GetIt Package-Manager hinter Firewall mit eigenen Zertifikaten?
Hallo zusammen,
ich habe ein Problem mit meiner Delphi 10.1.2 Berlin-Version. Unsere IT hat eine Firewall in Betrieb, welche mit eigenen Zertifikaten daher kommt. Der Internet-Explorer und mein Firefox funktionieren mit den Zertifikaten prima. HTTPS-Seiten lassen sich ohne Probleme aufrufen. (Okay, Seiten wie z.B. Facebook sind gesperrt, sollte aber nichts damit zu tun haben) Starte ich GetIt aus Delphi heraus, erscheint nur "Suche wird durchgeführt" und nach einiger Zeit "Der Embarcadero GetIt-Server konnte nicht" und darunter "Failed to verify server certificate". Mit Hilfe von Wireshark habe ich heraus bekommen, dass GetIt aich versucht Daten per https zu erhalten, welches aber nicht gelingt. Wireshark zeigt mir unter anderem ein Datenpaket "Encrypted Alert". Daher vermute ich, dass es mit dem Zertifikat zusammen hängt. Wie kann ich GetIt as Zertifikat mitteilen, damit ich GetIt nutzen kann? |
AW: GetIt Package-Manager hinter Firewall mit eigenen Zertifikaten?
Hast Du hier (http://www.delphipraxis.net/185166-g...-firewall.html) schon nachgelesen? Meine Sophos meckert GetIt nicht an, aber eventuell bin ich auch etwas liberaler als Deine IT.
Sherlock |
AW: GetIt Package-Manager hinter Firewall mit eigenen Zertifikaten?
SSL-Interception ist ein zeischneidiges Schwert. (Imho sogar sehr bedenklich da MIDM -> Sicherheitsrisiko!).
Im Browser funktioniert das, da dieser den Ersatzzertifikaten der Firewall traut. GetIT wohl nicht. |
AW: GetIt Package-Manager hinter Firewall mit eigenen Zertifikaten?
Vielen Dank für Eure Antworten.
Zitat:
Zitat:
|
AW: GetIt Package-Manager hinter Firewall mit eigenen Zertifikaten?
Ich würde Eure IT bitten, den Server zu den Ausnahmen hinzuzufügen.
|
AW: GetIt Package-Manager hinter Firewall mit eigenen Zertifikaten?
GetIt verwendet anscheinend einen eigenen Zertifikatsspeicher. Ich hatte dieses Problem mit Android Studio, das glücklicherweise beim ersten Versuch über unsere Firewall HTTPS Anfragen auszuführen, die Installation des Firewall-Zertifikats über einen Dialog erlaubte.
Innerhalb von Android Studio arbeite ich dann aber mit dem Standard Gradle Plugin, das ebenfalls HTTPS Anfragen auf Source-Repositories macht. Und das liess sich leider nicht dahingehend motivieren, die von der Firewall erstellten Zertifikate zu akzeptieren. Letztendlich habe ich Gradle dann so konfiguriert, dass es versucht die Repositories über HTTP anzusprechen, was bisher auch funktioniert. Bei GetIt wäre ich aufgeschmissen, wenn ich weder die eigenen Zertifikate hinzufügen, noch auf HTTP umstellen könnte. Zum Glück (?) arbeiten wir noch mit einer alten Delphi Version. |
AW: GetIt Package-Manager hinter Firewall mit eigenen Zertifikaten?
GetIt ist doch kein Muss, oder? Ich meine, die Komponenten kann man alle auch anderweitig installieren.
Sherlock |
AW: GetIt Package-Manager hinter Firewall mit eigenen Zertifikaten?
Zitat:
|
AW: GetIt Package-Manager hinter Firewall mit eigenen Zertifikaten?
*Schluck*
Ich habe nichts über GetIt bezogen, und Installiert hab ich mein Delphi über eine ISO. Verkauft hab ich meine Software dennoch, bin ich jetzt in Schwierigkeiten? Sherlock |
AW: GetIt Package-Manager hinter Firewall mit eigenen Zertifikaten?
Zitat:
|
AW: GetIt Package-Manager hinter Firewall mit eigenen Zertifikaten?
Aaaah, OK :D
Alles klar. Sorry 4 OT Sherlock |
AW: GetIt Package-Manager hinter Firewall mit eigenen Zertifikaten?
BTT: Und eventuell als Denkanstoß an die IT: https://www.heise.de/newsticker/meld...g-3587871.html
;) Sherlock |
AW: GetIt Package-Manager hinter Firewall mit eigenen Zertifikaten?
Zitat:
;) |
AW: GetIt Package-Manager hinter Firewall mit eigenen Zertifikaten?
Zitat:
Kleines Anekdötchen am Rande: Die Briefkästen im Haus meiner Wohnung sind hinter der Haustür, so daß die Post einen Hausschlüssel bekommen hat. Sonst müßte der Briefträger immer klingeln. Sherlock |
AW: GetIt Package-Manager hinter Firewall mit eigenen Zertifikaten?
Zitat:
Was per HTTP übertragen wird, ist sowieso scanbar. Wenn die IT dann auf Wunsch manche HTTPS Verbindungen ohne Virenscan durchläßt, wäre die Firewall löchrig wie ein Schweizer Käse. |
AW: GetIt Package-Manager hinter Firewall mit eigenen Zertifikaten?
Wenn man bedenkt, daß die Definitionsdateien zu jeder Zeit veraltet sind, ist ein Schutz dieser Art inhärent unzuverlässig. Ich finde es da dann schon deutlich sinnvoller zB Flash und "bad sites" zu blockieren und Mails zu scannen. Damit erwischt man 95% von allem Blödsinn, und hält die Belegschaft nicht von der Arbeit ab. Gepaart mit per WSUS aktuell gehaltenen Clients und ordentlichen Backups dreht die IT in der Regel nur noch Däumchen.
Man kann Firewalls beliebig restriktiv konfigurieren, genauso wie man beliebig komplexe Passwortrichtlinien einrichten kann. Im Betrieb siegt der Faktor Mensch: Zu restriktive Firewalls führen zu nervenden, dauernden Anfragen bei der IT, die irgendwann kapituliert; zu restriktive Passwörter zu PostIts. Und wie bereits geschrieben, diese https-Proxies sind auch nicht das gelbe vom Ei. Aber das sind alles persönliche Meinungen, die vermutlich weit vom Topic entfernt sind. Sorry dafür. Sherlock |
AW: GetIt Package-Manager hinter Firewall mit eigenen Zertifikaten?
Eigentlich sollte es die Aufgabe der IT sein, den Mitarbeitern ein reibungsloses Arbeiten zu ermöglichen und das System gegen Angriffe zu schützen. Leider stelle ich immer wieder fest, daß lediglich auf Letzteres Wert gelegt wird und Ersteres sich dem gefälligst unterzuordnen hat.
|
AW: GetIt Package-Manager hinter Firewall mit eigenen Zertifikaten?
Ich wollte jetzt hier keine Grundsatzdiskussion auslösen ;-)
Habe endlich jemanden von der IT erreicht und er hat die Ausnahme in den Firewall-Regeln hinzugefügt. Jetzt funktioniert alles bestens. Vielen Dank an alle! Gruß, Rainer |
Alle Zeitangaben in WEZ +1. Es ist jetzt 04:31 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz