[Eisfair] Certs_dehydrated Problem

Dirk Alberti Howy-1 at gmx.de
Mo Apr 17 12:25:50 CEST 2017 

Hi Marcus,

Am 17.04.2017 um 09:44 schrieb Marcus Roeckrath:
> Hallo Dirk,
>
> Dirk Alberti wrote:
>
>>>   certificate : ******.no-ip.biz.pem (fd7013a4)
> Zahlst du bei denen oder ein Freeaccount?

nein, ist ein Freeaccount.

>>>   subject     : /CN=******.no-ip.biz
>>>   issuer      : /CN=Fake LE Intermediate X1
>>>   MD5 f-print : CE:17:D4:9C:8D:16:F6:A3:F9:5F:23:C5:AC:30:78:D9
>>>   SHA1 f-print:
>>> 0E:CE:28:CB:F2:FE:22:BB:9F:EA:6A:33:E2:3F:77:FF:74:B1:29:ED
>>>
>>> +-> certificate : fake_le_intermediate_x1.pem (0a3654cf)
>>>      subject     : /CN=Fake LE Intermediate X1
>>>      issuer      : /CN=Fake LE Root X1
>>>      MD5 f-print : 5E:DE:46:F8:43:26:16:E5:77:71:57:88:CC:81:50:2F
>>>      SHA1 f-print:
>>> 4E:EE:73:98:C1:A3:DA:F9:1D:A1:66:89:DB:82:43:92:7A:27:1B:9A
>>>
>>>     +-> Error: file '/usr/local/ssl/certs/5a7a72df.0' missing!
>>>
>>> checking certificate chain: ******.no-ip.biz.pem: CN = Fake LE
>>> Intermediate X1
>>> error 2 at 1 depth lookup:unable to get issuer certificate
> Da fehlt ein Zwischenzertifikat.
>
>>> Was hat das zu bedeuten?   Der Firefox brachte mir auch die Meldung,
>>> dass das Zertifikat von unbekannter Herkunft wäre.
> Weil ihm das Zwischenzertifikat fehlt.
>
>> Nach Umstellung im Setup auf "live" wird wohl erst das richtige, von
>> Let's Encrypt signierte Zertifikat erstellt. Dieses wird jetzt auch von
>> Firefox so erkannt. Sehr schön, müsste aber vllt. irgendwo erwähnt werden.
> Dann hast Du zunächst den Testmodus benutzt, der IMHO im
> certdehydrated-Paket voreingestellt ist, damit man erstmal üben kann. Im
> Vollmodus hat man weniger Zertifikatsanforderung pro Zeiteinhaiet zur
> Verfügung.

Ja genau, ich hatte irgendwann per googeln herausgefunden, dass man, 
wenn man ein richtig signiertes Zertifikat haben möchte, auf "live" 
stellen muss. Ansonsten kommt nur dieses "Fake-Zertifikat".
Müsste vielleicht in der Doku mal mit erwähnt werden.

>> Nun habe ich noch den Schönheitsfehler, dass das Setup von
>> certs_dehydrated nicht komplett zuendeläuft, sondern mit "+done"
>> stehenbleibt.
>> Vorher werden die Dienste neu gestartet und alte Files archiviert.
>>
>> ------schnipp-------------------
>>
>> + package 'pure-ftpd'  restarted.
>> # INFO: Using main config file /etc/dehydrated/config
>> Moving unused file to archive directory: ************.pem
>> .
>> .
>> .
>> +Done
>>
>> -----schnipp--------------
>>
>> Das lässt sich nur mit Strg-C beenden.
> Debugmodus aktiviert?

Nicht wissentlich

>
>> mit " Show certificate chain" habe ich auch "issuer: /C=US/O=Let's
>> Encrypt/CN=Let's Encrypt Authority X3" drin stehen, aber trotzden noch
>> als letztes:
>>
>> checking certificate chain: ******.no-ip.biz.pem: CN = ******.no-ip.biz
>> error 3 at 0 depth lookup:unable to get certificate CRL
> Rufe mal im Certs-Menu "Update revocationslists" auf - das dauert.

Habe ich nun gemacht.

>
> Ist die Zertifikatskette Deines letsencrypt-Zertifikats in Ordnung?
>

Keine Ahnung. Soll ich nochmal ein Zertifikats-Update anschubsen?

Das Zertifikat wird jetzt jedenfalls von Firefox so wie es ist 
akzeptiert und als sicher angesehen.  Das ist ja das, was ich wollte.  
Endlich kein rumschlagen mehr mit Certs und eigener CA ;-)


Grüße

Dirk

Mehr Informationen über die Mailingliste Eisfair