joe2017
Goto Top

Apache 2.4. unter Windows Server - SSL Zertifikatfehler

Schönen guten Morgen zusammen,

Ich habe den Apache 2.4. auf einem Windows Server bereitgestellt und möchte meine Virtual Hosts mit SSL verschlüsseln.
Hier bekomme ich immer wieder eine Fehlermeldung und hoffe das mir jemand einen Tipp geben kann.

Folgendes habe ich durchgeführt:
  • Apache 2.4. auf C:\ entpackt
  • SSL Zertifikat von meinem AD-CA bereitgestellt (ECC-384)
  • SSL Zertifikat als PFX exportiert
  • Folgendes am OpenSSL durchgeführt
pkcs12 -in f:\certificate.pfx -nocerts -out f:\key.pem
ec -in f:\key.pem -out f:\key_noPrivateKey.pem
pkcs12 -in f:\certificate.pfx -clcerts -nokeys -out f:/cert.pem
  • zusätzlich habe ich ein chain Zertifikat meiner ROOT & Intermediate CA
  • In meiner httpd-vhosts.conf habe ich folgendes eingetragen
<VirtualHost *:443>
    ServerAdmin webmaster@domain.net
    DocumentRoot "C:/Web/site1"  
    ServerName server.domain.net
    ErrorLog "logs/site1-error.log"  
    CustomLog "logs/site1-access.log" common  
    SSLEngine on
    SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384
    SSLCertificateFile "C:\Apache24\conf\cert.pem"  
    SSLCertificateKeyFile "C:\Apache24\conf\key_noPrivateKey.pem"  
    SSLCertificateChainFile "C:\Apache24\conf\chain.pem"  
</VirtualHost>

Dennoch erhalte ich folgende Fehlermeldung:
[Tue Feb 19 08:10:08.449194 2019] [ssl:emerg] [pid 2360:tid 424] AH02561: Failed to configure certificate server.domain.net:443:0, check C:/Apache24/conf/cert.pem
[Tue Feb 19 08:10:08.449194 2019] [ssl:emerg] [pid 2360:tid 424] SSL Library Error: error:140AB18E:SSL routines:SSL_CTX_use_certificate:ca md too weak

Irgendwie komme ich hier nicht weiter. Was mache ich falsch?

Content-ID: 419293

Url: https://administrator.de/contentid/419293

Ausgedruckt am: 13.11.2024 um 01:11 Uhr

godlie
godlie 19.02.2019 um 09:36:02 Uhr
Goto Top
Hallo,

also das steht ja eigentlich wunderschön in der Fehlermeldung:

SSL_CTX_use_certificate:ca md too weak

das heist, das eines deiner Zertificate einen MD5 Hash verwendet und wie wir ja wissen ist der Käse gelutscht.

Schau dir mal die Einstellungen bzgl. Sicherheit / Algorithmus beim CA an, sha256 ... ist mal ratsam hierbei
bob1991
bob1991 19.02.2019 um 09:44:13 Uhr
Goto Top
Hi,

nach meinem Kenntnisstand wird das Chain File unter das "key_noPrivateKey.pem" gepackt. Sprich in eine Datei - ab Apache 2.4.
Ich kann mich godlie aber anschließen, das wird dich Sicherlich zur Problemlösung herbei führen.

Dann hat du nur noch das SSL CertificateFIle und das SSLCertificateKeyFile.


Gruß
joe2017
joe2017 19.02.2019 um 09:45:51 Uhr
Goto Top
Das ist ja das Problem.

Mein Zertifikat ist ein ECDSA mit einem sha384. MD5 habe ich nicht im Einsatz.
godlie
godlie 19.02.2019 aktualisiert um 10:39:42 Uhr
Goto Top
Poste mal die openssl *.cnf file, ich glaube das du noch eine "ältere" openssl version hast, welche als default_md noch md5 nutzt.

Ab openssl 1.1 wird sha256 als Standard verwendet.

Alternativ kannst du die default_md auf sha256 setzen und dann nochmal die certs neu generieren
joe2017
joe2017 19.02.2019 um 16:53:33 Uhr
Goto Top
Ich generiere ja kein Zertifikat mit OpenSSL, sondern mit meiner Microsoft AD-CA.

Diese Zertifikate können im Apache jedoch nicht verwendet werden, weshalb ich mit OpenSSL lediglich die beiden Dateien (cert und key) aus meinem bereits vorhandnen Zertifikat exportiere. Somit wird ja kein neues Zertifikat erstellt.
Dani
Dani 19.02.2019 um 17:21:04 Uhr
Goto Top
Moin,
Mein Zertifikat ist ein ECDSA mit einem sha384.
Sicher? Oder meinst du die entsprechende Cipher Suite? Poste doch einfach ein Screenshot der entsprechenden Eigenschaften des betroffenen Zertifiakts. Parallel schau mal die Eigenschaften des Zertifikats durch, ob dort etwas aufällig ist.


Gruß,
Dani
joe2017
joe2017 20.02.2019 um 09:12:35 Uhr
Goto Top
Sollte eigentlich alles passen.

Signatur algorithm: ECDSA
Signatur hash algorithm: sha384
Public key parameters: ECDH_P384

Was OpenSSL im Anschluss bei dem Split macht kann ich natürlich nicht sagen.