[Eisfair] Problem mit eigenem (LE oder ZeroSSL) Zertifikat

[Juergen Edner]

Hallo Uwe,

>> das ist ein lets encrypt Problem
>>
>> Es gibt neue Root Zertificate die wir ueber 'base-certificate' auch 
>> verteilen 'isrg_root_yr.pem, isrg_root_ye.pem'  Nur gie 
>> Zwischenzertifikate  yr1.pem und yr2.pem haben dieses Problem.
> 
> Aber dasselbe Problem habe ich (wie beschrieben) auch mit zerossl !
> 
> ???

eine Zertifikatskette wird geprüft in dem für jedes Zertifikat ein Hash 
auf die zu Grunde liegende Zertifikatsdatei erzeugt wird. Befinden sich 
mehrere Zertifikate in einer Datei, was auch die angezeigte Meldung 
besagt, kann das OpenSSL-Programm keinen Hash erzeugen weil es nicht 
weiß auf welches der enthaltenen Zertifikate referenziert werden soll.

Um das Problem zu beheben musst Du die Datei öffnen und schauen wie 
viele Zertifikate die Datei enthält. Ein Zertifikat wird jeweils durch
die Zeilen "-----BEGIN CERTIFICATE-----" und "-----END CERTIFICATE-----" 
gekennzeichnet.
Falls z.B. zwei Zertifikate in einer Datei enthalten sind musst Du zwei 
separate Zertifikatsdateien mit jeweils einem Zertifikat erstellen. Bei 
der Benennung der Dateien richtet man sich üblicherweise nach dem Text 
im CN-Feld.

Beispiel: # openssl x509 -in securesmtp.t-online.de.pem  -noout -subject
subject=C=DE, ST=Nordrhein-Westfalen, L=Bonn, O=Deutsche Telekom AG, 
CN=securesmtp.t-online.de

-> securesmtp.t-online.de.pem

Hast Du die Dateien im Zertfikatsverzeichnis /usr/local/ssl/certs 
abgelegt und die Zugriffsrechte korrekt gesetzt, so kannst Du 
anschließend die Hashes erstellen lassen.

/var/install/bin/certs-update-hashes -both

Gruß Jürgen

-- 
Mail: juergen at eisfair.org