[sage] [DaLUG] SSL-Problem: unable to get local issuer certificate
Erwin Hoffmann
feh at fehcom.de
Thu Aug 1 18:29:22 CEST 2024
Hallo Hartmut,
alles soweit ok, nur der dhparam file hat mit der X.509 Cert GAR NICHTS
zu tun. Eigentlich gibt es auch kein DLog DH mehr:
Am Donnerstag, dem 01.08.2024 um 18:09 +0200 schrieb Hartmut Goebel:
> Hallo zusammen,
> eigentlich hätte ich gedacht, dass ich ein ausreichendes Verständnis
> von SSL habe, aber anscheinend doch nicht. Auch meine Suchen im
> Internet haben keine Lösung gebracht.
> Seit dem letzten automatischen ACME/Let's Encrypt-Zertifikatsupdate
> wird das Zertifikat nicht mehr als gültig akzeptiert.
> Hat jemand eine Idee?
> Ich habe:
> - cert.pem: das Zertifikat, signiert von "C = US, O = Let's Encrypt,
> CN = R10"
> - intermediate.pem, das Zertifikat für "C = US, O = Let's Encrypt,
> CN = R10"
> $ openssl verify -show_chain intermediate.pem
> intermediate.pem: OK
> Chain:
> depth=0: C = US, O = Let's Encrypt, CN = R10 (untrusted)
> depth=1: C = US, O = Internet Security Research Group, CN = ISRG Root
> X1
> Soweit so gut.
> # openssl verify -show_chain -untrusted intermediate.pem cert.pem
> cert.pem: OK
> Chain:
> depth=0: CN = gehetzt-1.goe-con.de (untrusted)
> depth=1: C = US, O = Let's Encrypt, CN = R10 (untrusted)
> depth=2: C = US, O = Internet Security Research Group, CN = ISRG
> Root X1
> Schaut auch nicht schlecht aus.
> Als Zertifikatsfile, dass der Server ausliefern soll, habe ich
> cert_intermediate_dhparam.pem eingestellt.
--- Hier gehts los:
> $ cat cert.pem intermediate.pem > cert_intermediate.pem
Ok. Zertifikatskette.
> $ cat cert_intermediate.pem dhparam.pem >
> cert_intermediate_dhparam.pem
Das ist schlicht falsch. Du kannst und darfst den dhparam File nicht an
das Cert konkatinieren.
Evtl. unterstützt Deine Implementierung noch DLog DH, dann brauchst Du
das File dafür. Alle Dateien kannst Du wunderbar mit dem vi anschauen.
Dann siehst Du was Du bekommst.
mfg.
--eh.
> $ openssl verify -show_chain cert_intermediate.pem
> CN = gehetzt-1.goe-con.de
> error 20 at 0 depth lookup: unable to get local issuer certificate
> error cert_intermediate.pem: verification failed
> Bemerkenswert könnte noch sein, dass der Zertifizierte Schlüssel ein
> RSA-Key ist, "R10" aber einen ECDSA verwendet
> _______________________________________________
> SAGE mailing list
> SAGE at guug.de
> https://lists.guug.de/cgi-bin/mailman/listinfo/sage
--
Dr. Erwin Hoffmann | www.fehcom.de
PGP key-id: 20FD6E671A94DC1E
PGP key-fingerprint: 8C6B 155B 0FDA 64F1 BCCE A6B9 20FD 6E67 1A94 DC1E
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 488 bytes
Desc: This is a digitally signed message part
URL: <http://lists.guug.de/pipermail/sage/attachments/20240801/13c1a7a9/attachment.sig>
More information about the SAGE
mailing list