[sage] [DaLUG] SSL-Problem: unable to get local issuer certificate

Hartmut Goebel h.goebel at goebel-consult.de
Thu Aug 1 18:09:06 CEST 2024 

Hallo zusammen,

eigentlich hätte ich gedacht, dass ich ein ausreichendes Verständnis von 
SSL habe, aber anscheinend doch nicht. Auch meine Suchen im Internet 
haben keine Lösung gebracht.

Seit dem letzten automatischen ACME/Let's Encrypt-Zertifikatsupdate wird 
das Zertifikat nicht mehr als gültig akzeptiert.

Hat jemand eine Idee?

Ich habe:

- cert.pem: das Zertifikat, signiert von "C = US, O = Let's Encrypt, CN 
= R10"
- intermediate.pem, das Zertifikat für "C = US, O = Let's Encrypt, CN = R10"

$ openssl verify -show_chain intermediate.pem intermediate.pem: OK 
Chain: depth=0: C = US, O = Let's Encrypt, CN = R10 (untrusted) depth=1: 
C = US, O = Internet Security Research Group, CN = ISRG Root X1

Soweit so gut.

# openssl verify -show_chain -untrusted intermediate.pem cert.pem
cert.pem: OK
Chain:
depth=0: CN = gehetzt-1.goe-con.de (untrusted)
depth=1: C = US, O = Let's Encrypt, CN = R10 (untrusted)
depth=2: C = US, O = Internet Security Research Group, CN = ISRG Root X1

Schaut auch nicht schlecht aus.

Als Zertifikatsfile, dass der Server ausliefern soll, habe ich 
cert_intermediate_dhparam.pem eingestellt.

$ cat cert.pem intermediate.pem > cert_intermediate.pem
$ cat cert_intermediate.pem dhparam.pem >cert_intermediate_dhparam.pem $ openssl verify -show_chain 
cert_intermediate.pem CN = gehetzt-1.goe-con.de error 20 at 0 depth 
lookup: unable to get local issuer certificate error 
cert_intermediate.pem: verification failed

Bemerkenswert könnte noch sein, dass der Zertifizierte Schlüssel ein 
RSA-Key ist, "R10" aber einen ECDSA verwendet

-- 
Schönen Gruß
Hartmut Goebel
Dipl.-Informatiker (univ), CISSP, CSSLP, ISO 27001 Lead Implementer
Information Security Management, Security Governance, Secure Software 
Development

Goebel Consult, Landshut
http://www.goebel-consult.de

Blog: https://www.goebel-consult.de/blog/2019/geht-waehlen/
Kolumne: 
https://www.goebel-consult.de/blog/cissp-gefluester/2011-09-kommerz-ueber-recht-fdp-die-gefaellt-mir-partei/ 

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.guug.de/pipermail/sage/attachments/20240801/0745209c/attachment.html>

More information about the SAGE mailing list