[Eisfair] Certs_dehydrated Problem

Dirk Alberti Howy-1 at gmx.de
Mo Apr 17 01:34:18 CEST 2017 

Hallo zusammen,

ich bin etwas weiter:

> Nun ist das Zertifikat erstellt und der Apache startet auch wieder mit 
> eingeschaltetem SSL. Doch das Zertifikat scheint immer noch nicht 
> signiert zu sein. Dauert das eine gewisse Zeit, oder wie läuft das?

> Beim Chain-Check erhalte ich:
>
>
>  certificate : ******.no-ip.biz.pem (fd7013a4)
>  subject     : /CN=******.no-ip.biz
>  issuer      : /CN=Fake LE Intermediate X1
>  MD5 f-print : CE:17:D4:9C:8D:16:F6:A3:F9:5F:23:C5:AC:30:78:D9
>  SHA1 f-print: 
> 0E:CE:28:CB:F2:FE:22:BB:9F:EA:6A:33:E2:3F:77:FF:74:B1:29:ED
>
> +-> certificate : fake_le_intermediate_x1.pem (0a3654cf)
>     subject     : /CN=Fake LE Intermediate X1
>     issuer      : /CN=Fake LE Root X1
>     MD5 f-print : 5E:DE:46:F8:43:26:16:E5:77:71:57:88:CC:81:50:2F
>     SHA1 f-print: 
> 4E:EE:73:98:C1:A3:DA:F9:1D:A1:66:89:DB:82:43:92:7A:27:1B:9A
>
>    +-> Error: file '/usr/local/ssl/certs/5a7a72df.0' missing!
>
> checking certificate chain: ******.no-ip.biz.pem: CN = Fake LE 
> Intermediate X1
> error 2 at 1 depth lookup:unable to get issuer certificate
>
>
> Was hat das zu bedeuten?   Der Firefox brachte mir auch die Meldung, 
> dass das Zertifikat von unbekannter Herkunft wäre.
>

Nach Umstellung im Setup auf "live" wird wohl erst das richtige, von 
Let's Encrypt signierte Zertifikat erstellt. Dieses wird jetzt auch von 
Firefox so erkannt. Sehr schön, müsste aber vllt. irgendwo erwähnt werden.

Nun habe ich noch den Schönheitsfehler, dass das Setup von 
certs_dehydrated nicht komplett zuendeläuft, sondern mit "+done" 
stehenbleibt.
Vorher werden die Dienste neu gestartet und alte Files archiviert.

------schnipp-------------------

+ package 'pure-ftpd'  restarted.
# INFO: Using main config file /etc/dehydrated/config
Moving unused file to archive directory: ************.pem
.
.
.
+Done

-----schnipp--------------

Das lässt sich nur mit Strg-C beenden.

mit " Show certificate chain" habe ich auch "issuer: /C=US/O=Let's 
Encrypt/CN=Let's Encrypt Authority X3" drin stehen, aber trotzden noch 
als letztes:

checking certificate chain: ******.no-ip.biz.pem: CN = ******.no-ip.biz  
error 3 at 0 depth lookup:unable to get certificate CRL


Gruß
Dirk

Mehr Informationen über die Mailingliste Eisfair