SSL Zertifikate erneuern mit dem neuen StartSSL Interface

Auch wenn alle von Let’s Encrypt schwärmen, gibt es kostenlose SSL Zertifikate auch bei StartSSL. Die kostenlos ausgegeben Zertifikate müssen nach ein Jahr erneuert. StartSSL hat kürzlich die Website erneuert und dabei auch einiges beim Erstellen und verlängern der Zertifikate geändert. Leider ist das neue Interface schlecht dokumentiert und erklärt so das ich bei einer kürzlichen Verlängerung doch einige Probleme hatte darauf durchzusehen. Es muss also nicht sein das ich den besten Weg gewählt habe, aber es funktionierte. 🙂

Auf der Website einloggen muss man sich immer mit dem im Browser gespeicherten von StartSSL ausgebenen Client-Zertifikat. Hat man dieses verloren gibt es auch einen Weg direkt ein neues zu bekommen, ich habe dieses aber nicht getestet.

Wenn man als Neukunde ein SSL-Zertifikat bekommen möchte geht man über „Sign-Up“, füllt das entsprechende Formular aus, bestätigt die E-Mail Adresse und dann wird das nötige Client-Zertifikat direkt im Browser installiert. Dieses sollte man sich unbedingt sofort aus dem Zertifikatspeicher sichern.Login bei StartSSL

Auch die Startseite wurde aufgeräumt, rechts finden sich die Basis-Account-Daten und man kann da auch bereits ausgebenene Zertifikate direkt herunterladen.

Login-Seite StartSSL

Unter „Tool Box“ findet man alle Werkzeuge zum Verwalten und Ausstellen von Zertifikaten, unter „Certificate List“ alle bisher ausgestellten Zertifikate.

Zertifikat-Liste

Zunächst erneuerte ich das Client-Zertifikat. Die Auswahl „Renew“ springt auf den „Certificates Wizard“ und natürlich wählt man da „Client S/MIME and Authentication Certificate“ aus:

Zertifikat-Wizzard

Da noch keine E-Mail-Adresse bestätigt wurde, kommt eine Fehlermeldung.

Validierung erforderlich

Der Link führt zum „Validations Wizard“, da wählt man „Email Validation“.

E-Mail Validierung

In der folgenden Maske gibt man eine (administrative) E-Mail-Adresse ein, auf man das Zertifikat ausstellen möchte, mach wenigen Sekunden erhält man eine E-Mail an diese Adresse mit einer Zeichenfolge, diese gibt man in der Maske ein.

E-Mail Validierung

Mit dieser bestätigen E-Mail-Adresse ist man nun in der Lage, innerhalb der nächsten 30 Tage ein Client-Zertifikat auszustellen.

E-Mail validiert

Im „Certificates Wizard“ für „Client S/MIME and Authentication Certificate“ gibt man die bestätigte E-Mail Adresse ein. Voreingestellt ist das „Generated by PKI system“, weshalb ich das auch verwendete. Einzugeben und zu bestätigen ist außerdem ein Passwort für den privaten Schlüssel. Dieses muss man sich unbedingt merken.

Client-Zertifikat erzeugenMit „submit“ wird ein entsprechender privater Schlüssel generiert. Diesen muss man sich unbedingt abspeichern da ich keinen Weg gefunden habe diesen zu einem späteren Zeitpunkt erneut herunterzuladen (deshalb kommt beim Druck auf „submit“ in dem Popup auch eine erneute Warnung).

Private Key

Ist der private Schlüssel erzeugt, wird auch durch StartSSL das entsprechende Zertifikat erzeugt und steht zum Download bereit:

Client Zertifikat erzeugt

In der ZIP-Datei sind zwei Zertifikate, ein „1_Intermediate.crt“ (das benötigen wir jetzt nicht) und ein Zertifikat das auf die E-Mail-Adresse ausgestellt ist. Der Inhalt dieser „2_…“ Datei wird im übernächsten Schritt benötigt.

Client Zertifikat

Aus diesem Zertifikat muss man mit dem privaten Schlüssel ein Client-Zertifikat generieren.

Dazu muss man zunächst den zuvor generieren privaten Schlüssel entschlüsseln. Man geht dazu in die „Tool Box“ zu „Decrypt Private Key“ und gibt da den zuvor erstellten privaten Schlüssel ein zusammen mit dem Passwort.

Privaten Schlüssel entschlüsseln

Dieser wird dann entschlüsselt und man speichert ihn z.B. in der Zwischenablage.

