Versions Compared

Old Version 13

changes.mady.by.user Marcus Röckrath

Saved on

compared with

New Version Current

changes.mady.by.user Marcus Röckrath

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Comment: certs-update-hashes statt c_rehash

 

Gibt es Probleme mit einem Zertifikat, sind häufig fehlende Zwischen- oder Stammzertifikate die Ursache.

...

was uns u. a. folgenden Suchtreffer beschert:

https://www.telesec.de/de/serverpass/support_rootca_akzeptanz.htmlVon dieser Seite laden wir uns nun das Zertifikat im pem-Format (es kann auch ascci-kodiert angegeben sein, binär kodiert hilft uns nicht weiter), /root-sub-ca-zertifikate

Wir wählen auf der Übersichtsseite den Link "TeleSec ServerPass DE 1" aus und landen auf der Downloadseite für dieses Zertifikat.

Nun müssen wir schauen, in welchem Format uns das Zertifikat angeboten wird, im binär-Format oder ascii-Format (pem). Letzteres brauchen wir für den eisfair-Server.

Nach dem Download eines Zertifikats kann auch mit dem file-Befehl geprüft werden, ob es im binär- oder ascii-Format vorliegt:

Code Block
languagebash
# file --mime-encoding telesec-serpass-de-2.cer
telesec-serpass-de-2.cer: binary
# file --mime-encoding telesec-serpass-de-2.cer
telesec-serpass-de-2.cer: us-ascii

Finden wir einen Download-Link für das Zertifikat im ascii-Format, laden wir es uns herunter und legen es auf dem eisfair-Server im Verzeichniss /usr/local/ssl/certs ab.

...

Falls die Endung der Datei nicht pem sondern z. B. auf cer oder crt lautet, ändern wir diese dabei in pem ab.

Anschliessend rehashen

/usr/bin/ssl/c_rehash /usr/local/ssl/certs

und erneute Prüfung der Zertifikatskette.

Aktuell wird das Zertifikat allerdings nur binär-kodiert angeboten. Wir nutzen den Download-Link und erhalten TeleSecServerPassDE-1.der. Blicken wir z. B. per Editor in diese Datei, finden wir keine "BEGIN CERTIFICATE"-Zeile, es ist also binär-kodiert.

Nun speichern wir diese Datei zunächst in einem beliebigen Verzeichnis des eisfair-Servers ab, wandeln sie in das ascii-Format um

openssl x509 -inform der  -in TeleSecServerPassDE-1.der -out TeleSecServerPassDE1.pem

und legen sie auf dem eisfair-Server im Verzeichniss /usr/local/ssl/certs ab.

Anschliessend rehashen

/var/install/bin/certs-update-hashes (Option 1 wählen)

und führen anschließend eine erneute Prüfung der Zertifikatskette durch. Fehlt jetzt immer noch ein Zertifikat in der Kette, wiederholen wir die gerade gemachten Schritte.

...

Über den Menüpunkt "Download ca certificate bundle" im certs-Menü werden eine ganze Reihe von Stamm- und Zwischenzertifikaten installiert. Seit der Version 1.3.3 des certs-Paketes wird hierbei das Zertifkatsbundle des Mozilla-Projektes geladen.

Weitere Downloadlinks für Zertifikate:

https://support.comodo.com/index.php?_m=downloads&_a=view&parentcategoryid=4https://www.telesec.de/serverpass/support_rootca_akzeptanz.html