[Eisfair] Zertifikatserstellung nach Serverumzug nicht möglich.

[Frank Meyer]

Am Sonntag, 22. März 2020 14:31:17 UTC+1 schrieb Juergen Edner:
> Hallo Frank,
> ich störe mich etwas an folgender Meldung:
> 
> > ERROR:There is already a certificate for /C=DE/ST=Nordrhein Westfalen/L=Herten/O=Heimweichware/OU=web/CN=sub.name.tld/emailAddress=frank at name.tld
> > The matching entry has the following details
> > Type          :Valid
> > Expires on    :210320014424Z
> > Serial Number :27
> > File name     :unknown
> > Subject Name  :/C=DE/ST=Nordrhein Westfalen/L=Herten/O=Heimweichware/OU=web/CN=sub.name.tld/emailAddress=frank at name.tld
> 
> Dies sieht mir fast so aus, als wenn Du bereits zuvor einmal eine
> Zertifikat für diese Domain erstellt hast, welches Du aber vor dem
> erneuten Versuch ein Zertifikat zu generieren, nicht widerrufen hast?!
> 
> > 2888787712:error:0E06D06C:configuration file routines:NCONF_get_string:no value:crypto/conf/conf_lib.c:273:group=Server_CA name=email_in_dn
> > 2888787712:error:0E06D06C:configuration file routines:NCONF_get_string:no value:crypto/conf/conf_lib.c:273:group=Server_CA name=rand_serial
> 
> Hier scheinen Werte aus dem Bereich "Server CA" nicht richtig gelesen
> werden zu können (no value). Hast Du wirklich alle Dateien korrekt
> übernommen, d.h. inklusiver der symbolischen Links und der versteckten
> Datei, z.B. ./private/.rand ?
> 
> Wie alt ist Dein CA-Zertifikat? Ist dieses schon mit einem sha384-Hash
> oder höher erzeugt worden oder wurde es noch mit einem sha1-Hash erzeugt?
> 
> Eventuell helfen Dir ja diese früheren Threads bei der Ursachenforschung
> weiter:
> 
> https://web.nettworks.org/forum/index.php?t=msg&th=7734&goto=52971&
> http://lists.spline.inf.fu-berlin.de/pipermail/eisfair/2017-October/025160.html
> 
> Gruß Jürgen
> 
> -- 
> Mail: juergen at eisfair.org

Hallo Jürgen,

danke für die schnelle Antwort.

Ja, du hast recht, ich hab schon zuviel probiert, geschoben usw. es lag bereits ein Zertifikat für die CN vor.

Die Symbolischen Links waren alle gesetzt.

Eine versteckte Datei ./private/.rand  gibt es weder auf dem alten noch auf dem neuen System.

Habe jetzt alles nochmal auf Anfang gesetzt.

Beim Signieren des Requests wird folgendes ausgegeben.

Sign the certificate? [y/n]:y


1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
C = DE, ST = Nordrhein Westfalen, L = Herten, O = Heimweichware, OU = web, CN = sub.name.tld, emailAddress = frank at name.tld
error 9 at 0 depth lookup: certificate is not yet valid
error /usr/local/ssl/newcerts/sub.name.tld.crt: verification failed
... certificate generation unsuccessful! The error codes are explained here:
    https://www.openssl.org/docs/apps/verify.html#DIAGNOSTICS

Nachdem ich mir die Diagnose auf openssl 

'9 X509_V_ERR_CERT_NOT_YET_VALID: certificate is not yet valid
the certificate is not yet valid: the notBefore date is after the current time.'

angeschaut habe, hatte ich den Verdacht, dass meine Uhr nicht richtig läuft.

Im erzeugten Zertifikat ist folgendes hinterlegt:
        Validity
            Not Before: Mar 22 15:32:27 2020 GMT
            Not After : Mar 22 15:32:27 2021 GMT


Das NTP-Paket gibt folgendes aus:
Hardware Clock Time is now ...
2020-03-22 14:34:03.497465+01:00
Software Clock Time is now ...
Sun Mar 22 15:34:04 CET 2020

Ich habe einfach eine Stunde gewartet und dann die .pem erzeugt.

Jetzt ist das Zertifikat gültig und kann verwendet werden. 
Aber der Weg ist doch nicht richtig so... 


Frank