Manager SSL/TLS Wechsel

  1. letzte Woche

    Kubwa

    Hyper-Muskelrüde
    Bearbeitet vor 3 Tagen von Kubwa

    EDIT: Ich habe die in Powershell auszuführenden Befehle ergänzt. Wenn ihr die schon ausgeführt habt, tut das bitte noch einmal.

    Guten Morgen alle zusammen.

    Ich habe die letzten Tage an einer großen Änderung im Webserver des Managers gearbeitet. Die OpenSSL Bibliotheken, die ich genutzt habe, sind mittlerweile End-Of-Life. Das bedeutet, es wird nicht mehr empfohlen sie zu nutzen.
    Da es auf dem Markt keinen lizenzfreien .Net basierenden OpenSSL Wrapper für die aktuellen OpenSSL Versionen gibt, bin ich kurzerhand auf den in .Net integrierten SSL Stream/Server umgestiegen.

    Das Problem: Der in .Net integrierte SSL Stream nutzt die Sicherheitseinstellungen von Windows. Die sind, je nach Windows Version, .Net Version und Updatestand des Systems, unterschiedlich.
    Um dennoch bei allen eine hohe Transportsicherheit zu gewährleisten, müssen drei Dinge getan werden:

    1. ICH muss die Mindestanforderungen für den Manager von Windows 7 auf mindestens Windows 8.1 anheben. Das ist für euch erst einmal nicht relevant.

    2. IHR müsst in der Windows Powershell Befehle ausführen. Eine Anleitung dazu werde ich auch beim Update später noch bereitstellen.
    Öffnet hierzu das Windows Menü und tippt "powershell" ein:
    -image-

    Macht auf die powershell Datei dann einen Rechtsklick und wählt "Als Administrator ausführen":
    -image-

    Anschließend öffnet sich ein Konsolenfenster:
    -image-

    In dieses Konsolenfenster kopiert ihr jetzt den unten stehenden Kram herein. Ihr könnt alles auf einmal rein kopieren. Drückt dann noch einmal Enter.

    Rote Meldungen sind völlig normal und sagen aus, dass diese unsichere Verschlüsselung bereits nicht mehr bei euch vorhanden ist.

    Enable-TlsCipherSuite -Name "TLS_PSK_WITH_AES_256_GCM_SHA384"
    Enable-TlsCipherSuite -Name "TLS_PSK_WITH_AES_128_GCM_SHA256"
    Enable-TlsCipherSuite -Name "TLS_DHE_RSA_WITH_AES_128_GCM_SHA256"
    Enable-TlsCipherSuite -Name "TLS_DHE_RSA_WITH_AES_256_GCM_SHA384"
    Enable-TlsCipherSuite -Name "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"
    Enable-TlsCipherSuite -Name "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384"
    Enable-TlsCipherSuite -Name "TLS_RSA_WITH_AES_256_GCM_SHA384"
    Enable-TlsCipherSuite -Name "TLS_RSA_WITH_AES_128_GCM_SHA256"
    Disable-TlsCipherSuite -Name "TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384"
    Disable-TlsCipherSuite -Name "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256"
    Disable-TlsCipherSuite -Name "TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA"
    Disable-TlsCipherSuite -Name "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA"
    Disable-TlsCipherSuite -Name "TLS_DHE_RSA_WITH_AES_256_CBC_SHA"
    Disable-TlsCipherSuite -Name "TLS_DHE_RSA_WITH_AES_128_CBC_SHA"
    Disable-TlsCipherSuite -Name "TLS_RSA_WITH_AES_256_CBC_SHA256"
    Disable-TlsCipherSuite -Name "TLS_RSA_WITH_AES_128_CBC_SHA256"
    Disable-TlsCipherSuite -Name "TLS_RSA_WITH_AES_256_CBC_SHA"
    Disable-TlsCipherSuite -Name "TLS_RSA_WITH_AES_128_CBC_SHA"
    Disable-TlsCipherSuite -Name "TLS_RSA_WITH_3DES_EDE_CBC_SHA"
    Disable-TlsCipherSuite -Name "TLS_DHE_DSS_WITH_AES_256_CBC_SHA256"
    Disable-TlsCipherSuite -Name "TLS_DHE_DSS_WITH_AES_128_CBC_SHA256"
    Disable-TlsCipherSuite -Name "TLS_DHE_DSS_WITH_AES_256_CBC_SHA"
    Disable-TlsCipherSuite -Name "TLS_DHE_DSS_WITH_AES_128_CBC_SHA"
    Disable-TlsCipherSuite -Name "TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA"
    Disable-TlsCipherSuite -Name "TLS_RSA_WITH_RC4_128_SHA"
    Disable-TlsCipherSuite -Name "TLS_RSA_WITH_RC4_128_MD5"
    Disable-TlsCipherSuite -Name "TLS_RSA_WITH_NULL_SHA256"
    Disable-TlsCipherSuite -Name "TLS_RSA_WITH_NULL_SHA"
    Disable-TlsCipherSuite -Name "TLS_PSK_WITH_AES_256_CBC_SHA384"
    Disable-TlsCipherSuite -Name "TLS_PSK_WITH_AES_128_CBC_SHA256"
    Disable-TlsCipherSuite -Name "TLS_PSK_WITH_NULL_SHA384"
    Disable-TlsCipherSuite -Name "TLS_PSK_WITH_NULL_SHA256"

