Changes for page STARFACE

Last modified by Sebastian Marsching on 2026/04/10 12:57

Manage
- Copy
Actions
- Export
- Print Preview
Viewers
- Source
- Children
- Content
- Comments
- Attachments (4)
- History
- Information
- Likes

From 3.1 to 2.1 From 12.1 to 11.1

From version 11.1

edited by Sebastian Marsching
on 2026/04/10 12:54

Change comment: There is no comment for this version

To version 3.1

edited by Sebastian Marsching
on 2022/04/03 23:04

Change comment: Neuen Anhang ISDNUmleitung_v91.sfm hochladen

Raw
Rendered

Summary

Page properties (1 modified, 0 added, 0 removed)
Attachments (0 modified, 0 added, 2 removed)
- ISDNUmleitung_v89.sfm
- ISDNUmleitung_v92.sfm

Details

Page properties

Content

@@ -21,10 +21,10 @@
  Das Modul wird kostenlos zur Verfügung gestellt, entsprechend gibt es keine Gewähr für korrekte Funktionsweise und die Nutzung erfolgt auf eigene Gefahr. Es wird unter den Bedingungen der [GNU General Public License Version 3](http://www.gnu.org/licenses/lgpl.html) zur Verfügung gestellt.
--* [[ISDNUmleitung_v92.sfm|attach:ISDNUmleitung_v92.sfm]] (für STARFACE ab Version 6.4.2)
--* [[ISDNUmleitung_v91.sfm|attach:ISDNUmleitung_v91.sfm]] (für STARFACE ab Version 6.1)
--* [[ISDNUmleitung_v89.sfm|attach:ISDNUmleitung_v89.sfm]] (für STARFACE ab Version 5.1)
--* [[ISDNUmleitung_v88.sfm|attach:ISDNUmleitung_v88.sfm]] (für ältere STARFACE Versionen)
++* [ISDNUmleitung_v92.sfm](https://sebastian.marsching.com/wiki/Netzwerk/STARFACE?action=AttachFile&do=view&target=ISDNUmleitung_v92.sfm) (für STARFACE ab Version 6.4.2)
++* [ISDNUmleitung_v91.sfm](https://sebastian.marsching.com/wiki/Netzwerk/STARFACE?action=AttachFile&do=view&target=ISDNUmleitung_v91.sfm) (für STARFACE ab Version 6.1)
++* [ISDNUmleitung_v89.sfm](https://sebastian.marsching.com/wiki/Netzwerk/STARFACE?action=AttachFile&do=view&target=ISDNUmleitung_v89.sfm) (für STARFACE ab Version 5.1)
++* [ISDNUmleitung_v88.sfm](https://sebastian.marsching.com/wiki/Netzwerk/STARFACE?action=AttachFile&do=view&target=ISDNUmleitung_v88.sfm) (für ältere STARFACE Versionen)
  # QEMU Guest Agent installieren
@@ -56,67 +56,4 @@
  # TLS-Zertifikat austauschen
--Das TLS-Zertifikat für Tomcat und der zugehörige private Schlüssel ist in einem Java-Keystore gespeichert.
--
--In älteren Versionen von STARFACE befindet sich dieser unter  `/usr/share/tomcat6/ssl/tomcat.keystore`, in neureren Versionen unter `/opt/tomcat/ssl/tomcat.keystore` **und** `/var/starface/tomcat/ssl/keystore.jks`.
--
--Das Passwort für den Keystore lautet „changeit“. Falls nicht nur ein neues Zertifikat hochgeladen werden soll (was über die Webserver-Oberfläche möglich ist), sondern auch der private Schlüssel ausgewechselt werden soll, kann diese Datei mit der Software [KeyStore Explorer](https://keystore-explorer.org/) bearbeitet werden.
--
--KeyStore Explorer kann leider nicht mit Zertifikaten und Schlüsseln im PEM-Format umgehen. Deshalb muss zunächst eine PKCS12-Datei mit dem Schlüsselpaar (Server-Zertikat, privater Schlüssel für Server-Zertifikat, ggf. Zertifikate von Zwischenzertifizierungsstellen) erstellt werden. Dies kann mit OpenSSL erfolgen:
--
--```bash
--openssl pkcs12 \
--  -in starface-cert.pem \
--  -inkey starface-privkey.pem \
