[Eisfair] Problem mit eigenem (LE oder ZeroSSL) Zertifikat
Marcus Röckrath
marcus.roeckrath at gmx.de
Di Jun 16 16:47:52 CEST 2026
Hallo Uwe,
Uwe Kunze wrote:
> Über das Paket "Certs_dehydrated" erstelle ich seit 'zig Jahren bei
> Letsencrypt ein Zertifikat für meinen Homeserver, das hat immer geklappt.
>
> Ich weiß nicht, wie lange das Problem mit dem Check der Zertifikatskette
> schon besteht, aber kürzlich ist mir aufgefallen, dass das nicht mehr
> funktioniert.
>
> Was ist genau das Problem:
>
> Ich erneuere (händisch per dehydrated-Menü) das Zertifikat und möchte
> anschließend die Zertifikatskette testen (Menüpunkt 4). Das Script sagt
> mir, dass das Hash-File für das Zertifikat fehlt.
>
> Ich versuche, das Hash-File neu zu erstellen (Menüpunkt 8 im
> certs-Menü), bekomme aber folgende 2 Fehlermeldungen:
>
> rehash: warnig: skipping meinserver.de.pem, it does not contain exactly
> one certifikate or CRL
LetsEncrypt hat vor kurzem neue Root- und Zwischenzertifikate erstellt und
stellt neue Zertifikate nun bezügliche dieser her.
Allerdings haben sie da noch eine Crosssigning mit dem alten Root-Zertifikat
drin, weil das neue Root noch nicht in die Trusted-Stores der
Betriebssysteme oder Browser aufgenommen wurde.
Betrachtet man in Firefox z. B. das LetsEncrypt-Zertifikat von
download.eisfair.org, sieht da die Kette auch etwas mekrwürdig aus, denn als
drittes erscheint das neue Root auch als Root (Issuer=Subject) und dann
kommt dahinter noch das ale Root als Ende der Kette.
> rehash: warnig: zerossl_ecc_dv_ssl_ca_2.pem, it does not contain exactly
> one certifikate or CRL
Das könnte auch auf Cross-Signung zurückzuführen sein; öffne deine
Webpräsenz in FF, die das Zertifikat nutzt, und schau dir dann das
Zertifikat an.
> Weiß jemand, was ich da falsch mache oder woran es liegt ?
IMHO nichts - nimms es erstmal so hin.
> In der fullchain-xxxx.pem gibt es drei Abschnitte (BEGIN ... END), in
> der chain-xxxx.pem sind es zwei, in der cert-xxxx.pem ist es nur einer.
Zertifikate enthalten üblicherweise nebem dem eigentlichen End-Zertifikat
auch alle Zwischenzertifikate, aber nicht das Root natürlich.
--
Gruß Marcus
[eisfair-Team]
Mehr Informationen über die Mailingliste Eisfair