[sage] [DaLUG] SSL-Problem: unable to get local issuer certificate
henning+guug.de at privat.amalix.de
henning+guug.de at privat.amalix.de
Fri Aug 2 11:49:53 CEST 2024
Moin!
Falls sich die Sache schon erledigt hat, dann bitte ignorieren...
On 2024-08-01 18:09, Hartmut Goebel wrote:
> eigentlich hätte ich gedacht, dass ich ein ausreichendes Verständnis von
> SSL habe, aber anscheinend doch nicht.
Versprechen will ich nichts, aber vielleicht hilft ja LMGTFY...
> # openssl verify -show_chain -untrusted intermediate.pem cert.pem
> cert.pem: OK
> Chain:
> depth=0: CN = gehetzt-1.goe-con.de (untrusted)
> depth=1: C = US, O = Let's Encrypt, CN = R10 (untrusted)
> depth=2: C = US, O = Internet Security Research Group, CN = ISRG Root X1
>
> Schaut auch nicht schlecht aus.
[...]
> $ cat cert.pem intermediate.pem > cert_intermediate.pem
> $ cat cert_intermediate.pem dhparam.pem >cert_intermediate_dhparam.pem > $ openssl verify -show_chain cert_intermediate.pem> CN =
gehetzt-1.goe-con.de> error 20 at 0 depth lookup: unable to get local
issuer certificate> error cert_intermediate.pem: verification failed
Bei der Suche nach dem "-untrusted"-Parameter bin ich u.a. zu folgender
Seite geführt worden:
https://stackoverflow.com/q/25482199
Offenbar erwartet das verify-Kommando vom openssl in der als Parameter
übergebenen Zertifikats-Datei wirklich nur das eine zu prüfende
Zertifikat, und nicht ggfs. notwendige Intermediate-CAs.
Somit stoppt es beim erstbesten Fehler, obwohl darin eigentlich die
komplette Kette vorliegt.
In meinen Versuchen hat es geholfen, die "zusammen-concatenierte" Datei
ein zweites Mal als Intermediate-CA anzugeben:
# openssl verify -show_chain -untrusted ./allinone.pem ./allinone.pem
/var/lib/haproxy/allinone.pem: OK
Chain:
depth=0: CN=SERVER.DOMAIN.TLD (untrusted)
depth=1: C=US, O=Let's Encrypt, CN=R3 (untrusted)
depth=2: C=US, O=Internet Security Research Group, CN=ISRG Root X1
Just my 2 cents of €...
... YMMV!
Henning
PS: Da der Markt für Freelance-Projekte grad etwas mau ausschaut,
erlaube ich mir, auch hier einmal zu fragen:
Falls jemand Unterstützung in folgenden Rollen gebrauchen könnte, würde
ich mich über Hinweise sehr freuen:
- System-Architekt für Linux-/Unix- und Infrastruktur-Projekte
- techn. Projektleitung
- System-Automatisierung, u.a. mit Ansible
- interim Teamleitung
- System-Analyse und -Konzeption, z.B. für RZ-Umzüge
... am liebsten im Norden oder Remote.
More information about the SAGE
mailing list