AW: Aai-users Nachrichtensammlung, Band 73, Eintrag 2

Oziminski, Simon s.oziminski at dshs-koeln.de
Mi Feb 26 16:09:46 CET 2020


Hallo Herr Brauckmann,

vielen Dank für die schnelle Hilfestellung.

Ich habe einiges ausprobiert und festgestellt, dass beim Aufrufen der SSL
Verbindung die Einstellung " Peer signing digest: SHA1" wiedergegeben wird.

SSL-Session:
Protocol  : TLSv1.2
Cipher    : ECDHE-RSA-AES256-SHA384
Verify return code: 21

Im Zertifikat selbst steht:
Signaturalgorithmus: sha256ECDSA
Signaturhashalgorithmus: sha256

Muss sha256 auf dem Client oder Serverseitig eingestellt werden und
eventuell wie es gemacht wird.

Vielen Dank.

Mit freundlichem Gruß

Simon Oziminski
Abteilung  – IT Infrastruktur und Betrieb
ze.IT – Zentrale Betriebseinheit für Informationstechnologie
Deutsche Sporthochschule Köln
Am Sportpark Müngersdorf 6
50933 Köln

Telefon:  +49(0)221 4982 – 8711
s.oziminski at dshs-koeln.de


-----Ursprüngliche Nachricht-----
Von: Aai-users <aai-users-bounces at aai.dfn.de> Im Auftrag von
aai-users-request at aai.dfn.de
Gesendet: Mittwoch, 26. Februar 2020 10:10
An: aai-users at aai.dfn.de
Betreff: Aai-users Nachrichtensammlung, Band 73, Eintrag 2

Um E-Mails an die Liste Aai-users zu schicken, nutzen Sie bitte die Adresse

    aai-users at aai.dfn.de

Um sich via Internet von der Liste auszutragen oder in die Liste
einzutragen:

    https://listserv.aai.dfn.de/mailman/listinfo/aai-users

Oder schicken Sie eine E-Mail mit dem Wort "help" in der Betreffzeile oder
im Text an

    aai-users-request at aai.dfn.de

Sie können den Verwalter dieser Liste unter der Adresse

    aai-users-owner at aai.dfn.de

erreichen.

Wenn Sie antworten editieren bitte Sie die Betreffzeile auf einen sinnvollen
Inhalt der spezifischer ist als "Re: Contents of Aai-users digest..."


Meldungen des Tages:

   1. LDAPS AD Erfahrungen? (Oziminski, Simon)
   2. Re: LDAPS AD Erfahrungen? (Jürgen Brauckmann)
   3. Erinnerung: TLS 1.0/1.1-Abkündigung und Sirtfi (Silke Meyer)


----------------------------------------------------------------------

Message: 1
Date: Wed, 26 Feb 2020 07:16:17 +0000
From: "Oziminski, Simon" <s.oziminski at dshs-koeln.de>
To: "aai-users at aai.dfn.de" <aai-users at aai.dfn.de>
Subject: LDAPS AD Erfahrungen?
Message-ID: <63c86e75b67c458481c82ddf85dae387 at dshs-koeln.de>
Content-Type: text/plain; charset="utf-8"

Liebe AAI-Nutzer(innen),

ich wollte kurz nachfragen, ob es Erfahrungen mit der Anbindung ans AD über
LDAPS gibt, da Microsoft LDAP nicht mehr unterstützen wird.

Wir bekommen im DC den Fehlereintrag " Algorithmus passt nicht". Bei den
meisten Systemen funktioniert es bisher nicht. 

Bei einigen jedoch schon.

Muss etwas spezielles am Root CA Zertifikat beachtet werden für LDAPS?

Ich habe es schon über die Packet Verwaltung ins Debian geladen, in den
Tomcat Keystore und unter /etc/ssl/certs/... hinterlegt.

Leider ohne Erfolg.

Vielleicht kann da jemand helfen.

Besten Dank schon mal.

Mit freundlichem Gruß

Simon Oziminski
Abteilung  ? IT Infrastruktur und Betrieb ze.IT ? Zentrale Betriebseinheit
für Informationstechnologie Deutsche Sporthochschule Köln Am Sportpark
Müngersdorf 6
50933 Köln

Telefon:  +49(0)221 4982 ? 8711
s.oziminski at dshs-koeln.de

-------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten
wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 6360 bytes
Beschreibung: nicht verfügbar
URL         :
<http://listserv.aai.dfn.de/pipermail/aai-users/attachments/20200226/d8c6cfc
2/attachment-0001.bin>

------------------------------

Message: 2
Date: Wed, 26 Feb 2020 09:00:29 +0100
From: Jürgen Brauckmann <brauckmann at dfn-cert.de>
To: aai-users at aai.dfn.de
Subject: Re: LDAPS AD Erfahrungen?
Message-ID: <c76b1768-0457-371f-eacc-5e33ebd61777 at dfn-cert.de>
Content-Type: text/plain; charset=utf-8

Hallo!

Am 26.02.20 um 08:16 schrieb Oziminski, Simon:
> Liebe AAI-Nutzer(innen),
> 
> ich wollte kurz nachfragen, ob es Erfahrungen mit der Anbindung ans AD
über LDAPS gibt, da Microsoft LDAP nicht mehr unterstützen wird.
> 
> Wir bekommen im DC den Fehlereintrag " Algorithmus passt nicht". Bei den
meisten Systemen funktioniert es bisher nicht. 

Aus der PKI- (nicht Microsoft AD-) Praxis würde ich da in einem ersten
Schritt folgendermaßen ran gehen:

- CA- und AD-Zertifikat anschauen:
   * Schlüssel >= 2048 Bit (für RSA)
   * Hash-Algorithmus SHA256 (nicht MD5 oder SHA-1).

Falls nicht, gibt es diverse Anleitungen zum Umstellen der internen CA auf
SHA256, z.B.
https://www.frankysweb.de/migration-stammzertifizierungsstelle-sha1-zu-sha25
6-hashalgorithmus/
Wie relevant diese Anleitungen noch sind, entzieht sich aber leider meiner
Kenntnis.


- Manueller Test vom TLS-Verbindungsaufbau von einem Linux-System aus:
 openssl s_client -connect <ad-hostname>:636

Wenn erfolgreich, sieht man viel TLS-Protokoll-Output und das Kommando
wartet auf LDAP-Kommunikation. Wenn nicht, müsste da irgendwo "error"
stehen und möglicherweise eine Ursache.


> Ich habe es schon über die Packet Verwaltung ins Debian geladen, in
den Tomcat Keystore und unter /etc/ssl/certs/... hinterlegt.

Als Ergänzung: Nach Ablage der Datei in /etc/ssl/certs muss üblicherweise
nochmal c_rehash /etc/ssl/certs aufgerufen werden, um die berüchtigten
openssl Hash-Links zu erzeugen. Die dort abgelegten Dateien dürfen nicht
rein binär sein, sondern müssen im "PEM"-Format sein, also mit -----BEGIN
CERTIFICATE und in Base64 Kodierung.

Viele Grüße
   Jürgen Brauckmann

--
Dipl.-Inform. Jürgen Brauckmann (PKI Team)

https://blog.pki.dfn.de

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-580
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Nagelsweg 41, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski


------------------------------

Message: 3
Date: Wed, 26 Feb 2020 10:09:49 +0100
From: Silke Meyer <smeyer at dfn.de>
To: aai-users at aai.dfn.de, aai-announce at aai.dfn.de
Subject: Erinnerung: TLS 1.0/1.1-Abkündigung und Sirtfi
Message-ID: <02ddcb51-0daa-7f75-e2b0-797457f9d2ba at dfn.de>
Content-Type: text/plain; charset="utf-8"; Format="flowed"

