[Eisfair_dev] kein TLS-Webserverzugriff nach Firefox 36.0-Update

Juergen Edner juergen at eisfair.org
Fr Feb 27 11:02:45 CET 2015


Hallo Stefan,

> Der Reihe nach: Installiert ist certs v.1.4.0. Erst habe ich
> die Zertifikate von Apache und CA zurückgezogen, dann beiden
> neu erstellt. Soweit so gut. Da das Paket vorschlug das
> Serverzertifikat dem Rechner anzupassen habe ich es
> www.fam-heidrich.net genannt, da der Server ja so heißt. Danach startet 
> Apache nicht mehr, weil der zwingend ein apache.pem erwartet. Das Zertifikat 
> also auch nochmal neu erstellt und apache genannt. Damit startet Apache 
> wenigstens wieder.

es tut mir leid dies sagen zu müssen, aber dies ist nicht die
Vorgehensweise die ich in der Dokumentation empfehle. Ich komme zu
dem Eindruck, dass Du dir die von mir überarbeitet und mit Screenshots
angereicherte Dokumentation noch nicht angesehen hast. Mit der
generellen Überarbeiten der Menüoberfläche in v1.3.7 habe ich diesen
Sachverhalt unter Punkt 9. im Absatz "Die Zertifikatserstellung (CERT)"
im Detail beschrieben:

http://www.eisfair.org/fileadmin/eisfair/doc/node19.html#SECTION001993200000000000000

Ich zitiere:

  Damit Web- und E-Mail-Server nun das erzeugte Zertifikat verwenden
  können, müssen abschließend, durch Aufruf des Menüpunktes '16',
  symbolische Links angelegt werden, die auf die Zertifikatsdatei
  verweisen.
  Der Apache2-Webserver sucht z.B. standardmäßig nach einer
  Zertifikatsdatei mit dem Namen 'apache.pem', der Exim E-Mail-Server
  hingegen verwendet standardmäßig die Dateinamen, 'imapd.pem',
  'ipop3d.pem' und exim.pem' um eine Zertifikatsdatei zu laden,
  abhängig von dem angesprochenen Programmmodul.

> Jetzt meldet Firefox bei einem Zugriff aber "sec_error_unknown_issuer" und 
> es ist nicht mehr möglich Ausnahmen zu generieren. Google bietet einige 
> Lösungsvorschläge, aber keiner hat funktioniert.

Dies deutet darauf hin, dass Firefox Dein für die Erstellung des
root-Zertifikates verwendetes CA-Zertifikat nicht kennt, d.h. dies
nicht im FF-Zertifikatsspeicher gefunden werden kann.
Bei mir ist gestern ein ähnliches Problem in Thunderbird aufgetreten,
und bei der Prüfung stellte ich fest, dass das CA-Zertfikat verschwunden
war. Nachdem ich dies kurz wieder in den Speicher importiert hatte
funktionierte alles wieder wie gewohnt.

> Was mache ich falsch oder wo könnt eich in der Doku etwas übersehen haben?

Siehe oben, jetzt sogar mit Bildern ;-)

Gruß Jürgen
-- 
Mail: juergen at eisfair.org


Mehr Informationen über die Mailingliste Eisfair_dev