem „Rapsacker“.
Kabelverzweiger Rapsacker, 30. Januar 2010
Outdoor-DSLAM Rapsacker, 14. Juli 2010
Ebenfalls begannen die Tiefbauarbeiten, denn die Outdoor-DSLAMs benötigen auch einen Glasfaseranschluß. Dazu wurden vom Outdoor-DSLAM auf dem Rapsacker zwei Leerrohre zur Hauptstraße gelegt. In eines von diesen wurde auch auch schon das Glasfaserkabel verlegt (das andere scheint leer zu bleiben).
Verlegung des Glasfaserkabels
Glasfaserkabel am Outdoor-DSLAM Rapsacker
Das Glasfaserkabel vom Rapsacker (kommt von oben) wurde in das Rohr zum vorhandenen Glasfaserkabel verlegt
Das Glasfaserkabel führt geht zum Outdoor-DSLAM am Ortseingang aus Richtung Bad Doberan gegenüber der ehemaligen Bushaltestelle. Was ich bisher aber noch nicht wusste ist, daß im Verlauf der Hauptstraße schon ein Glasfaserkabel liegt. Das verbilligt nämlich die gesamten Baukosten, da keine weiteren Leerrohre oder Kabel verlegt werden müssen. Im übrigen Verlauf der Hauptstraße wurde nämlich das Kabel in das Rohr verlegt in dem schon ein Glasfaserkabel liegt.
Bauaktivitäten am Outdoor-DSLAM
Kabel am Kabelverzweiger/Outdoor-DSLAM
Aus dem Rohr in der Bildmitte über der Muffe kommen von rechts sowohl das neu verlegte Glasfaserkabel vom Outdoor-DSLAM vom Rapsacker als auch das bisher vorhandene Glasfaserkabel. Dieses Kabel geht durch das Rohr weiter in Richtung Bad Doberan.
Mal sehen ob und wie es weitergeht, der Termin der Inbetriebnahme wurde schon auf den 3. September 2010 verschoben. 🙁