Privater Schlüssel entschlüsselt

Mit dem entschlüsselten privaten Schlüssel und dem Zertifikat aus der ZIP-Datei kann man jetzt ein im Browser verwendbares Client-Zertifikat zu generieren, dazu geht man in der „Tool Box“ der StartSSL Website auf „Create PKCS#12 (PFX) File“ und kopiert alles in die Eingabefelder. Außerdem wählt man ein Passwort das man beim Import der PKCS Datei benötigt.

PKCS Datei erstellenDie dann erstellte Datei steht dann zum Download bereit.

PKCS Datei erstellt

Sie kann dann entweder in den Windows-Zertifikatsspeicher (für Chrome oder den Microsoft-Browser) oder für Firefox unter Options->Advanced->Certificates importiert werden, dabei wird das oben angebene Passwort abgefragt. Außerdem sollte man sich diese Datei sicher ablegen.

Zertifikatspeicher von Firefox

Zertifikatspeicher von Firefox

Anschließend kann man sich aus der StartSSL-Website ausloggen und wenn man sich dann erneut einloggt muss das mit dem eben erzeugten Zertifikat erfolgreich funktionieren. Sonst hat man einen Fehler gemacht (was aber solange nicht schlimm ist, das alte Zertifikat ist noch gültig und man kann sich damit weiterhin einloggen und ggfs. einige o.g. Schritte wiederholen).

Danach kann man zur Generierung der SSL/TLS-Zertifikats übergehen.

Wenn man dazu in der „Tool Box“ auf „Certificate List“ (wo auch das eben ausgestellte Client-Zertifikat jetzt aufgelistet ist) geht findet man da eine Möglichkeit es zu erneuern:Zertifikatübersicht von StartSSL

Diese führt wieder in den bekannten“Certificates Wizard“, wo man dann „Web Server SSL/TLS Certificate“ auswählt

Zertifikat Wizzard

Da auch hier keine Domain von StartSSL validiert wurde kommt wieder eine Fehlermeldung

Domain nicht validiert

Der Link führt in den „Validations Wizard“ wo man „Domain Validation“ auswählt

Domain Validierung

Man gibt dort den Domainnamen an, StartSSL holt dann aus den whois-Informationen der Domain eine da eventuell vorhanden E-Email-Adresse (auf die man aber in der Regel keinen Zugriff hat) und schlägt weitere E-Mail-Adressen innerhalb der Domains vor. Eine davon muss man angeben und darauf auch Zugriff haben, da an diese ein Code verschickt wird dann man dann unten einzugeben hat.Domain Validierung

Stimmt alles überein, kann man dazu übergehen ein SSL-Zertifikat zu bestellenDomain validiert

Um das Zertifikat zu beantragen, gibt man den bestätigten Hostnamen ein. Außerdem benötigt man ein „Certificate Signing Request (CSR)“. Dieses erstellt man mit einem (Windows-)Tool das auf der Seite zum Download bereit steht.

Zertifikat Wizzard

Ruft man es auf stellt man ein das ein per „OpenSSL“ ein „SSL Certificate“ beantragt, gibt den Domain-Namen und Land an. Außerdem gibt man an wo der private Schlüssel gespeichert werden soll und vergibt ein Passwort für diesen und sagt dann „Generate CSR“. Im rechten Teil des Fensters erscheint dann das CSR.

CSR Anforderung im Tool von StartSSL

Das CSR kopiert man in das Formular auf der Webseite.

Zertifikat Anforderung

und mit „submit“ wird das Zertifikat von StartSSL erstellt und es steht wieder als ZIP-Datei zum Download bereit.

Das Zertifikat wurde erstellt

In der ZIP-Datei finden sich die Zertifikate für verschiedene Servertypen, ich behandele aber nur den Teil um das Zertifikat bei Apache-Servern einzusetzen. Beide Dateien werden auf dem Webserver benötigt und können schonmal in ein (sicheres) Verzeichnis auf diesem kopiert werden.

Zertifikat Download

Außerdem braucht man noch den privaten Schlüssel. Dieser muss wieder „entschlüsselt“ werden, also z.B. in der „Tool Box“ unter „Decrypt Private Key“

Private Key entschlüsseln

In das Eingabefeld kopiert man den beim Anfordern des CSR erzeugten privaten Schlüssel mit dem dazugehörigen Passwort ein

Private Key entschlüsselt

Den ausgebenen entschlüsselten private Key kopiert man in eine eigene Datei auf dem Webserver. Ich habe sie mal im gleichen Verzeichnis angelegt in dem auch die Zertifikate sind. Diese Datei sollte nur für root lesbar sein (chmod 400)

Anschließen muss man Apache in der Konfiguration des virtuellen Servers nur noch sagen wo er die Zertifikate und den private Key findet

Anspannung der httpd.conf

und nach einem Neustart des Servers wird das neue Zertifikat gefunden

Zertifikat-Information

Viel Spaß beim sicheren Netz!

