[Eisfair] Certs_dehydrated Problem

Marcus Roeckrath marcus.roeckrath at gmx.de
Mo Apr 17 09:44:52 CEST 2017 

Hallo Dirk,

Dirk Alberti wrote:

>>  certificate : ******.no-ip.biz.pem (fd7013a4)

Zahlst du bei denen oder ein Freeaccount?

>>  subject     : /CN=******.no-ip.biz
>>  issuer      : /CN=Fake LE Intermediate X1
>>  MD5 f-print : CE:17:D4:9C:8D:16:F6:A3:F9:5F:23:C5:AC:30:78:D9
>>  SHA1 f-print:
>> 0E:CE:28:CB:F2:FE:22:BB:9F:EA:6A:33:E2:3F:77:FF:74:B1:29:ED
>>
>> +-> certificate : fake_le_intermediate_x1.pem (0a3654cf)
>>     subject     : /CN=Fake LE Intermediate X1
>>     issuer      : /CN=Fake LE Root X1
>>     MD5 f-print : 5E:DE:46:F8:43:26:16:E5:77:71:57:88:CC:81:50:2F
>>     SHA1 f-print:
>> 4E:EE:73:98:C1:A3:DA:F9:1D:A1:66:89:DB:82:43:92:7A:27:1B:9A
>>
>>    +-> Error: file '/usr/local/ssl/certs/5a7a72df.0' missing!
>>
>> checking certificate chain: ******.no-ip.biz.pem: CN = Fake LE
>> Intermediate X1
>> error 2 at 1 depth lookup:unable to get issuer certificate

Da fehlt ein Zwischenzertifikat.

>> Was hat das zu bedeuten?   Der Firefox brachte mir auch die Meldung,
>> dass das Zertifikat von unbekannter Herkunft wäre.

Weil ihm das Zwischenzertifikat fehlt.

> Nach Umstellung im Setup auf "live" wird wohl erst das richtige, von
> Let's Encrypt signierte Zertifikat erstellt. Dieses wird jetzt auch von
> Firefox so erkannt. Sehr schön, müsste aber vllt. irgendwo erwähnt werden.

Dann hast Du zunächst den Testmodus benutzt, der IMHO im
certdehydrated-Paket voreingestellt ist, damit man erstmal üben kann. Im
Vollmodus hat man weniger Zertifikatsanforderung pro Zeiteinhaiet zur
Verfügung.

> Nun habe ich noch den Schönheitsfehler, dass das Setup von
> certs_dehydrated nicht komplett zuendeläuft, sondern mit "+done"
> stehenbleibt.
> Vorher werden die Dienste neu gestartet und alte Files archiviert.
> 
> ------schnipp-------------------
> 
> + package 'pure-ftpd'  restarted.
> # INFO: Using main config file /etc/dehydrated/config
> Moving unused file to archive directory: ************.pem
> .
> .
> .
> +Done
> 
> -----schnipp--------------
> 
> Das lässt sich nur mit Strg-C beenden.

Debugmodus aktiviert?

> mit " Show certificate chain" habe ich auch "issuer: /C=US/O=Let's
> Encrypt/CN=Let's Encrypt Authority X3" drin stehen, aber trotzden noch
> als letztes:
> 
> checking certificate chain: ******.no-ip.biz.pem: CN = ******.no-ip.biz
> error 3 at 0 depth lookup:unable to get certificate CRL

Rufe mal im Certs-Menu "Update revocationslists" auf - das dauert.

Ist die Zertifikatskette Deines letsencrypt-Zertifikats in Ordnung?

-- 
Gruss Marcus

Mehr Informationen über die Mailingliste Eisfair