[Eisfair] Mail: SSL-Problem
Rolf Bensch
azubi at bensch-net.de
So Mai 31 16:36:27 CEST 2020
Hallo Marcus,
Am 31.05.20 um 12:55 schrieb Marcus Röckrath:
> Hallo,
>
> Karl Heinrich Meyer wrote:
>
>> das gleiche Problem hatte ich gestern auch. Abhilfe war der Download des
>> certificate bundle in der Administration des Certs Service. Das Problem
>> ist nicht das Zertifikat meine Anbieters sonder das gestern um 12Uhr
>> abglaufene Zertifikat der Zertifizierungsstelle.
>
> Im certs-Paket kann man sich die Details und die Kette jedes Zertifikates
> anzeigen lassen. Damit sollte man auch feststellen können, welches
> Zertifikat abgelaufen ist.
die Zertifikatskette hatte ich mir zuerst angesehen:
│*
│| certificate : serverdomain.org.pem (11851c4d)
│| subject : OU = Domain Control Validated CN = .serverdomain.org
│| issuer : C = GB ST = Greater Manchester L = Salford O = COMODO
CA Limited CN = COMODO RSA Domain Validation Secure Server CA
│| MD5 f-print : C2:4D:3E:7D:ED:65:1C:BB:30:91:CC:7E:72:9D:0D:81
│| SHA1 f-print: 61:E3:40:52:5D:0F:33:EB:60:65:47:47:AF:20:62:8B:5D:5C:6B:2B
│|
│+->| certificate : comodo_rsa_domain_validation_secure_server_ca.pem
(8d28ae65)
│ | subject : C = GB ST = Greater Manchester L = Salford O =
COMODO CA Limited CN = COMODO RSA Domain Validation Secure Server CA
│ | issuer : C = GB ST = Greater Manchester L = Salford O =
COMODO CA Limited CN = COMODO RSA Certification Authority
│ | MD5 f-print : 83:E1:04:65:B7:22:EF:33:FF:0B:6F:53:5E:8D:99:6B
│ | SHA1 f-print:
33:9C:DD:57:CF:D5:B1:41:16:9B:61:5F:F3:14:28:78:2D:1D:A6:39
│ |
│ +->| certificate : comodo_rsa_certification_authority.pem (d6325660)
│ | subject : C = GB ST = Greater Manchester L = Salford O =
COMODO CA Limited CN = COMODO RSA Certification Authority
│ | issuer : C = SE O = AddTrust AB OU = AddTrust External TTP
Network CN = AddTrust External CA Root │
│ | MD5 f-print : 1E:DA:F9:AE:99:CE:29:20:66:7D:0E:9A:8B:3F:8C:9C
│ | SHA1 f-print:
F5:AD:0B:CC:1A:D5:6C:D1:50:72:5B:1C:86:6C:30:AD:92:EF:21:B0
│ | valid until : 30.05.2020 12:48:38 - CERTIFICATE NEEDS AN
IMMEDIATE UPDATE!
│ |
│ +->| certificate : AddTrust_External_Root.pem (157753a5)
│ | subject : C = SE O = AddTrust AB OU = AddTrust External
TTP Network CN = AddTrust External CA Root
│ | issuer : C = SE O = AddTrust AB OU = AddTrust External
TTP Network CN = AddTrust External CA Root
│ | MD5 f-print : 1D:35:54:04:85:78:B0:3F:42:42:4D:BF:20:73:0A:3F
│ | SHA1 f-print:
02:FA:F3:E2:91:43:54:68:60:78:57:69:4D:F5:E4:5B:68:85:18:68
│ | valid until : 30.05.2020 12:48:38 - CERTIFICATE NEEDS AN
IMMEDIATE UPDATE!
│ |
│ +-> end of chain!
│
│checking certificate chain:
│* OCSP Response verify OK (cache)
│ serverdomain.org.pem: good
│ This Update: May 31 06:28:40 2020 GMT
│ Next Update: Jun 7 06:28:40 2020 GMT
Ich las "...verify ok...) und übersah dabei "Certificate needs an
immediate update"
> Üblicherweise versendet das certs-Paket Tage vor Ablauf eines Zertifikates
> eine Warnmail. Bitte nachschauen, ob man diese Option abgeschaltet hat.
Ich finde dazu nichts im certs-Paket. Welche Option meinst Du?
Es kam am 22.05. eine Mail "TLS certificates warning" mit folgendem Inhalt:
Certificate : /usr/local/ssl/certs/comodo_rsa_certification_authority.pem
Subject : C = GB, ST = Greater Manchester, L = Salford, O = COMODO
CA ...
: Limited, CN = COMODO RSA Certification Authority
Valid from : May 30 10:48:38 2000 GMT
Valid until: May 30 10:48:38 2020 GMT
Was macht denn der engagierte Admin mit dieser Info? Er kann das in den
Zertifikat-Ketten verifizieren und "Download ca certificate bundle"
ausführen. Aktuell ist es aber hier so, dass auch nach "Update *" das
alte Zertifikat angemeckert wird - sprich - darüber das ca-Zertifikat
nicht aktualisiert wird. Verfahre ich jetzt nach FAQ ->
"Zertifikatsketten vervollständigen" oder gibt es einen eleganteren Weg?
Grüße Rolf
Mehr Informationen über die Mailingliste Eisfair