Sendemast Rostock-Toitenwinkel

Im Raum Rostock gibt es eigentlich schon schon immer ein Problem mit der Rundfunkversorgung. Der vermutlich in den 50er oder Anfang der 60er Jahren ca. 30 km östlich von Rostock gebaute Funkturm bei Marlow mit seinen Grundnetzsendern ist zu weit von Rostock entfernt um eine vernünftige Versorgung innerhalb von Gebäuden zu liefern. Westlich von Rostock wird das Signal auch zu schnell schwach und der nächste Grundnetzsender in Schwerin ist auch zu weit entfernt, so das es im Großraum Bad Doberan auch Empfangsprobleme gibt.

Um die Versorgung innerhalb von Rostock zu verbessern, wurden ab 1990 auf dem bestehenden Richtfunkturm in Rostock-Stadtweide mehrere Kleinsender für einige UKW- und TV-Programme (später auch für DVB-T) errichtet. Aber auch dieser Sender hat ein geographisches Problem, denn er sendet über das Gebiet der Rostocker Altstadt hinweg.

Außerdem habe ich das Gefühl das der Empfangsteil heutiger UKW-Radios immer schlechter wird, so das das Hören schlecht zu empfangener Programme keinen Spaß mehr macht.

Die Deutsche Funkturm will deshalb südlich vom Rostocker Seehafen bei Krummendorf und Toitenwinkel (ungefähr hier an der Position des grünen Pfeils) einen neuen fast 250 m hohen abgespannten Stahlgittermast errichten, von dem ich folgende Abbildung fand.

sendemast

Geplant sind folgende Sendeanlagen (von unten nach oben)

  • auf ca. 140 m UKW, vermutlich die Ortssender die heute in Stadtweide senden (LOHRO, N-Joy)
  • auf. ca. 160 m UKW, vermutlich die Grundnetzsender die heute aus Marlow kommen
  • auf ca. 225 m DAB+ (bisher nicht im Raum Rostock ausgestrahlt)
  • auf ca. 230 m DVB-T

Mit der Inbetriebnahme des neues Mastes dürfte es zu einer größeren Umkoordinierung der Rundfunkfrequenzen im Großraum Rostock kommen. Die Grundnetzfrequenzen aus Marlow dürften auf den neuen Mast gehen, die Frequenzen der Füllsender aus Stadtweide (NDR1, Antenne MV, Ostseewelle und DLF) wird man dann sicherlich auf anderen Sendestadtorten östlich von Rostock wiederfinden. Der Sendemast in Marlow dürfte dann sicherlich aufgegeben werden (wenn er nicht noch für den aber aussterbenden Richtfunk gebraucht wird), vermutlich auch der Richtfunkturm in Rostock-Stadtweide (so er nicht auch für andere Funkdienste noch gebraucht wird). Und wer weiß, vielleicht auch der Sendemast auf dem Diedrichshagener Berg (taucht als „Bad Doberan“ in den Listen auf, obwohl es eher Kühlungsborn oder Kröpelin wäre) mit seinen beiden Kleinsendern für NDR1 und N-Joy.

Geplant ist es den neuen Sendemast bis 2014 zu errichten und in Betrieb zu nehmen.

Update 19.04.2013: Die Stadt Rostock hat die Baugenehmigung für den Sendemast erteilt, es kann also demnächst mit dem Bau los gehen.

Update 28.04.2013: Im Bürgerinformationsystem der Stadt Rostock findet man die Beschlußvorlage zum Bau des Sendemastes. In den Anlagen findet man auch die Bauzeichnungen. Der Bauwert des Mastes und des Nebengebäudes sollen 2,6 Mio Euro betragen. Außerdem gibt es hier ein paar Fotos vom Bauplatz.

Update 2.08.2014: Am 5. August 2014 erfolgt der Betriebsaufnahme des UKW- und DVB-T Sendebetriebs in Rostock-Toitenwinkel. Zeitgleich werden die UKW-Sender in Marlow und Rostock-Stadtweide abgeschaltet (DVB-T am 19.08.).

