Select Page

NETWAYS Blog

Chrome, certificates and missing_subjectAltNames Part 2 of 1

by | Jun 7, 2017 | ,

Actually I wanted to cover this topic in the previous post, but somehow have missed it.
Using the mentioned one liner can lead to typos and/or some strange behaviour on the CA side, especially when using a Windows-CA.
To circumvent this issues, I mentioned “a specially designed *.conf file” which I’d like to elaborate today.
Following steps are necessary:
Create a file “req.conf” in etc/ssl/ (Ubuntu 14.04, pathes may vary) with the following content:

[req]
distinguished_name = req_distinguished_name
req_extensions = v3_req
prompt = no
[req_distinguished_name]
C = $YourTLD
ST = $YourState
L = $YourCity
O = $YourCompany
OU = $YourDepatment
CN = $YourCName (e.g. internal.company.tld)
[v3_req]
keyUsage = keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names
[alt_names]
DNS.1 = *.internal.company.tld
DNS.2 = internal.company.tld
DNS.3 = www.*.internal.company.tld

Essentially, these are the information provided by the “-subj section” in last weeks one liner.
Now you can generate a key:

openssl genrsa -out internal.company.tld.key 4096

and use your new key and the req.conf file to generate a CSR, which, as usually can be fed into your local CA.

openssl req -new -out internal.company.tld.csr -key internal.company.de.key -config req.conf -sha256

This *.conf file can be used as a template for other C/altNames as well and is, in my eyes, more lucid than a one liner.

Tim Albert
Tim Albert
Senior Systems Engineer
Tim kommt aus einem kleinen Ort zwischen Nürnberg und Ansbach, an der malerischen B14 gelegen. Er hat in Erlangen Lehramt und in Koblenz Informationsmanagement studiert. Seit Anfang 2016 ist er bei uns tätig. Zuerst im Managed Services Team, dort kümmerte Tim sich um Infrastrukturthemen und den internen Support, um dann 2019 - zusammen mit Marius - Gründungsmitglied der ITSM Abteilung zu werden. In seiner Freizeit engagiert sich Tim in der Freiwilligen Feuerwehr – als Maschinist und Atemschutzgeräteträger -, spielt im Laientheater Bauernschwänke und ist auch handwerklich ein absolutes Allroundtalent. Angefangen von Mauern hochziehen bis hin zur KNX-Verkabelung ist er jederzeit...
Read more from Tim and meet the Team

Chrome, certificates and missing_subjectAltNames

by | May 24, 2017 | , ,

Google has been actively trying to ensure certificate security especially in the last months.
Sometimes this created quite some buzz in the IT World, e.g. when Symantecs policies came into the focus.
Current version 58 of Google Chrome has again adjusted the certificate policy.
Certificates provide two ways to store hostnames: CommonName and SubjectAltName (SAN). RFC 2818 specified in 2000 that CommonName should be deprecated, which Chrome now complies to.
Other browsers are currently still accepting the CommonName, which is mostly used by selfsigned certificates, as in our case :/
Users who wanted to access our internal sites encountered error messages and were forced to use quick and dirty workarounds, such as using a Windows registry “hack”:
Open a cmd-Shell as Administrator and enter:
reg add \HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome /v EnableCommonNameFallbackForLocalAnchors /t REG_DWORD /d 1 /f
which reactivates the fallback to CommonName
As this is just a temporary “solution”, you should issue an RFC 2818 conform certificate. This can be realized by using a complete and compliant certificate signing request (CSR).
You can either use a specially designed *.conf File for this or simply adapt the following shell command:

openssl req -new-key endpoint.com.key -sha256 -nodes  -subj '/C=US/ST=New York/L=New York/O=End Point/OU=Hosting Team/CN=www.endpoint.com/
         emailAddress=administrative-not-existent-address@our-awesome-domain.com/
         subjectAltName=DNS.1=endpoint.com,
         DNS.2=usually-not-convered-domain.endpoint.com,
         DNS.3=multiple-domains-crt.endpoint.com' > www.endpoint.com.csr
The created csr can be fed e.g. into your local CA to issue new certificates which can be rolled out in your environment.
Live long and prosper and be RFC compliant 🙂
Tim Albert
Tim Albert
Senior Systems Engineer
Tim kommt aus einem kleinen Ort zwischen Nürnberg und Ansbach, an der malerischen B14 gelegen. Er hat in Erlangen Lehramt und in Koblenz Informationsmanagement studiert. Seit Anfang 2016 ist er bei uns tätig. Zuerst im Managed Services Team, dort kümmerte Tim sich um Infrastrukturthemen und den internen Support, um dann 2019 - zusammen mit Marius - Gründungsmitglied der ITSM Abteilung zu werden. In seiner Freizeit engagiert sich Tim in der Freiwilligen Feuerwehr – als Maschinist und Atemschutzgeräteträger -, spielt im Laientheater Bauernschwänke und ist auch handwerklich ein absolutes Allroundtalent. Angefangen von Mauern hochziehen bis hin zur KNX-Verkabelung ist er jederzeit...
Read more from Tim and meet the Team

