winlin
Goto Top

Credhub Eintrag fuer CA CRT und Key

Hallo Zusammen,

ich habe zwei CA Files eine CRT und eine KEY File. Ich dachte wenn ich das in eine File packen möchte dann kann ich das so machen:
cat ca1 ca2 crt key > cert-chain

Ist das so richtig? Und wenn ja wie kann ich dann das neue File überprüfen ob es ok ist?
Mit:
openssl verify -CAfile cert-chain

Ich möchte dieses File letztendlich in credhub tun mit:
credhub set -n /meinordner/segment/internets-cert -t certificate -c cert-chain

Ist das allesso korrekt oder is was falsxch?

Content-ID: 3166174001

Url: https://administrator.de/forum/credhub-eintrag-fuer-ca-crt-und-key-3166174001.html

Ausgedruckt am: 23.12.2024 um 00:12 Uhr

colinardo
colinardo 24.06.2022 aktualisiert um 15:17:18 Uhr
Goto Top
Servus.
Zitat von @winlin:
ich habe zwei CA Files eine CRT und eine KEY File. Ich dachte wenn ich das in eine File packen möchte dann kann ich das so machen:
cat ca1 ca2 crt key > cert-chain
Kann man machen, der Dienst bzw. Service muss solch aufgebaute *.pem Files aber auch unterstützten, tut er das nicht bringt dir ein so zusammengesetzter Zertifikats-Container nichts.

Und wenn ja wie kann ich dann das neue File überprüfen ob es ok ist?
Mit:
openssl verify -CAfile cert-chain
Nein, verify erwartet in -CAfile nur die CA Zertifikate, das End-Zertifikat das von einer dieser CAs signiert wurde muss dann separat im Befehl angegeben werden, bsp.:
openssl verify -CAfile ca_certs.pem /path/to/cert.pem
Ich möchte dieses File letztendlich in credhub tun mit:
credhub set -n /meinordner/segment/internets-cert -t certificate -c cert-chain
Ob der Commandline Parameter -c ein solch zusammengesetztes Zertfikat akzeptiert ist leider in der Doku nicht aufgeführt, es wird wohl eher nicht funktionieren, erstens weil es separate Parameter für die --root ca --private key etc gibt und der Quelltext der CLI dies ebenfalls vermuten lässt das keine zusammengesetzte Chain supported wird , aber warum hältst du dich nicht an die Doku, oder probierst es zumindest einfach mal selbst aus?? Das sollte man hier doch eigentlich erwarten können oder nicht?
credhub set -t certificate -n '/example-certificate' -r ./root.pem -c ./cert.pem -p ./private.pem  
https://docs.cloudfoundry.org/api/credhub/version/credhub-cli/#type-cert ...
Ist das allesso korrekt oder is was falsxch?
In dem Satz ziemlich viel falsch face-smile.

Grüße Uwe