Jump to content

Zertifikatsdateien zu löschen


Heinrich Stutzke

Recommended Posts

Zitat aus Änderungen Media Server 3.0.0.0

 

Damit sollte klar sein, dass Schlüssel und Zertifikate sicherheitsrelevant sind. Man sollte sie wie den Personalausweis für sich behalten, also nicht anderen zur Verfügung stellen oder veröffentlichen. Außerdem empfiehlt es sich, Zertifikatsdateien zu löschen, wo sie nicht mehr gebraucht werden (insbesondere cacert.pem nach der Installation auf einem Client-PC). Jeder Halunke, der die Zertifikate ergattert (plus Passwort, falls gesetzt) kann einen HTTPS-Server aufsetzen, dem Browser auf Client-PCs vertrauen, weil er sich als Media Server ausgibt!

 

Frage: Wo bekomme ich eine Standard Die Standard-Dateien, serverkey.pem und servercert.pem im neuen Certificates-Unterverzeichnis des Media Server-Programmverzeichnisses. Das anfänglich installierte Zertifikat ermöglicht HTTPS nur für „localhost“ und 127.0.0.1, solange es nicht modifiziert wird.

 

Wenn jetzt z.b der Verdacht einer Kompromittierung vorliegt gibt es weche Möglichkeit,,,Neuinstallation?

 

Da alles in einer .exe versteckt ist, gibt es nur die Möglichkeit sich als Download bereit zustellen, bzw. eine Anleitung dafür (die Standard Certifikate zu erstellen) nur den localhost zu erzeugen.

2. Gibt es damit keine Möglichkeit bei der Erzeugung einer Kopie des Config-Verzeichnisses diese mit zusichern.(weil gar nicht vorhanden). Sie ist ja im dementsprechenden Programm Verzeichnis von Windows , weil es ja nicht die angelegte Config für DVBViewer ist sondern, nur eine Umleitung darstellt weil Windows es ja nicht erlaubt ins Programm Verzeichnis zu schreiben.(deshalb auch keine .bak wie in Programm Data Verzeichnis).

 

 

Link to comment
6 hours ago, Heinrich Stutzke said:

Frage: Wo bekomme ich die Standard-Dateien, serverkey.pem und servercert.pem im neuen Certificates-Unterverzeichnis des Media Server-Programmverzeichnisses.

  • Stoppe den Media Server.
  • Lösche alle Dateien mit der Endung .pem im im Certificates-Unterverzeichnis des Media Server-Programmverzeichnisses (cacert.pem, cakey.pem, servercert.pem, serverkey.pem), aber keine anderen Dateien.
  • Klick auf das blaue Tray-Icon des Media Servers (rechts in der Taskleiste) -> Mit Admin-Rechten konfigurieren -> HTTPS-Einstellungen.
  • Lösche dort unter "Zertifikatserzeugung" alle Domain-Namen und IP-Adressen außer localhost und 127.0.0.1.
  • Klicke auf "Zertifikat erzeugen". Dies erzeugt die .pem-Dateien neu.
  • Starte den Media Server.

Damit hast du die Zertifikate in den installierten Zustand zurückgesetzt. Außerdem musst du das bisherige Stammzertifikat (cacert.pem) aus dem Zertifikatspeicher von Windows (und eventuell auch von Firefox) löschen, falls du es dort installiert hast, damit es Browser nicht mehr als vertrauenswürdig ansehen. Mehr Informationen dazu bei Bedarf.

 

Link to comment

Danke für die schnelle Antwort.

 

Frage: Die Schlüsselerstellung geschieht

also 2x 2048 bit RSA Public Key Schlüssel + 2 x sha256 Hash.

Also nicht angreifbar bzw. zu entschlüsseln! Hash sha256 gilt ja als sicher.

 

Die sind jetzt alle 10 Jahre gültig wenn ich das richtig gelesen habe....

Habe natürlich die Möglichkeit sie jederzeit auf eine kürzere Gultigkeit zu setzen, wenn ich das richtig in der Beschreibung gelesen habe.

 

vor 14 Stunden schrieb Griga:

Außerdem musst du das bisherige Stammzertifikat (cacert.pem) aus dem Zertifikatspeicher von Windows (und eventuell auch von Firefox) löschen, falls du es dort installiert hast, damit es Browser nicht mehr als vertrauenswürdig ansehen. Mehr Informationen dazu bei Bedarf.

Kannst du dazu noch genauere Erläuterungen zu geben?

 

Andere Frage warum steht in der upnpAcess.xml die MAC Adresse nicht als Hex. drin.

Damit ist eine Kontrolle nur über eine Umrechnung in hex. gegeben. Auch die IP erscheint nicht wie gewohnt (zumindestens erkennbar).

Sehr schwer nachvollziehbar.

Man kann sie ja auch einfach wieder löschen (upnpAcess.xml). Die Controller Einstellung (in upnp) ist ja experimentell. Also besser nicht beutzen!

Link to comment
7 hours ago, Heinrich Stutzke said:

Kannst du dazu noch genauere Erläuterungen zu geben?

  • Drücke gleichzeitig die Windows-Taste und R.
  • Gib in der Eingabeaufforderung certmgr.msc ein und klicke auf OK.
  • Nicke die Sicherheitsabfrage der Benutzerkontensteuerung ab.
  • In der Baumansicht auf der linken Seite "Vertrauenswürdige Stammzertifikate -> Zertifikate" anwählen.
  • Auf der rechten Seite den Eintrag "DVBViewer Media Server" selektieren.
  • Entf drücken. Es erscheint eine Sicherheitsabfrage, ob du das ausgewählte Zertifikat löschen willst. An dieser Stelle aufpassen! Das Löschen von anderen Stammzertifikaten kann zur Folge haben, dass Teile von Windows oder bestimmte Internetseiten nicht mehr funktionieren. Also wirklich nur das Zertifikat für den Media Server löschen, kein anderes!
  • Die Abfrage mit Ja beantworten.

Firefox verwendet standardmäßig einen eigenen Zertifikatspeicher. Wer dort ein Zertifikat installiert hast, weiß i.a. auch, wo man es wieder löscht. Falls nicht, nachfragen!

 

7 hours ago, Heinrich Stutzke said:

Andere Frage warum steht in der upnpAcess.xml die MAC Adresse nicht als Hex. drin. Damit ist eine Kontrolle nur über eine Umrechnung in hex. gegeben. Auch die IP erscheint nicht wie gewohnt (zumindestens erkennbar). Sehr schwer nachvollziehbar.

 

Da gebe ich dir recht, was mir nicht schwerfällt, da diese Art der Speicherung nicht von mir stammt. :) Ich schaue bei Gelegenheit mal nach, ob es sich ändern lässt, ohne in Kompatibilitätsprobleme zu geraten.

 

Gravierend finde ich die Art der Notation in der Datei allerdings nicht, da die Einträge im Webinterface -> Konfiguration -> UPnP  in gewohnter Art angezeigt werden und sie sich einzeln aktivieren/deaktivieren lassen.

 

  • Like 1
Link to comment

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Unfortunately, your content contains terms that we do not allow. Please edit your content to remove the highlighted words below.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...