<!DOCTYPE html>
<html>
<head>
<meta http-equiv="content-type" content="text/html; charset=UTF-8">
</head>
<body>
<p>Hallo zusammen,</p>
<p>eigentlich hätte ich gedacht, dass ich ein ausreichendes
Verständnis von SSL habe, aber anscheinend doch nicht. Auch meine
Suchen im Internet haben keine Lösung gebracht.<br>
</p>
<p>Seit dem letzten automatischen ACME/Let's
Encrypt-Zertifikatsupdate wird das Zertifikat nicht mehr als
gültig akzeptiert.</p>
<p>Hat jemand eine Idee?<br>
</p>
<p>Ich habe:</p>
<p>- cert.pem: das Zertifikat, signiert von "C = US, O = Let's
Encrypt, CN = R10"<br>
- intermediate.pem, das Zertifikat für "C = US, O = Let's Encrypt,
CN = R10"<br>
</p>
<pre><span style="font-family:monospace"><span
style="color:#000000;background-color:#ffffff;">$ openssl verify -show_chain intermediate.pem
</span>intermediate.pem: OK
Chain:
depth=0: C = US, O = Let's Encrypt, CN = R10 (untrusted)
depth=1: C = US, O = Internet Security Research Group, CN = ISRG Root X1</span></pre>
<pre><span style="font-family:monospace"></span></pre>
<p> Soweit so gut.</p>
<p><span style="font-family:monospace"><span
style="color:#000000;background-color:#ffffff;"># openssl
verify -show_chain -untrusted inter</span>mediate.pem cert.pem
<br>
cert.pem: OK <br>
Chain: <br>
depth=0: CN = gehetzt-1.goe-con.de (untrusted) <br>
depth=1: C = US, O = Let's Encrypt, CN = R10 (untrusted) <br>
depth=2: C = US, O = Internet Security Research Group, CN = ISRG
Root X1<br>
</span></p>
<p>Schaut auch nicht schlecht aus.</p>
<p>Als Zertifikatsfile, dass der Server ausliefern soll, habe ich
cert_intermediate_dhparam.pem eingestellt.</p>
<pre>$ cat cert.pem intermediate.pem > cert_intermediate.pem
$ cat cert_intermediate.pem dhparam.pem > <span
style="font-family:monospace"><span
style="color:#000000;background-color:#ffffff;">cert_intermediate_dhparam.pem
</span></span><span style="font-family:monospace"><span
style="color:#000000;background-color:#ffffff;">$ openssl verify -show_chain cert_intermediat</span>e.pem
CN = gehetzt-1.goe-con.de
error 20 at 0 depth lookup: unable to get local issuer certificate
error cert_intermediate.pem: verification failed</span></pre>
<pre><span style="font-family:monospace"></span></pre>
<p>Bemerkenswert könnte noch sein, dass der Zertifizierte Schlüssel
ein RSA-Key ist, "R10" aber einen <span
style="font-family:monospace">ECDSA verwendet<br>
</span> </p>
<div class="moz-signature">-- <br>
<span style="color:black"> Schönen Gruß <br>
Hartmut Goebel <br>
</span> <span style="font-size:smaller">Dipl.-Informatiker
(univ), CISSP, CSSLP, ISO 27001 Lead Implementer</span><br>
<span style="font-size:smaller">Information Security Management,
Security Governance, Secure Software Development</span>
<p style="color:black" lang="de"> Goebel Consult, Landshut <br>
<a style="color:black" href="http://www.goebel-consult.de"
class="moz-txt-link-freetext" moz-do-not-send="true">http://www.goebel-consult.de</a>
</p>
<p style="color:grey;font-size:smaller"> Blog: <a
style="color:grey !important;text-decoration:none !important"
href="https://www.goebel-consult.de/blog/2019/geht-waehlen/"
class="moz-txt-link-freetext" moz-do-not-send="true">https://www.goebel-consult.de/blog/2019/geht-waehlen/</a>
<br>
Kolumne: <a
style="color:grey !important;text-decoration:none !important"
href="https://www.goebel-consult.de/blog/cissp-gefluester/2011-09-kommerz-ueber-recht-fdp-die-gefaellt-mir-partei/"
class="moz-txt-link-freetext" moz-do-not-send="true">https://www.goebel-consult.de/blog/cissp-gefluester/2011-09-kommerz-ueber-recht-fdp-die-gefaellt-mir-partei/</a>
</p>
</div>
</body>
</html>