Liebe Kolleg*innen,

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
tldr;
TLS 1.0 und 1.1 fliegen bald aus den Browsern.
Wer diese Protokollversionen in der DFN-AAI nach Ende März noch spricht,
verliert das Sirtfi Entity Attribut.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

die großen Browserhersteller hatten bereits 2018 angekündigt, dass sie im
Laufe des Jahres 2020 die Protokolle TLS 1.0 und TLS 1.1 nicht mehr
unterstützen werden.[1] Nun ist es bald soweit: Bis Mitte des Jahres werden
Microsoft IE und Edge, Mozilla Firefox, Safari/Webkit und Google Chrome das
umgesetzt haben. Die empfohlenen Protokollversionen sind TLS
1.2 und 1.3.

Bitte stellen Sie rechtzeitig sicher, dass Ihre (Web-)Server entsprechend
konfiguriert sind. Für ganz Eilige hat Mozilla den interaktiven
SSL-Configuration Generator aktualisiert.[2] Darüber hinaus empfiehlt es
sich natürlich, in der aktuellen SSL-Dokumentation der jeweils eingesetzten
Software nachzulesen.

Für die DFN-AAI ist dies noch aus einem speziellen Grund relevant: Wir
vergeben das *Sirtfi* Entity Attribut für einen informierten Umgang mit
Sicherheitsvorfällen [3] aufgrund von drei Kriterien. Eins davon ist eine
A-Bewertung bei SSLLabs [4] für die Webserver-Konfiguration am IdP/SP.
SSLLabs vergibt ab Ende Januar keine A-Bewertung mehr für Server, die TLS
1.0 und TLS 1.1 unterstützen.[5] TLS 1.3 wird nicht zwingend erwartet, aber
TLS 1.2.

*WICHTIG*: Wenn Sie das Sirtfi Entity Attribut tragen, sorgen Sie bitte bis
zum 31.03.2020 dafür, dass Sie dann wieder eine aktuelle A-Bewertung
erhalten.

Bei Fragen stehen wir wie immer an der AAI-Hotline zur Verfügung
(hotline at aai.dfn.de oder vormittags unter der +49 711 63314-215).

Viele Grüße aus dem AAI-Team,
Silke Meyer

[1]
https://www.feistyduck.com/bulletproof-tls-newsletter/issue_46_the_end_of_tl
s_1_0_and_1_1
[2] https://ssl-config.mozilla.org/
[3] https://doku.tid.dfn.de/de:aai:incidentresponse
[4] https://www.ssllabs.com/ssltest/
[5]
https://blog.qualys.com/ssllabs/2018/11/19/grade-change-for-tls-1-0-and-tls-
1-1-protocols

--
---------------------------------------------------------------------
Silke Meyer                            Phone  : +49 30 884299-306
DFN-Verein                             Fax    : +49 30 884299-370
Alexanderplatz 1                       E-Mail : smeyer at dfn.de
D-10178 Berlin                         WWW    : http://www.dfn.de
---------------------------------------------------------------------
--------------------- Deutsches Forschungsnetz ----------------------
--------- Germany's National Research and Education Network ---------
---------------------------------------------------------------------


-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 5405 bytes
Beschreibung: S/MIME Cryptographic Signature
URL         :
<http://listserv.aai.dfn.de/pipermail/aai-users/attachments/20200226/c8918dc
f/attachment.bin>

------------------------------

Subject: Fusszeile der Nachrichtensammlung

_______________________________________________
Aai-users mailing list
Aai-users at aai.dfn.de
https://listserv.aai.dfn.de/mailman/listinfo/aai-users


------------------------------

Ende Aai-users Nachrichtensammlung, Band 73, Eintrag 2
******************************************************
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 6360 bytes
Beschreibung: nicht verfügbar
URL         : <http://listserv.aai.dfn.de/pipermail/aai-users/attachments/20200226/02acd560/attachment.bin>


Mehr Informationen über die Mailingliste Aai-users