[Eisfair] Lets Encrypt CAs

So Sep 19 09:37:44 CEST 2021

Hallo Stefan,

Stefan Heidrich wrote:

> zu früh geschrien. Mein eigenes Lets Encrypt Zertifikat meckert jetzt rum:
> 
> *
>                                                            ↑
> | certificate : apache.pem (13c323b6)
> | subject     : CN = www.fam-heidrich.net
> | issuer      : C = US O = Lets Encrypt CN = R3
> +->| certificate : r3.pem (8d33f237)
>     | subject     : C = US O = Lets Encrypt CN = R3
>     | issuer      : C = US O = Internet Security Research Group CN =
> ISRG Root X1                                                  ▒
>     | MD5 f-print : E8:29:E6:5D:7C:43:07:D6:FB:C1:3C:17:9E:03:7A:36
>     | SHA1 f-print:
> A0:53:37:5B:FE:84:E8:B7:48:78:2C:7C:EE:15:82:7A:6A:F5:A4:05
>     +->| certificate : isrg_root_x1.pem (4042bcee)
>        | subject     : C = US O = Internet Security Research Group CN =
> ISRG Root X1                                               ▒
>        | issuer      : O = Digital Signature Trust Co. CN = DST Root CA
> X3                                                         ▒
>        | MD5 f-print : C1:E1:FF:07:F9:F6:88:49:82:74:D1:A1:80:53:EA:BF
>                                                             ▒
>        | SHA1 f-print:
> 93:3C:6D:DE:E9:5C:9C:41:A4:0F:9F:50:49:3D:82:BE:03:AD:87:BF
>        | 
>        +->| certificate : 2e5ac55d.0 (E)
>           | 
>           +-> Error: file '/usr/local/ssl/certs/2e5ac55d.0' missing!

So sieht hier die neue Chain eines letsencrypt-Zertifikates aus:

eis # ./certs-show-chain --nogui /var/certs/ssl/certs/neponet.de.pem 
Show certificate chain (run as 'root')
*
| certificate : neponet.de.pem (137124e6)
| subject     : CN = neponet.de
| issuer      : C = US O = Lets Encrypt CN = R3
| MD5 f-print : 4C:E5:2A:DD:08:9B:30:3F:29:02:50:83:31:8D:91:16
| SHA1 f-print: D9:79:8A:68:6A:EA:84:55:8C:BF:08:21:52:68:97:A5:1C:56:A3:9B
|
+->| certificate : r3.pem (8d33f237)
   | subject     : C = US O = Lets Encrypt CN = R3
   | issuer      : C = US O = Internet Security Research Group CN = ISRG
Root X1
   | MD5 f-print : E8:29:E6:5D:7C:43:07:D6:FB:C1:3C:17:9E:03:7A:36
   | SHA1 f-print:
A0:53:37:5B:FE:84:E8:B7:48:78:2C:7C:EE:15:82:7A:6A:F5:A4:05
   |
   +->| certificate : isrg_root_x1.pem (4042bcee)
      | subject     : C = US O = Internet Security Research Group CN = ISRG
Root X1
      | issuer      : C = US O = Internet Security Research Group CN = ISRG
Root X1
      | MD5 f-print : 0C:D2:F9:E0:DA:17:73:E9:ED:86:4D:A5:E3:70:E7:4E
      | SHA1 f-print:
CA:BD:2A:79:A1:07:6A:31:F2:1D:25:36:35:CB:03:9D:43:29:A5:E8
      |
      +-> end of chain!

Dein isrg_root_x1 ist noch das alte von DST Root CA X3 signierte, aber das
Root haben wir entfernt, denn es läuft aus und wird nicht wieder verwendet.

Das neue isrg_root_x1 ist nun selbstsigniert und das Ende der Kette. Man
könnte sagen, dass aus einem Zwischenzertifikat ein Rootzertifikat wird.

Bitte mal die Details des isrg_root_x1.

Außerdem: ls -l /var/certs/ssl/certs

Hast du das Mozilla-Bundle installiert?

Das Problem besteht bei dir darin, dass noch das alte isrg_root_x1 benutzt
wird.

-- 
Gruß Marcus
[eisfair-Team]