[Eisfair] [E1] certs: update revocation-list Fehlermeldung

Rolf Bensch azubi at bensch-net.de
Do Nov 21 18:55:28 CET 2019 

Hallo Marcus,

Am 21.11.19 um 18:06 schrieb Marcus Roeckrath:
> Hallo Rolf, hallo Jürgen,
> 
> Rolf Bensch wrote:
> 
>> ibs-server # cd /usr/local/ssl/certs
>> ibs-server # /var/install/bin/certs-request-cert --writecert http
>> whserv.de requesting http certificate from server 'whserv.de' ...
>> saving certificate to file 'serverdomain.org-2.pem' ...
>> saving certificate to file
>> 'comodo_rsa_domain_validation_secure_server_ca-2.pem' ...
>> saving certificate to file 'comodo_rsa_certification_authority-2.pem' ...
>> recreating hashes ...
>> finished.
> 
> Und da haben wir es doch.
> 
> Ich hatte serverdomain.org schon leise im Verdacht.
> 
> Bitte mal die Details von serverdomain.org-2.pem, welches vorher schon als
> serverdomain.org.pem auf der Kiste gewesen sein muss.

zu spät, hatte ich schon entsorgt. Hier vom aktuellen Zertifikat, das 
gerade geholt wurde:

ibs-server # /var/install/bin/certs-show-chain 
comodo_rsa_domain_validation_secure_server_ca.pem

*
| certificate : comodo_rsa_domain_validation_secure_server_ca.pem (8d28ae65)
| subject     : C = GB ST = Greater Manchester L = Salford O = COMODO CA 
Limited CN = COMODO RSA Domain Validat
| issuer      : C = GB ST = Greater Manchester L = Salford O = COMODO CA 
Limited CN = COMODO RSA Certification
| MD5 f-print : 83:E1:04:65:B7:22:EF:33:FF:0B:6F:53:5E:8D:99:6B
| SHA1 f-print: 33:9C:DD:57:CF:D5:B1:41:16:9B:61:5F:F3:14:28:78:2D:1D:A6:39
|
+->| certificate : comodo_rsa_certification_authority.pem (d6325660)
    | subject     : C = GB ST = Greater Manchester L = Salford O = 
COMODO CA Limited CN = COMODO RSA Certificati
    | issuer      : C = SE O = AddTrust AB OU = AddTrust External TTP 
Network CN = AddTrust External CA Root
    | MD5 f-print : 1E:DA:F9:AE:99:CE:29:20:66:7D:0E:9A:8B:3F:8C:9C
    | SHA1 f-print: 
F5:AD:0B:CC:1A:D5:6C:D1:50:72:5B:1C:86:6C:30:AD:92:EF:21:B0
    |
    +->| certificate : AddTrust_External_Root.pem (157753a5)
       | subject     : C = SE O = AddTrust AB OU = AddTrust External TTP 
Network CN = AddTrust External CA Root
       | issuer      : C = SE O = AddTrust AB OU = AddTrust External TTP 
Network CN = AddTrust External CA Root
       | MD5 f-print : 1D:35:54:04:85:78:B0:3F:42:42:4D:BF:20:73:0A:3F
       | SHA1 f-print: 
02:FA:F3:E2:91:43:54:68:60:78:57:69:4D:F5:E4:5B:68:85:18:68
       |
       +-> end of chain!

checking certificate chain:
* OCSP Response verify OK (cache)
   comodo_rsa_domain_validation_secure_server_ca.pem: good
     This Update: Nov 16 21:39:03 2019 GMT
     Next Update: Nov 23 21:39:03 2019 GMT


> 
> Vermutlich gilt das Zertifikat für mehrere Domains (Alternate Names).
> 
>> weil ich das nicht gleich 'gecheckt' habe, liegen jetzt von comodo 3
>> Versionen in /usr/local/ssl /certs:
>> ibs-server # ls -l comodo*
>> -rw-r--r-- 1 root root 6693 Nov 21 17:43
>> comodo_rsa_certification_authority-1.pem
>> -rw-r--r-- 1 root root 6693 Nov 21 17:45
>> comodo_rsa_certification_authority-2.pem
>> -rw-r--r-- 1 root root 6693 Nov 20 22:00
>> comodo_rsa_certification_authority.pem
>> -rw-r--r-- 1 root root 6958 Nov 21 17:43
>> comodo_rsa_domain_validation_secure_server_ca-1.pem
>> -rw-r--r-- 1 root root 6958 Nov 21 17:45
>> comodo_rsa_domain_validation_secure_server_ca-2.pem
>> -rw-r--r-- 1 root root 6958 Nov 20 22:00
>> comodo_rsa_domain_validation_secure_server_ca.pem
> 
> Mit dem --replace-Schalter würde das vorige überschrieben.

erledigt. Ergebnis s.o.

ibs-server # ls -l comod*
-rw-r--r-- 1 root root 6693 Nov 20 22:00 
comodo_rsa_certification_authority.pem
-rw-r--r-- 1 root root 6958 Nov 20 22:00 
comodo_rsa_domain_validation_secure_server_ca.pem
ibs-server # /var/install/bin/certs-request-cert --replace --writecert 
http whserv.de
requesting http certificate from server 'whserv.de' ...
saving certificate to file 'serverdomain.org.pem' ...
saving certificate to file 
'comodo_rsa_domain_validation_secure_server_ca.pem' ...
saving certificate to file 'comodo_rsa_certification_authority.pem' ...
recreating hashes ...
finished.
ibs-server # /usr/bin/c_rehash /usr/local/ssl/certs
Doing /usr/local/ssl/certs

> Die durchnummerierten kannst du getrost in die Tonne treten; eventuell
> rehashen, damit die Links nachher nicht versehentlich auf eines der
> gelöschten zeigen.
> 
>> Update recocation list liefert weiterhin "download failed" für
>> whserv.de.pem.
>>
>> Sind am Ende meine Probleme _keine_ Probleme? Wer soll da noch
>> durchsteigen?
> 
> Ich hatte IMHO doch schon ganz zu Anfang mal geschrieben, dass das nicht
> wirklich ein Problem ist.

Ja, stimmt. Mein Hirn tut sich etwas schwer ein "failed" mit "kein 
Problem" gleichzusetzen ;-)

Grüße Rolf

Mehr Informationen über die Mailingliste Eisfair