    3. IHR solltet schon einmal .Net 4.8 installieren. Es kann sein, das es bei euch bereits installiert ist. Um sicher zu gehen installiert es einfach noch einmal:
    https://files.kubwa.dog/opensimmanager/files/dotNet48Inst.exe

    Habt ihr das alles, seid ihr für das kommende Update gut vorbereitet.

    Diese Schritte müsst ihr leider selber ausführen! Ich kann sie nicht im Updateprozess machen, weil mir dort die Adminrechte fehlen.

    Die obigen Änderungen brauchen keinen Server Neustart!

  2. Seit dem Update ist leider der Moneyserver inaktiv!

  3. Kubwa

    Hyper-Muskelrüde

    Es gab noch kein Update.
    Warum das Geld bei dir nicht funktioniert müsste ich mir angucken. Da gibts auch Log Dateien zu. Kann man ja heute Abend mal gucken.

  4. @Kubwa Es gab noch kein Update.
    Warum das Geld bei dir nicht funktioniert müsste ich mir angucken. Da gibts auch Log Dateien zu. Kann man ja heute Abend mal gucken.

    Also angeblich wird das Geld auf den Accounts richtig angezeigt aber im Firestorm steht Null bei Servex ist das gleiche. Update von Windows!

  5. Kubwa

    Hyper-Muskelrüde

    @Mick Florido Also angeblich wird das Geld auf den Accounts richtig angezeigt aber im Firestorm steht Null bei Servex ist das gleiche. Update von Windows!

    Hat sich geklärt. Das Limit für Guthaben ist ein 32bit Integer. Folgend ist kein Guthaben von mehr als 2,1 milliarden möglich.

  6. Bearbeitet letzte Woche von Mick Florido

    kurze Rückmeldung: Nach den Framework und Open SSL Änderungen (hat nichts mit dem Manager zu tun) scheint die Moneysache noch immer zu spinnen (weiterhin 0 nach Gridneustart) und am Hochladen der Bilder hat sich auch was geändert anscheinend. Vielleicht können wir da mal schnattern. Lg Mick (keine Angst Leute solange ihr nichts macht passiert auch nix)

  7. @Mick Florido kurze Rückmeldung: Nach den Framework und Open SSL Änderungen (hat nichts mit dem Manager zu tun) scheint die Moneysache noch immer zu spinnen (weiterhin 0 nach Gridneustart) und am Hochladen der Bilder hat sich auch was geändert anscheinend. Vielleicht können wir da mal schnattern. Lg Mick (keine Angst Leute solange ihr nichts macht passiert auch nix)

    Danke für die schnelle Lösung aus der Ferne Kubwa!

  8. vor 3 Tagen

    Kubwa

    Hyper-Muskelrüde

    Um zu prüfen, ob ihr erfolgreich die im Eingangspost beschriebenen Schritte ausgeführt habt, könnt ihr nach dem Manager Update auf 2.8.3 auf folgende Seite gehen und eure Gridadresse (nur den Hostnamen) eingeben.
    https://www.ssllabs.com/ssltest/

    Ist alles erfolgreich gewesen, erhaltet ihr ein saftig grünes A Rating.

  9. Kubwa

    Hyper-Muskelrüde

    @Mick Florido Danke für die schnelle Lösung aus der Ferne Kubwa!

    Zur Transparenz, was das Problem war:
    Ich habe zwei Cipher Suits deaktiviert, die nicht 100% sicher sind. Im Ausgangspost habe ich ergänzt, das sie aktiviert werden/bleiben. Diese Ciphers werden gebraucht um alte TLS Versionen zu unterstützen.
    Die Ciphers können durchaus noch genutzt werden, sie sind aber nicht mehr state of the art und können in naher oder ferner Zukunft gebrochen werden. Sollte das passieren, gebe ich hier im Forum noch einmal Anweisungen, was zu tun ist.

 

oder registriere Dich, um zu antworten!