Haben wir Probleme mit einem Zertifikat, sind häufig fehlende Zwischen- oder Stammzertifikate die Ursache.
Wir rufen zunächst im certs-Menü den Punkt "Show certificate chain" auf und wählen das zu prüfende Zertifikat aus.
Erscheint als letzte Zeile nicht "End of chain" sondern z. B.:
certificate : smtp.1und1.de.pem (6dc8b1dc)
subject : /C=DE/O=1 und 1 Internet
AG/ST=Rheinland-Pfalz/L=Montabaur/emailAddress=server-certs@1und1.de/CN=smtp.1und1.de
issuer : /C=DE/O=T-Systems International GmbH/OU=T-Systems Trust
Center/ST=NRW/postalCode=57250/L=Netphen/street=Untere Industriestr.
20/CN=TeleSec ServerPass DE-1
SHA1 f-print: 0C:1D:EB:7C:16:91:73:B6:7A:CE:0B:30:18:6D:84:DA:7E:85:CC:E4
+-> Error: file '/usr/local/ssl/certs/eb20b578.0' missing!
fehlt mindestens ein Zertifikat in der Kette.
Nun schauen wir in die Issuer-Zeile des vor der Fehlermeldung stehenden Zertifikats - insbesondere die (nicht immer vorhandene) CN-Angabe - und füttern Google damit, also in diesem Fall mit folgenden Suchbegriffen:
TeleSec ServerPass DE-1 Download
was uns u. a. folgenden Suchtreffer beschert:
https://www.telesec.de/serverpass/support_rootca_akzeptanz.html
Von dieser Seite laden wir uns nun das Zertifikat im pem-Format (es kann auch ascci-kodiert angegeben sein, binär kodiert hilft uns nicht weiter), und legen es auf dem eisfair-Server im Verzeichniss /usr/local/ssl/certs ab.
Ein ascii-kodiertes pem-Zertifikat hat ungefähr folgenes Aussehen:
-----BEGIN CERTIFICATE-----
MIIGmzCCBYOgAwIBAgIIIbZ3foy9DqgwDQYJKoZIhvcNAQEFBQAwcTELMAkGA1UE
BhMCREUxHDAaBgNVBAoTE0RldXRzY2hlIFRlbGVrb20gQUcxHzAdBgNVBAsTFlQt
VGVsZVNlYyBUcnVzdCBDZW50ZXIxIzAhBgNVBAMTGkRldXRzY2hlIFRlbGVrb20g
Um9vdCBDQSAyMB4XDTEzMDMwMTEzNTgyOVoXDTE5MDcwOTIzNTkwMFowgckxCzAJ
BgNVBAYTAkRFMSUwIwYDVQQKExxULVN5c3RlbXMgSW50ZXJuYXRpb25hbCBHbWJI
...
Penv1Pe7MhUkCK0LqdTvkI/AHFzPYg/l5E3j8lQQ8hiKx8U6wf9xVKECLA2RlRqY
UX2rpjQNxnvEq/mEQv3x3mLOEFJ3TAKI+soDgOOi0OG8+ywhm6S+7Z9lTlJ+BcD6
oy1MNKd4CQbltHLMTFUH
-----END CERTIFICATE-----
Enthält das Zertifikat weitere lesbare Zertifikatsinformationen, löscht man diese bis auf den durch "BEGIN" und "END" eingeschlossenen Block einschliesslich der "BEGIN"- und "END"-Zeile.
Falls die Endung der Datei nicht pem sondern z. B. auf cer oder crt lautet, ändern wir diese dabei in pem ab.
Anschliessend rehashen
/usr/bin/ssl/c_rehash /usr/local/ssl/certs
und erneute Prüfung der Zertifikatskette. Fehlt jetzt immer noch ein Zertifikat in der Kette, wiederholen wir die gerade gemachten Schritte.
Ganz zum Schluss rufen wir dann noch den Menüpunkt "Update Revocation list(s)" im certs-Menü auf.