[Eisfair] [Eisfair-NG] SSL für Apache (Problem mit Zertifikatskette)

[Sören Wollschläger]

Hallo,

da es für Eisfair-NG noch kein certs-Paket gibt, habe ich heute 
apache-ssl und openssl aus dem alpine repository installiert.

Ich konnte das Zertifikat erzeugen, habe jedoch noch ein Problem mit der 
Zertifikatskette.


Ich habe folgendes gemacht:

Zuerst den Key erstellt
openssl genrsa -out /etc/ssl/private/srv.key 4096

Dann die Zertifikatsanfrage:
mkdir /etc/ssl/csr/
openssl req -new -key /etc/ssl/private/srv.key -out /etc/ssl/csr/srv.csr

Mit der Zertifikatsanfrage habe ich ein kostenloses 30-Tage Zertifikat 
bestellt. Das Zertifikat habe ich abgespeichert:
/etc/ssl/certs/srv.crt

Und jetzt weiß ich nicht mehr weiter. Im Browser erhalte ich die Meldung 
"Dem Zertifikat wird nicht vertraut, weil keine 
Zertifikatsausstellerkette angegeben wurde. (Fehlercode: 
sec_error_unknown_issuer)".

Für Eisfair 1 gibt es eine Anleitung, die ich jedoch nicht auf 
Eisfair-NG übertragen konnte.
https://ssl.nettworks.org/wiki/pages/viewpage.action?pageId=19824666


Ich habe neben meinem Zertifikat noch zwei weitere Zertifikate für die 
Zertifikatskette erhalten. Muss ich die zusammen in einer Datei 
abspeichern, oder jedes in einer? Mit welcher Dateiendung?

Muss ich danach rehashen? Wie funktioniert das mit Eisfair-NG?

In der Anleitung für Eisfair 1 haben die dateien die Endung .pem, bei 
mir dagegen .crt. Muss ich das ändern?

Die verify-Funktion von openssl gibt folgende Fehlermeldung aus:

openssl verify -verbose -purpose sslserver -CApath /etc/ssl/certs 
certs/srv.crt

Ausgabe:
certs/srv.crt: OU = xxxxxxxxxx, OU = See www.rapidssl.com/resources/cps 
(c)15, OU = Domain Control Validated - FreeSSL, CN = www.xxxxxxxxxxxxx.net
error 20 at 0 depth lookup:unable to get local issuer certificate

Ich hoffe, mir kann da jemand helfen.

Danke & Gruß

Sören