[Eisfair_dev] Fehlermeldung beim Zertifikaterneuern

[Juergen Edner]

Hallo Alex,

> danke. Apache läuft, aber beim Aufruf meiner Seite erhalte ich:
> ... verwendet ungültiges Sicherheitszertifikat. Dem Zertifikat wird
> nicht vertraut, weil keine Zertifikatsausstellerkette angegeben wurde.
> Das Zertifikat gilt nur für ....Mailserver

siehe hierzu u.a.:

https://support.mozilla.org/de/kb/Dieser-Verbindung-wird-nicht-vertraut#w_dem-zertifikat-wird-nicht-vertraut-weil-keine-zertifikatsausstellerkette-angegeben-wurde

> Show certificate chain zeigt für apache.pem aber die Kette bis end of
> chain, also inkl. meinem eigenen ca.pem

Ein Webbrowser greift nicht auf die Zertifikatskette des Servers zu,
sondern verwendet seinen eigenen Zertifikatsspeicher. Hast Du Dein
CA-Zertifikat den den Zertifikatsspeicher des Browsers importiert?
Mit welchem Webbrowser greifst Du auf die Webseite zu?

> Wenn ich die Config von certs schließe, dann wird ja ein Link "certs" im
> htdocs-Verzeichnis angelegt. Muss dieses erreichbar sein? Bei mir ist
> das Kennwortgesichert. Oder soll ich das Zertifikat für einen getrennten
> virtual host "ausstellen", was frei erreichbar ist?
> (Muss dort das CA frei erreichbar sein? Prüft dies der Browser?)

Das certs-Verzeichnis auf dem Webserver erleichtert es Dir ein
Zertifikat in den Zertifikatsspeicher eines Webbrowsers zu importieren.
Du gibst einfach z.B. die URL zur ca.der in den Webbrowser ein und es
sollte ein Importdialog angezeigt werden. Ein genereller Zugriff ist auf
das Verzeichnis nicht unbedingt erforderlich.

Gruß Jürgen
-- 
Mail: juergen at eisfair.org