--  -certfile intermediate-ca.pem \
--  -out starface.p12 \
--  -export
--```
--
--Beim Export muss ein Passwort angegeben werden. Dieses Passwort muss dann erneut beim Import in KeyStore Explorer angegeben werden.
--
--Der Eintrag muss in KeyStore Explorer unter dem Namen `tomcat` importiert werden. Ein ggf. schon vorhanderer Eintrag gleichen Namens kann ersetzt werden. Beim Import wird auch nach einem Passwort gefragt mit dem das importierte Schlüsselpaar geschützt werden soll. Dort muss das Passwort „changeit“ (das gleiche, dass auch den gesamten Key-Store schützt) angegeben werden.
--
--Falls sich das Zertifikat der Root-CA geändert hat, muss dieses ebenfalls unter dem Eintrag `root` importiert werden. Auch hier kann ein ggf. schon vorhandener Eintrag ersetzt werden. Um ein evtl. im PEM-Format vorhandenes Zertifikat der Root-CA zu importieren, muss dieses zunächst in das DER-Format umgewandelt werden:
--
--```bash
--openssl x509 \
--  -in root-ca.pem \
--  -out root-ca.cer \
--  -outform DER
--```
--
--# TLS-Zertifikate mit ECDSA-Schlüsseln
--
--Zur Zeit (STARFACE 8.1.1.1) unterstützt STARFACE keine Zertifikate mit ECDSA-Schlüsseln, d.h. es muss zwingend ein Zertifikat mit einem RSA-Schlüssel installiert werden.
--
--Der Grund liegt nicht in der Software selbst sondern in der Tomcat-Konfiguration der STARFACE: In der `ciphers`-Liste des TLS-Connectors werden nur RSA-basierte Cipher-Suites aufgelistet. Dies führt dazu, dass bei Verwendung eines ECDSA-basierten Zertifikats keine Verbindung hergestellt werden kann. In Firefox erhält man z.B. die Fehlermeldung `SSL_ERROR_NO_CYPHER_OVERLAP`.
--
--Ein temporärer Workaround liegt darin, sich per SSH auf der STARFACE einzuloggen und die Datei /opt/tomcat/conf/server.xml so zu bearbeiten, dass das `cipher`-Attribut des Connectors für Port 8081 zusätzlich die folgenden Cipher-Suites enthält:
--
--* TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
--* TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384
--* TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
--* TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256
--* TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
--* TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384
--* TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
--* TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256
--
--Je nach verwendetem Browser reicht wahrscheinlich auch nur die erste oder zweite Cipher-Suite.
--
--Anschließend muss Tomcat mit `systemctl restart tomcat.service` neugestartet werden. Nach erfolgreichem Neustart kann man sich wieder in der Administrationsoberfläche anmelden und das Zertifikat durch eines ersetzen, das einen RSA-Schlüssel verwendet.
--
--Den oben genannten Workaround dauerhaft zu verwenden empfiehlt sich eher nicht, da die hinzugefügten Cipher-Suites wieder entfernt werden, wenn STARFACE die Konfigurationsdatei neu schreibt. Dafür werden anscheinend die Templates in `/opt/tomcat/webapps/localhost/starface/WEB-INF/classes/de/vertico/starface/helpers/tomcat/https-connector-template.xml` und `/opt/tomcat/webapps/localhost/starface/WEB-INF/classes/de/vertico/starface/helpers/tomcat/provisioning-https-connector-template.xml` verwendet, d.h. man könnte prinzipiell diese Templates anpassen. Allerdings ist es sehr wahrscheinlich, dass diese Templates überschrieben werden, wenn die STARFACE-Version aktualisiert wird, d.h. eine solche Lösung würde regelmäßig manuelle Nacharbeiten erfordern. Einfach ein Zertifikat mit RSA-Schlüssel zu verwenden ist in dieser Hinsicht die einfachere Lösung. Dies funktioniert übrigens auch, wenn die übergeordnete CA selbst einen ECDSA-Schlüssel verwendet.
