[Eisfair] Certs_dehydrated Problem
Marcus Roeckrath
marcus.roeckrath at gmx.de
Mo Apr 17 12:41:57 CEST 2017
Hallo Dirk,
Dirk Alberti wrote:
>> Dann hast Du zunächst den Testmodus benutzt, der IMHO im
>> certdehydrated-Paket voreingestellt ist, damit man erstmal üben kann. Im
>> Vollmodus hat man weniger Zertifikatsanforderung pro Zeiteinhaiet zur
>> Verfügung.
>
> Ja genau, ich hatte irgendwann per googeln herausgefunden, dass man,
> wenn man ein richtig signiertes Zertifikat haben möchte, auf "live"
> stellen muss. Ansonsten kommt nur dieses "Fake-Zertifikat".
> Müsste vielleicht in der Doku mal mit erwähnt werden.
Hier:
http://www.eisfair.org/fileadmin/eisfair/doc/node20.html#SECTION002070000000000000000
oder gleichlautend in der Paketdoku:
DEHYDRATED_MODE
Ueber diesen Parameter kann der Betriebsmodus des dehydrated- Programms
eingestellt werden, d.h. es kann bestimmt werden ob sich dieses mit dem
Let's Encrypt^TM Staging- (test) oder Produktivserver (live) verbinden
soll. Gueltige Werte: live, test
Standardeinstellung: DEHYDRATED_MODE='test'
Mache doch bitte einen Formulieungsvorschlag aus Anwendersicht.
>>> +Done
>>>
>>> -----schnipp--------------
>>>
>>> Das lässt sich nur mit Strg-C beenden.
>> Debugmodus aktiviert?
>
> Nicht wissentlich
Da kann Jürgen vielleicht etwas zu sagen, ich setze das Paket nicht ein.
>>> mit " Show certificate chain" habe ich auch "issuer: /C=US/O=Let's
>>> Encrypt/CN=Let's Encrypt Authority X3" drin stehen, aber trotzden noch
>>> als letztes:
>>>
>>> checking certificate chain: ******.no-ip.biz.pem: CN = ******.no-ip.biz
>>> error 3 at 0 depth lookup:unable to get certificate CRL
>> Rufe mal im Certs-Menu "Update revocationslists" auf - das dauert.
>
> Habe ich nun gemacht.
>>
>> Ist die Zertifikatskette Deines letsencrypt-Zertifikats in Ordnung?
>
> Keine Ahnung. Soll ich nochmal ein Zertifikats-Update anschubsen?
Nein, im certs-Menu doie Details und Chain Deines letsencrypt-Zertifikates
anzeigen lassen.
> Das Zertifikat wird jetzt jedenfalls von Firefox so wie es ist
> akzeptiert und als sicher angesehen. Das ist ja das, was ich wollte.
Das ist genau der Ansatzpunkt der letsencrypt-Initiative.
> Endlich kein rumschlagen mehr mit Certs und eigener CA ;-)
Eine eigene CA ist auch nur in einem lokalen Netz sinnvoll, denn weltweit
wird diesem niemand vertrauen.
--
Gruss Marcus
Mehr Informationen über die Mailingliste Eisfair