Generell werden alle UKW-Frequenzen von Marlow nach Rostock-Toitenwinkel verlagert und die UKW-Stadt-Frequenzen von NDR1 MV (95,80 MHz), Antenne MV (97,30 MHz) und Ostseewelle (105,60 MHz) aufgegeben. Ein Frequenzwechsel findet beim Deutschlandfunk statt, der übernimmt die wohl etwas leistungsstärkere Frequenz 97,30 MHz (dann ex Antenne MV) anstelle von 106,50 MHz. Übernommen am neuen Senderstandort werden auch die Stadtfrequenzen von N-Joy (88,9 MHz) und Lohro (90,20 MHz).

Das ergibt dann für Rostock-Toitenwinkel folgendes UKW-Angebot, siehe dazu auch die PM von Media-Broadcast:

NDR 1 Radio MV 91,00 MHz
NDR 2 93,50 MHz
NDR Kultur 88,20 MHz
NDR Info 102,80 MHz
N-Joy 88,90 MHz
Deutschlandfunk 97,30 MHz
Deutschlandradio Kultur 96,70 MHz
Antenne MV 100,80 MHz
Ostseewelle 104,80 MHz
Lohro 90,20 MHz

 

Bei DVB-T erfolgt ein Frequenzwechsel, da das NDR-Paket dann im Gleichwellenbetrieb mit Schwerin (Kanal 26) läuft und das ZDF-Paket auf Kanal 24.

Für Rostock wurden von der Landesmedienanstalt einige UKW-Frequenzen ausgeschrieben, so das auf den frei gewordenen Frequenzen neue (noch unbekannte) Angebote starten werden.

Um die Rundfunkversorgung im Bereich von Demmin  durch die Aufgabe des Sendestandortes von Marlow nicht zu stark zu beeinträchtigen, wurde dort vor einigen Wochen Kleinsender für die wichtigen UKW-Programme installiert.

Und zu guter Letzt, auch DAB+ wird ab September von Rostock-Toitenwinkel abgestrahlt. Vermutlich der Bundesmux und der NDR-Mux).

Ein geschichtlicher Abriss des alten Senderstandortes in Marlow findet man beim RBB-Medienmagazin.

Outdoor DSLAM, Teil 4

DSL-6000 ist geschaltet und es funktioniert, obwohl ich Angst hatte das die alte FritzBox WLAN SL kein DPBO (DownStream Power Back Off, siehe hier) kann und lt. Auskunft des Technikers DPBO geschaltet ist. DPBO verhindert (oder vermindert) Störungen auf anderen Leitungen im Kabel auf denen DSL nicht vom gleichen Outdoor-DSLAM geschaltet ist (also typischerweise Anschlüsse von Mitbewerbern der Telekom oder Altanschlüsse die noch nicht umgestellt wurden).

Ältere DSL-Modems können nämlich kein DPBO, die hier verwendete FritzBox WLAN SL (Artikelnummer 20001669) kann es aber trotzdem, obwohl wohl der DSL-Treiber sehr alt ist (für dieses Gerät ist auch schon Ende 2007 der Support abgelaufen, siehe hier).

Aber die FritzBox wird trotzdem gegen ein neueres Modell getauscht. 😉

Der Outdoor-DSLAM meldet sich als „Infineon 113.181 – H2“ und der Vollständigkeit halber noch die Statusanzeigen der FritzBox:



Der DSALM hängt an der neuen GigabitEthernet Plattform der Telekom und lt. Übersicht kann er ADSL2+, DSL16+ aber kein VDSL.

Aber das eigentlich Interessante sieht man immer erst auf dem zweiten Blick. Anstelle von ASDL wurde ADSL2+ mit einer festen Bandbreite  geschaltet die der Bandbreiten-Spezifikation von von T-DSL 6000 entspricht. Bei echten ADSL2+-Anschlüssen (das was die Telekom als „Call & Surf Comfort Plus“ vermarktet oder als „Call & Surf Comfort 5“ nur an der Hotline verkauft) wird nämlich rate adaptive benutzt. 😉

Outdoor-DSLAM, Teil 3

Es ist der 7. September und noch hat sich nichts getan, außer das die Baugruben mittlerweile alle wieder verschlossen sind. Die Abfrage der DSL-Bandbreiten bei der Telekom liefert auch noch die alten Bandbreiten. Da gab es wohl zum offiziellen Starttermin am 3. September nur einen symbolischen Knopfdruck und Schnittchen. Vielleicht war es auch nur der einzige Termin zum dem alle geladenen Gäste zu den Schnittchen kommen konnten.

