joe2017
19.02.2019
view5199
view7
0
Goto Top

Apache 2.4. unter Windows Server - SSL Zertifikatfehler

FrageLinuxWebserver
Schönen guten Morgen zusammen,

Ich habe den Apache 2.4. auf einem Windows Server bereitgestellt und möchte meine Virtual Hosts mit SSL verschlüsseln.
Hier bekomme ich immer wieder eine Fehlermeldung und hoffe das mir jemand einen Tipp geben kann.

Folgendes habe ich durchgeführt:
  • Apache 2.4. auf C:\ entpackt
  • SSL Zertifikat von meinem AD-CA bereitgestellt (ECC-384)
  • SSL Zertifikat als PFX exportiert
  • Folgendes am OpenSSL durchgeführt
pkcs12 -in f:\certificate.pfx -nocerts -out f:\key.pem
ec -in f:\key.pem -out f:\key_noPrivateKey.pem
pkcs12 -in f:\certificate.pfx -clcerts -nokeys -out f:/cert.pem
  • zusätzlich habe ich ein chain Zertifikat meiner ROOT & Intermediate CA
  • In meiner httpd-vhosts.conf habe ich folgendes eingetragen
<VirtualHost *:443>
    ServerAdmin webmaster@domain.net
    DocumentRoot "C:/Web/site1"  
    ServerName server.domain.net
    ErrorLog "logs/site1-error.log"  
    CustomLog "logs/site1-access.log" common  
    SSLEngine on
    SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384
    SSLCertificateFile "C:\Apache24\conf\cert.pem"  
    SSLCertificateKeyFile "C:\Apache24\conf\key_noPrivateKey.pem"  
    SSLCertificateChainFile "C:\Apache24\conf\chain.pem"  
</VirtualHost>

Dennoch erhalte ich folgende Fehlermeldung:
[Tue Feb 19 08:10:08.449194 2019] [ssl:emerg] [pid 2360:tid 424] AH02561: Failed to configure certificate server.domain.net:443:0, check C:/Apache24/conf/cert.pem
[Tue Feb 19 08:10:08.449194 2019] [ssl:emerg] [pid 2360:tid 424] SSL Library Error: error:140AB18E:SSL routines:SSL_CTX_use_certificate:ca md too weak

Irgendwie komme ich hier nicht weiter. Was mache ich falsch?
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 419293

Url: https://administrator.de/contentid/419293

Ausgedruckt am: 25.11.2024 um 22:11 Uhr

7 Kommentare
Neuester Kommentar
Goto Top
godlie
godlie 19.02.2019 um 09:36:02 Uhr
Goto Top
Hallo,

also das steht ja eigentlich wunderschön in der Fehlermeldung:

SSL_CTX_use_certificate:ca md too weak

das heist, das eines deiner Zertificate einen MD5 Hash verwendet und wie wir ja wissen ist der Käse gelutscht.

Schau dir mal die Einstellungen bzgl. Sicherheit / Algorithmus beim CA an, sha256 ... ist mal ratsam hierbei
bob1991
bob1991 19.02.2019 um 09:44:13 Uhr
Goto Top
Hi,

nach meinem Kenntnisstand wird das Chain File unter das "key_noPrivateKey.pem" gepackt. Sprich in eine Datei - ab Apache 2.4.
Ich kann mich godlie aber anschließen, das wird dich Sicherlich zur Problemlösung herbei führen.

Dann hat du nur noch das SSL CertificateFIle und das SSLCertificateKeyFile.


Gruß
joe2017
joe2017 19.02.2019 um 09:45:51 Uhr
Goto Top
Das ist ja das Problem.

Mein Zertifikat ist ein ECDSA mit einem sha384. MD5 habe ich nicht im Einsatz.
godlie
godlie 19.02.2019 aktualisiert um 10:39:42 Uhr
Goto Top
Poste mal die openssl *.cnf file, ich glaube das du noch eine "ältere" openssl version hast, welche als default_md noch md5 nutzt.

Ab openssl 1.1 wird sha256 als Standard verwendet.

Alternativ kannst du die default_md auf sha256 setzen und dann nochmal die certs neu generieren
joe2017
joe2017 19.02.2019 um 16:53:33 Uhr
Goto Top
Ich generiere ja kein Zertifikat mit OpenSSL, sondern mit meiner Microsoft AD-CA.

Diese Zertifikate können im Apache jedoch nicht verwendet werden, weshalb ich mit OpenSSL lediglich die beiden Dateien (cert und key) aus meinem bereits vorhandnen Zertifikat exportiere. Somit wird ja kein neues Zertifikat erstellt.
Dani
Dani 19.02.2019 um 17:21:04 Uhr
Goto Top
Moin,
Mein Zertifikat ist ein ECDSA mit einem sha384.
Sicher? Oder meinst du die entsprechende Cipher Suite? Poste doch einfach ein Screenshot der entsprechenden Eigenschaften des betroffenen Zertifiakts. Parallel schau mal die Eigenschaften des Zertifikats durch, ob dort etwas aufällig ist.


Gruß,
Dani
joe2017
joe2017 20.02.2019 um 09:12:35 Uhr
Goto Top
Sollte eigentlich alles passen.

Signatur algorithm: ECDSA
Signatur hash algorithm: sha384
Public key parameters: ECDH_P384

Was OpenSSL im Anschluss bei dem Split macht kann ich natürlich nicht sagen.
FrageLinuxWebserver
Mehr von joe2017joe2017Windows Server 2019 RDP Verbindung - Printer redirect funktioniert nichtjoe2017 - 9 Kommentarejoe2017Excel Formel Filter ohne doppelte Wertejoe2017 - 8 Kommentarejoe2017Excel Formel gesucht (index,vergleich,filter)joe2017 - 13 Kommentarejoe2017Excel Formel gesuchtjoe2017 - 36 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 KommentareLangaberWindows Server Sicherung Restore - MöglichkeitenLangaber - 21 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 20 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareBlitterWindows 10 u. 11 und 802.1x Netzwerk PortsecurityBlitter - 15 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 15 KommentaremaxMicrosoft plant für 2025 mehrere Preiserhöhungenmax - 14 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 13 KommentareUnluckyProccess1999Creo 4.0 Lizenz Server (LMTOOLS)UnluckyProccess1999 - 13 KommentareEnrixkHilfe bei Netzwerkinfrastruktur für AbschlussprojektEnrixk - 12 KommentareDaniSIP Zugangsdaten von Vodafone erhaltenDani - 12 KommentareHemingwayWord Makro soll aktuelle Datei regelmäßig kopieren und speichernHemingway - 11 Kommentare