7
Apache 2.4. unter Windows Server - SSL Zertifikatfehler
Schönen guten Morgen zusammen,
Ich habe den Apache 2.4. auf einem Windows Server bereitgestellt und möchte meine Virtual Hosts mit SSL verschlüsseln.
Hier bekomme ich immer wieder eine Fehlermeldung und hoffe das mir jemand einen Tipp geben kann.
Folgendes habe ich durchgeführt:
Dennoch erhalte ich folgende Fehlermeldung:
Irgendwie komme ich hier nicht weiter. Was mache ich falsch?
Ich habe den Apache 2.4. auf einem Windows Server bereitgestellt und möchte meine Virtual Hosts mit SSL verschlüsseln.
Hier bekomme ich immer wieder eine Fehlermeldung und hoffe das mir jemand einen Tipp geben kann.
Folgendes habe ich durchgeführt:
- Apache 2.4. auf C:\ entpackt
- SSL Zertifikat von meinem AD-CA bereitgestellt (ECC-384)
- SSL Zertifikat als PFX exportiert
- Folgendes am OpenSSL durchgeführt
pkcs12 -in f:\certificate.pfx -nocerts -out f:\key.pem
ec -in f:\key.pem -out f:\key_noPrivateKey.pem
pkcs12 -in f:\certificate.pfx -clcerts -nokeys -out f:/cert.pem- zusätzlich habe ich ein chain Zertifikat meiner ROOT & Intermediate CA
- In meiner httpd-vhosts.conf habe ich folgendes eingetragen
<VirtualHost *:443>
ServerAdmin webmaster@domain.net
DocumentRoot "C:/Web/site1"
ServerName server.domain.net
ErrorLog "logs/site1-error.log"
CustomLog "logs/site1-access.log" common
SSLEngine on
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384
SSLCertificateFile "C:\Apache24\conf\cert.pem"
SSLCertificateKeyFile "C:\Apache24\conf\key_noPrivateKey.pem"
SSLCertificateChainFile "C:\Apache24\conf\chain.pem"
</VirtualHost>Dennoch erhalte ich folgende Fehlermeldung:
[Tue Feb 19 08:10:08.449194 2019] [ssl:emerg] [pid 2360:tid 424] AH02561: Failed to configure certificate server.domain.net:443:0, check C:/Apache24/conf/cert.pem
[Tue Feb 19 08:10:08.449194 2019] [ssl:emerg] [pid 2360:tid 424] SSL Library Error: error:140AB18E:SSL routines:SSL_CTX_use_certificate:ca md too weakIrgendwie komme ich hier nicht weiter. Was mache ich falsch?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 419293
Url: https://administrator.de/contentid/419293
Printed on: April 19, 2024 at 09:04 o'clock
7 Comments
Latest comment
Hallo,
also das steht ja eigentlich wunderschön in der Fehlermeldung:
das heist, das eines deiner Zertificate einen MD5 Hash verwendet und wie wir ja wissen ist der Käse gelutscht.
Schau dir mal die Einstellungen bzgl. Sicherheit / Algorithmus beim CA an, sha256 ... ist mal ratsam hierbei
also das steht ja eigentlich wunderschön in der Fehlermeldung:
SSL_CTX_use_certificate:ca md too weakdas heist, das eines deiner Zertificate einen MD5 Hash verwendet und wie wir ja wissen ist der Käse gelutscht.
Schau dir mal die Einstellungen bzgl. Sicherheit / Algorithmus beim CA an, sha256 ... ist mal ratsam hierbei
Hi,
nach meinem Kenntnisstand wird das Chain File unter das "key_noPrivateKey.pem" gepackt. Sprich in eine Datei - ab Apache 2.4.
Ich kann mich godlie aber anschließen, das wird dich Sicherlich zur Problemlösung herbei führen.
Dann hat du nur noch das SSL CertificateFIle und das SSLCertificateKeyFile.
Gruß
nach meinem Kenntnisstand wird das Chain File unter das "key_noPrivateKey.pem" gepackt. Sprich in eine Datei - ab Apache 2.4.
Ich kann mich godlie aber anschließen, das wird dich Sicherlich zur Problemlösung herbei führen.
Dann hat du nur noch das SSL CertificateFIle und das SSLCertificateKeyFile.
Gruß
Das ist ja das Problem.
Mein Zertifikat ist ein ECDSA mit einem sha384. MD5 habe ich nicht im Einsatz.
Mein Zertifikat ist ein ECDSA mit einem sha384. MD5 habe ich nicht im Einsatz.
Poste mal die openssl *.cnf file, ich glaube das du noch eine "ältere" openssl version hast, welche als default_md noch md5 nutzt.
Ab openssl 1.1 wird sha256 als Standard verwendet.
Alternativ kannst du die default_md auf sha256 setzen und dann nochmal die certs neu generieren
Ab openssl 1.1 wird sha256 als Standard verwendet.
Alternativ kannst du die default_md auf sha256 setzen und dann nochmal die certs neu generieren
Ich generiere ja kein Zertifikat mit OpenSSL, sondern mit meiner Microsoft AD-CA.
Diese Zertifikate können im Apache jedoch nicht verwendet werden, weshalb ich mit OpenSSL lediglich die beiden Dateien (cert und key) aus meinem bereits vorhandnen Zertifikat exportiere. Somit wird ja kein neues Zertifikat erstellt.
Diese Zertifikate können im Apache jedoch nicht verwendet werden, weshalb ich mit OpenSSL lediglich die beiden Dateien (cert und key) aus meinem bereits vorhandnen Zertifikat exportiere. Somit wird ja kein neues Zertifikat erstellt.
Moin,
Gruß,
Dani
Mein Zertifikat ist ein ECDSA mit einem sha384.
Sicher? Oder meinst du die entsprechende Cipher Suite? Poste doch einfach ein Screenshot der entsprechenden Eigenschaften des betroffenen Zertifiakts. Parallel schau mal die Eigenschaften des Zertifikats durch, ob dort etwas aufällig ist.Gruß,
Dani
Sollte eigentlich alles passen.
Signatur algorithm: ECDSA
Signatur hash algorithm: sha384
Public key parameters: ECDH_P384
Was OpenSSL im Anschluss bei dem Split macht kann ich natürlich nicht sagen.
Signatur algorithm: ECDSA
Signatur hash algorithm: sha384
Public key parameters: ECDH_P384
Was OpenSSL im Anschluss bei dem Split macht kann ich natürlich nicht sagen.