Weil man bei der Telekom-Hotline auch nicht direkt wusste ob die Bandbreite automatisch hochgeschaltet wird oder ob man das manuell anstoßen muß. Das geht wohl mal so und mal so und einige Kunden hatten sich auch schon über eine Auftragsbestätigung gewundert obwohl sie keinen Auftrag ausgelöst hatten. Man nahm aber erst mal mal den Änderungsauftrag zur Bandbreitenerhöhung von DSL 1000 auf DSL 6000 entgegen (im aktuell hier geschalteten Call&Surf tarif ist eigentlich DSL 6000 dabei).  Auch wenn mir dort direkt noch kein Termin für diese Arbeiten genannt wurde und dieser Antrag dort nur zur automatischen internen Wiedervorlage angelegt wurde, so findet sich jetzt im Kundencenter ein Auftrag lt. dem am 22. September die Schaltung von DSL 6000 erfolgen soll. Mal sehen ob das stimmt.

Update 17. September: Der Umschalttermin 22. September wurde in der Zwischenzeit schriftlich bestätigt und die Telekom hat auch nochmal extra angerufen um mitzuteilen das a) die Umschaltung an dem Termin stattfinden wird und b) kein Techniker ins Haus dafür muß (was mir aber klar war).

Zum letzten Teil.

Outdoor-DSLAM, Teil 2

Wie schon am Ende von Teil 1 geschrieben, passierte seit dem Aufbau der Outdoor-DSALM Schränke im Juli 2009 nicht mehr. Allerdings war im Frühsommer 2010 zu erfahren, daß der Termin für die Inbetriebnahme der 31. August 2010 sein soll. Im Ostseebad Nienhagen scheinen die Outdoor-DSLAMs mittlerweile in Betrieb zu sein, denn die  DSL-Verfügbarkeitsabfrage der Telekom gibt dort jetzt generell 16000 kBit/s aus.

Und seit ein paar Tagen gibt es auch wieder Bauaktivitäten zu sehen.

Zum einem wurden in der Ortslage von Bargeshagen zwei weitere Outdoor-DSLAM-Schränke an den Standorten der bisherigen Kabelverzweiger aufgestellt. Einer ist ein der Ortsmitte in Höhe des Wohngebietes „Alte Molkerei“, der andere ist auf dem „Rapsacker“.

Kabelverzweiger Rapsacker, 30. Januar 2010

Outdoor-DSLAM Rapsacker, 14. Juli 2010

Ebenfalls begannen die Tiefbauarbeiten, denn die Outdoor-DSLAMs benötigen auch einen Glasfaseranschluß. Dazu wurden vom Outdoor-DSLAM auf dem Rapsacker zwei Leerrohre zur Hauptstraße gelegt.  In eines von diesen wurde auch auch schon das Glasfaserkabel verlegt (das andere scheint leer zu bleiben).

Verlegung des Glasfaserkabels

Glasfaserkabel am Outdoor-DSLAM Rapsacker

Das Glasfaserkabel vom Rapsacker (kommt von oben) wurde in das Rohr zum vorhandenen Glasfaserkabel verlegt

Das Glasfaserkabel führt geht zum Outdoor-DSLAM am Ortseingang aus Richtung Bad Doberan gegenüber der ehemaligen Bushaltestelle. Was ich bisher aber noch nicht wusste ist, daß im Verlauf der Hauptstraße schon ein Glasfaserkabel liegt. Das verbilligt nämlich die gesamten Baukosten, da keine weiteren Leerrohre oder Kabel verlegt werden müssen. Im übrigen Verlauf der Hauptstraße wurde nämlich das Kabel in das Rohr verlegt in dem schon ein Glasfaserkabel liegt.

Bauaktivitäten am Outdoor-DSLAM

Kabel am Kabelverzweiger/Outdoor-DSLAM

Aus dem Rohr in der Bildmitte über der Muffe kommen von rechts sowohl das neu verlegte Glasfaserkabel vom Outdoor-DSLAM vom Rapsacker als auch das bisher vorhandene Glasfaserkabel. Dieses Kabel geht durch das Rohr weiter in Richtung Bad Doberan.

Mal sehen ob und wie es weitergeht, der Termin der Inbetriebnahme wurde schon auf den 3. September 2010 verschoben. 🙁

Weiter in Teil 3.