--
--# SIP-Verbindung mit STARFACE UCC-Client für Mac schlägt fehl
--
--Wenn die SIP-Verbindung des STARFACE UCC-Clients für Mac zur Telefonanlage fehlschlägt (es können keine Telefonnummer gewählt werden und in den Softphone-Einstellungen steht hinter „Softphone aktivieren“ die Meldung „Verbindung fehlgeschlagen“), kann es sich lohnen in die Log-Datei `~/Library/Logs/STARFACE/de.starface.starface-client.SIP-MSG.log` zu schauen.
--
--Wenn dort eine Meldung in der folgenden Art steht, kann das auf ein DNS-Problem hinweisen:
--
--> [Info] [SIP] [pjsua_0] [SIP:0]  > 12:20:52.432 _sips._tcp.starface.in  DNS A record resolution failed: DNS "Name Error" (PJLIB_UTIL_EDNS_NXDOMAIN)[Info] [SIP] [pjsua_0] [SIP:0]  > 12:20:52.433          sip_resolve.c  DNS A/AAAA record resolution failed: DNS "Name Error" (PJLIB_UTIL_EDNS_NXDOMAIN)[Warning] [SIP] [pjsua_0] [SIP:0]  > 12:20:52.433      tsx0x7fabf7942aa8  Failed to send Request msg REGISTER/cseq=6043 (tdta0x7fabf79700a8)! err=320053 (DNS "Name Error" (PJLIB_UTIL_EDNS_NXDOMAIN))[Error] [SIP] [pjsua_0] [SIP:0]  > 12:20:52.433            pjsua_acc.c  ..SIP registration failed, status=502 (DNS "Name Error" (PJLIB_UTIL_EDNS_NXDOMAIN))
--
--Das kann im Fall einer fehlerhaften DNS-Konfiguration auftreten, insofern der DNS-Name der STARFACE-Anlage nicht im öffentlichen DNS eingetragen ist, kann es aber auch daran liegen, dass für die Namensauflösung der falsche DNS-Server verwendet wird. Das passiert insbesondere dann, wenn die Verbindung zur STAFACE-Anlage über ein VPN hergestellt wird.
--
--In diesem Fall ist es hilfreich, in den Einstellung des Clients unter „Expertenmodus“ die Option `sipResolver` vom Standard-Wert `System Nameserver `auf `System Resolver` zu ändern und den Client neuzustarten. Durch die Verwendung des System-Resolvers werden domänenspezifische DNS-Server-Einstellung des VPN-Clients berücksichtigt, statt für alle Namen unabhängig von der Domäne den primären DNS-Server, der systemweit konfiguriert ist, zu verwenden.
++Das TLS-Zertifikat für Tomcat und der zugehörige private Schlüssel ist in Java-Keystore unter `/usr/share/tomcat6/ssl/tomcat.keystore` gespeichert. Das Passwort für den Keystore lautet „changeit“. Falls nicht nur ein neues Zertifikat hochgeladen werden soll (was über die Webserver-Oberfläche möglich ist), sondern auch der private Schlüssel ausgewechselt werden soll, kann diese Datei mit der Software [KeyStore Explorer](https://keystore-explorer.org/) bearbeitet werden.

ISDNUmleitung_v89.sfm

Author

...	...	@@ -1,1 +1,0 @@
1		-XWiki.SebastianMarsching

Size

...	...	@@ -1,1 +1,0 @@
1		-15.4 KB

Content

ISDNUmleitung_v92.sfm

Author

...	...	@@ -1,1 +1,0 @@
1		-XWiki.SebastianMarsching

Size

...	...	@@ -1,1 +1,0 @@
1		-15.4 KB

Content

Changes for page STARFACE

Summary

Details

Applications

Navigation

Need help?