[Eisfair_dev] Fehlermeldung beim Zertifikaterneuern
Juergen Edner
juergen at eisfair.org
Mi Dez 24 18:25:32 CET 2014
Hallo Alex,
> Dort gebe ich bei Common Name eine der Domains an. (habe mehrere
> dyndns-Namen, für Mail und für 4 verschiedene virtuelle Hosts des Apache)
> 1. Welche Domain gebe ich hier sinnigerweise ein? Die gleiche wie im CA?
> Muss diese erreichbar sein? (3 der 4 sind mit Benutzer/Kennwort
> gesicherte virtuelle Hosts und somit nicht direkt erreichbar) Muss dies
> der Domain entsprechen, die ich am Anfang der Apache-config angebe?
der CommonName eines Zertifikates muss so gesetzt werden, sodass er dem
DNS-Namen entspricht über welchen Du auf den Server zugreifst.
Zu beachten gilt, dass über eine IP-Adresse üblicherweise nur ein
Zertifikat ausgeliefert wird, sodass Du Probleme bekommen kannst,
wenn Du versuchst verschiedene, virtuelle Server über einen gemeinsamen
Anschluss erreichen willst.
> Soweit ich mich erinnere darf es nicht die gleiche wie im
> Mailserverzertifikat sein, oder?
Generell kann über nur ein Zertifikat für einen Domainnamen ausgestellt
werden. Da ein Zertifikat vom Ursprung her jedoch nicht zweckgebunden
ist, kannst Du natürlich das selbe Zertifikat auch für den Mailserver
nehmen. In diesem Fall setzt Du einfach nur symbolische Links mit den
korrekten Namen, auf das Ursprungszertifikat.
Beispiel:
Mailserver:
ln -s mein-server.domain.lan.pem exim.pem
ln -s mein-server.domain.lan.pem imapd.pem
ln -s mein-server.domain.lan.pem ipop3d.pem
Webserver:
ln -s mein-server.domain.lan.pem apache.pem
...
> wenn ich einen anderen Common Name eingebe, dann erhalte ich:
> 1 out of 1 certificate requests certified, commit? [y/n]y
> Write out database with 1 new entries
> Data Base Updated
> ....
> error 9 at 0 depth lookup:certificate is not yet valid
Dies ist eine übliche Meldung von openssl und sollte Dich nicht weiter
irritieren. Du musst nur sicher stellen, dass immer nur ein Zertifikat
für eine Domain im certs-Verzeichnis existiert, d.h. ein vorheriges
Zertifikat welches auf gegebenenfalls auf den gleichen Namen ausgestellt
war, zuvor entfernen.
Gruß Jürgen
--
Mail: juergen at eisfair.org
Mehr Informationen über die Mailingliste Eisfair_dev