Simple Video Chat with jitsi-meet

by | Mar 1, 2017 | , ,

Oftentimes you have colleagues working on different sites, even different countries and time zones have gotten more and more common in todays world of work.
You can easily keep connected by multiple means like Chat, Email, landline, mobile phones, messaging apps, social networks, VoIP… You get my point.
Most of these means have several disadvantages to consider:

  • no video functionality
  • no sovereignty about the transmitted data
  • no availability of thorough debugging
  • need of dedicated client application

These topics can be tackled by an OpenSource VideoChat Application: jitsi-meet
There is a quick installation guide available, (yes, there are docker images)and you can also try it via a demo system.
The package installs several components: jitsi-videobridge (WebRTC), jitisi-meet (JavaScript), nginx (http access), prosody (XMPP), OpenJDK7 (JRE)
While setting up the system, you’re prompted to configure  the domain name respectively the $IP of the host. In a second step, you’re asked to set a certificate for SSL-encryption.

You’re allowed to use your own certificate or jitsi-meet creates a self-signed certificate for you (this might be handy for having just a quick glance at jitsi-meet)
jitsi-meet then provides an easily accessible chat room for many concurrent user who can (voice)chat, share screens and video chat.
To set up a chat room, simply point your browser (Chrome worked best in our environment) to https://$IP:443 and enter a name for the room into the dialogue box.

You’ll be then redirected to the room and can start setting a password for the room and share the link to your room with others.

This is just a short overview about the possibilities of jitsi-meet, give it a try and have fun!

Tim Albert
Tim Albert
Senior Systems Engineer
Tim kommt aus einem kleinen Ort zwischen Nürnberg und Ansbach, an der malerischen B14 gelegen. Er hat in Erlangen Lehramt und in Koblenz Informationsmanagement studiert. Seit Anfang 2016 ist er bei uns tätig. Zuerst im Managed Services Team, dort kümmerte Tim sich um Infrastrukturthemen und den internen Support, um dann 2019 - zusammen mit Marius - Gründungsmitglied der ITSM Abteilung zu werden. In seiner Freizeit engagiert sich Tim in der Freiwilligen Feuerwehr – als Maschinist und Atemschutzgeräteträger -, spielt im Laientheater Bauernschwänke und ist auch handwerklich ein absolutes Allroundtalent. Angefangen von Mauern hochziehen bis hin zur KNX-Verkabelung ist er jederzeit...
Read more from Tim and meet the Team

Starface und Telefon Firmware Update

by | Jan 4, 2017 | , , , ,

Bei Netways setzen wir sehr häufig Anwendungen selbst ein ein, bevor wir uns dazu entscheiden, diese Kunden anzubieten. Dies betrifft nicht nur Software, wie bspw. ceph, sondern auch Hardware, wie die in diesem Post angesprochene Starface Telefonieanlage.
Starface basiert auf der Edition Asterisk for Business und ermöglicht ähnliche Funktionalitäten wie eine “reguläre” Linux-Distribution.
So beherrscht Starface nicht nur eine ausgefeilte Benutzer- und Gruppenverwaltung, sondern ist auch in der Lage, die angeschlossenen Telefone zu administrieren. Es lassen sich auch in einer größeren Umgebung Einstellungen wie Kurzwahltasten, Klingeltöne und auch Firmwareupdates leicht und vor allem zentral verteilen. Wer schon einmal alle Telefone einzeln durchgegangen musste, um eine Einstellung zu setzen, wird das zu schätzen wissen.
Wie ist aber nun das konkrete Vorgehen um ein Update der Firmware auszurollen?
Zuerst benötigt man natürlich die passende Firmware selbst, in unserem Fall für das Snom320.
Dieses .bin-File hinterlegt man auf der Starface im passenden Verzeichnis unter /var/firmware:

In den jeweiligen Verzeichnissen liegen die Firmwaredateien, die mit Symlinks den Modellnamen zugeordnet sind. Um ein Update durchzuführen, muss der Symlink folglich auf die neu bezogene Firmware zeigen:

Zuverlässig wird die neue Firmware nach einem Restart der Starface auf alle betroffenen Geräte verteilt. Die Telefone rebooten, beziehen und installieren das Update ohne dass man jedes einzelne Gerät betreuen muss.
Welche weiteren Aufgaben man noch mit einer Starface bewältigen kann, kann man hier einsehen oder wer direkt eine beschaffen möchte, ist bei den Kollegen richtig.

