[sage] [DaLUG] SSL-Problem: unable to get local issuer certificate

Markus Weber mweber at markusweber.de
Thu Aug 1 18:32:14 CEST 2024 

Hallo Hartmut,

also der Webserver welcher gehetzt-1.goe-con.de ausliefert hat definitiv 
kein Zertifikat von Let's Encrypt.
Das Zertifikat ist von "Goebel Consult Certificate Authority" zertifiziert.

Ich weis ja nicht was du als Webserver benutzt und wie du es da 
eingebunden hast aber auf alle Fälle hast du ein Zertifikat dort 
eingebunden welches von deiner eigenen Zertifizierungsstelle signiert 
ist und nicht irgend eins von Let's Encrypt.

With kind regards / met vriendelijke groeten / mit freundlichen Grüßen / cordialement / 最友好的祝福 / التحيات أطيب مع /   با احترام / शुभकामनाओं सहित / בכבוד רב
Markus Weber
Frankfurt (Main) / Germany

Am 01.08.24 um 18:09 schrieb Hartmut Goebel:
>
> Hallo zusammen,
>
> eigentlich hätte ich gedacht, dass ich ein ausreichendes Verständnis 
> von SSL habe, aber anscheinend doch nicht. Auch meine Suchen im 
> Internet haben keine Lösung gebracht.
>
> Seit dem letzten automatischen ACME/Let's Encrypt-Zertifikatsupdate 
> wird das Zertifikat nicht mehr als gültig akzeptiert.
>
> Hat jemand eine Idee?
>
> Ich habe:
>
> - cert.pem: das Zertifikat, signiert von "C = US, O = Let's Encrypt, 
> CN = R10"
> - intermediate.pem, das Zertifikat für "C = US, O = Let's Encrypt, CN 
> = R10"
>
> $ openssl verify -show_chain intermediate.pem intermediate.pem: OK 
> Chain: depth=0: C = US, O = Let's Encrypt, CN = R10 (untrusted) 
> depth=1: C = US, O = Internet Security Research Group, CN = ISRG Root X1
>
> Soweit so gut.
>
> # openssl verify -show_chain -untrusted intermediate.pem cert.pem
> cert.pem: OK
> Chain:
> depth=0: CN = gehetzt-1.goe-con.de (untrusted)
> depth=1: C = US, O = Let's Encrypt, CN = R10 (untrusted)
> depth=2: C = US, O = Internet Security Research Group, CN = ISRG Root X1
>
> Schaut auch nicht schlecht aus.
>
> Als Zertifikatsfile, dass der Server ausliefern soll, habe ich 
> cert_intermediate_dhparam.pem eingestellt.
>
> $ cat cert.pem intermediate.pem > cert_intermediate.pem
> $ cat cert_intermediate.pem dhparam.pem >cert_intermediate_dhparam.pem $ openssl verify -show_chain 
> cert_intermediate.pem CN = gehetzt-1.goe-con.de error 20 at 0 depth 
> lookup: unable to get local issuer certificate error 
> cert_intermediate.pem: verification failed
>
> Bemerkenswert könnte noch sein, dass der Zertifizierte Schlüssel ein 
> RSA-Key ist, "R10" aber einen ECDSA verwendet
>
> -- 
> Schönen Gruß
> Hartmut Goebel
> Dipl.-Informatiker (univ), CISSP, CSSLP, ISO 27001 Lead Implementer
> Information Security Management, Security Governance, Secure Software 
> Development
>
> Goebel Consult, Landshut
> http://www.goebel-consult.de
>
> Blog: https://www.goebel-consult.de/blog/2019/geht-waehlen/
> Kolumne: 
> https://www.goebel-consult.de/blog/cissp-gefluester/2011-09-kommerz-ueber-recht-fdp-die-gefaellt-mir-partei/ 
>
>
>
> _______________________________________________
> SAGE mailing list
> SAGE at guug.de
> https://lists.guug.de/cgi-bin/mailman/listinfo/sage

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.guug.de/pipermail/sage/attachments/20240801/e6f1f2b7/attachment-0001.html>
-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/pkcs7-signature
Size: 3534 bytes
Desc: Kryptografische S/MIME-Signatur
URL: <http://lists.guug.de/pipermail/sage/attachments/20240801/e6f1f2b7/attachment-0001.bin>

More information about the SAGE mailing list