Tim Albert
Tim Albert
Senior Systems Engineer
Tim kommt aus einem kleinen Ort zwischen Nürnberg und Ansbach, an der malerischen B14 gelegen. Er hat in Erlangen Lehramt und in Koblenz Informationsmanagement studiert. Seit Anfang 2016 ist er bei uns tätig. Zuerst im Managed Services Team, dort kümmerte Tim sich um Infrastrukturthemen und den internen Support, um dann 2019 - zusammen mit Marius - Gründungsmitglied der ITSM Abteilung zu werden. In seiner Freizeit engagiert sich Tim in der Freiwilligen Feuerwehr – als Maschinist und Atemschutzgeräteträger -, spielt im Laientheater Bauernschwänke und ist auch handwerklich ein absolutes Allroundtalent. Angefangen von Mauern hochziehen bis hin zur KNX-Verkabelung ist er jederzeit...
Read more from Tim and meet the Team

OMSA Issues, Solutions and xkcd

by | Dec 28, 2016 | ,

All of our Dell Servers are managed via OMSA, so we can easily tackle most of the occurring hardware issues.
The aim of this blogpost is to prepare a comprehensive list addressing the most common obstacles we did run into so far. This list is sorted by my personal preferences and, of course, by no means complete. Please excuse my paint skills as well.
Please note: We‘re mostly running some kind of Linux on our Servers, some solutions might work for Windows, too. Also root access and the current OMSA version are implied.
Most of the following issues can be resolved by merely scheduling a 4 hour downtime, upgrading kernel, BIOS, firmware and several reboots and prolonged downtimes later, you may be greeted by the OMSA webinterface. Yay. Of course this is not a suitable way to go for simply generating an HDD report for warranty purposes.
Let‘s dive into the list:
ERR_CONNECTION_REFUSED
Please ensure that all OMSA related processes are running correctly. Simply ssh to your machine and run “srvadmin-services.sh status” (in this case located at /opt/dell/srvadmin/sbin)

The srvadmin-services script is a convenient tool to check the processes. It can also be used to restart the processes in the correct order.

Cryptic Symbols

You were not using SSL. Please use “https” to connect to your server.
Error code: SSL_ERROR_WEAK_SERVER_EPHEMERAL_DH_KEY

You were now using SSL and, presumably, Firefox. This is an issue everybody will be facing in the future. Just a quick workaround and not really a solution: Chrome works for me (as of Dec 27).
There will be a follow up/recap to this issue, very likely in a separate and more detailed post.
Browser type is not supported:

Simply wait or hit „Try Again“
Can‘t login:
When you‘re using IPMI as well, you may have configured different user for different tasks. OMSA works differently, so by default you have to login as „root“, using the root password of the OS running on this server.
500 internal Server Error, java.lang.NoClassDefFound :
Ah, this one was tricky. In our case, this issue boiled down to the sysadmin obsession: uptime.

by xkcd.com


We tried everything, from simply restarting the services by hand in multiple order, reinstalling the binaries to even looking for help at the support forums, with the expected outcomes:

by xkcd.com


During the long uptime of the machine, some old processes of the OMSA services kept running and could not be killed by srvadmin-services. With a simple “ps aux | grep dsm_” and fearless killing the found processes (some /etc/init.d/ related) via “pkill -9 -f dsm_” and restarting via srvadmin-services, we could finally access the Webinterface again.
Other admins may have different issues and different solutions respectively.
 
 

Tim Albert
Tim Albert
Senior Systems Engineer
Tim kommt aus einem kleinen Ort zwischen Nürnberg und Ansbach, an der malerischen B14 gelegen. Er hat in Erlangen Lehramt und in Koblenz Informationsmanagement studiert. Seit Anfang 2016 ist er bei uns tätig. Zuerst im Managed Services Team, dort kümmerte Tim sich um Infrastrukturthemen und den internen Support, um dann 2019 - zusammen mit Marius - Gründungsmitglied der ITSM Abteilung zu werden. In seiner Freizeit engagiert sich Tim in der Freiwilligen Feuerwehr – als Maschinist und Atemschutzgeräteträger -, spielt im Laientheater Bauernschwänke und ist auch handwerklich ein absolutes Allroundtalent. Angefangen von Mauern hochziehen bis hin zur KNX-Verkabelung ist er jederzeit...
Read more from Tim and meet the Team

Trainings

Web Services

Events