Nginx TLSv1.2 (OUT), TLS alert, unknown CA (560)

Mitglied: OIOOIOOIOIIOOOIIOIIOIOOO

OIOOIOOIOIIOOOIIOIIOIOOO (Level 1) - Jetzt verbinden

20.04.2021, aktualisiert 10:43 Uhr, 507 Aufrufe, 9 Kommentare

Moin an alle,

wiedermal sitze ich vor einer Herausforderung welche mich überfordert und bekomme noch nicht einmal ansatzweise mal eine Lösung.

Ich habe mir mal einen Suse Server aufgesetzt:

Kernel: 5.3.18-lp152.69-default x86_64 bits: 64 Console: tty 0 Distro: openSUSE Leap 15.2

Um uns etwas fortzubilden haben wir uns bei der Maschine für nginx/1.16.1 entschieden

Wir haben auf dem Server vorerst zwei vhosts mit der Nachfolgende Konfig angelegt.

Seite 1: /etc/nginx/sites/seite1_de.conf

Die Seite wird ganz gewöhnlich aufgerufen auch mit dem Port 443 keine Probleme. Mit keinem Browser. Weder mit Firefox noch Cronium.

Nun zum Problem: bei dem Aufruf über curl hingegen haben wir folgende Ausgabe:


Natürlich könnte man das auch ignorieren, nur denke ich mir, dass die Suchmaschinen-Spinnen damit nicht umgehen können.

Hat wer eine Idee, wo das Problem liegen könnte?

Viele Grüße

Ich
Mitglied: tagol.de
20.04.2021 um 09:09 Uhr
hallo

deine zertifizierungs kette ist nicht vollstaendig.
Bitte warten ..
Mitglied: OIOOIOOIOIIOOOIIOIIOIOOO
20.04.2021 um 09:15 Uhr
vielen Dank für deine Antwort, was fehlt da noch?

Wir haben den Schlüssel, das Zertifikat und den ServerCA. Was fehlt uns noch?

Würde auch beim Aufruf mit einem Browser nicht auch zu Problemen führen, wenn die Kette unvollständig wäre?
Bitte warten ..
Mitglied: OIOOIOOIOIIOOOIIOIIOIOOO
20.04.2021 um 09:16 Uhr
wir haben auch die beiden Pakete nachinstalliert:

ca-certificates-cacert
ca-certificates-mozilla
Bitte warten ..
Mitglied: SlainteMhath
20.04.2021 um 09:58 Uhr
Moin,

der Rechner auf dem du curl aufrust, kennt nicht alle CAs aus der Validierungskette deines Server-Zertifikates.
Abhllfe: Fehlende Zertifikate auf dem Rechner installieren, der CURL aufruft

Wenn FF, Chrome und Edge die Seite ohne Fehlermeldung öffnen sollte am TLS vom Webserver alles passen.

lg,
Slainte
Bitte warten ..
Mitglied: OIOOIOOIOIIOOOIIOIIOIOOO
20.04.2021 um 10:26 Uhr
Zitat von @SlainteMhath:
der Rechner auf dem du curl aufrust, kennt nicht alle CAs aus der Validierungskette deines Server-Zertifikates.
Abhllfe: Fehlende Zertifikate auf dem Rechner installieren, der CURL aufruft

Wenn FF, Chrome und Edge die Seite ohne Fehlermeldung öffnen sollte am TLS vom Webserver alles passen.

Den Aufruf machen wir auch local am Server. Da bekommen wir das gleiche Ergebnis. des weterem, wird das Zertifikat auch auf anderen Servern (httpd) eingesetzt, dort haben wir jedoch keine Probleme.

Zitat von @tagol.de:

bei nginx muss man die kette manuel schliessen:

siehe:

https://ldeds.de/?q=nginx%20zertifikate%20kette
Vielen Dank, für deine Hilfe -.- so viele Fehler beim Tippen habe ich jedoch nicht gehabt :p



Auf diese Seite waren wir auch und konnten leider nicht sofort erkennen was man an welche Stelle und wofür gesetzt werden soll.

Ich versuche jetzt mal aufzuschlüsseln, so wie ich es verstanden habe:

cat domain.tld.crt sub-ca.cer > domain-bundle.crt

domain.tld.crt = Zertifikat, welches wir von Zertifizierungstelle erhalten haben (2021_wc.seite1_de.crt)
sub-ca.cer = Die Requestdatei welche wir selbst generiert haben
domain-bundle.crt = Ergebnis für das Zertifikat für NGINX

Erst also das eigentliche Zertifikat für die Domäne (domain.tld) – dann die Zwischenzertifizierungsstelle (sub-ca). Die Stammzertifizierungsstelle (Root-CA) wird meistens nicht benötigt.

Was ist ein "sub-ca"? Sagt mir bitte nicht Zwischenzertifizierungsstelle :) face-smile Wie und wo bekomme ich diese?

Manchmal muss man aber doch auch das Root-CA mit in Kette mit aufnehmen (z.B. bei Zertifikate einer eigenen CA) – dann wäre es:
cat domain.tld.crt sub-ca.cer root-ca.cer > domain-bundle.crt

an diese Stelle bin ich raus

Erst also das eigentliche Zertifikat für die Domäne (domain.tld) – dann die Zwischenzertifizierungsstelle (sub-ca) und am Schluss die Stammzertifizierungsstelle (root-ca).

Wenn man die Zertifikate von Windows-Systemen bekommt, sollte man alle vorher mit
openssl x509 -inform der -in certificate.cer -out certificate.pem

Dieser Schritt ist bei uns nicht nötig, da wir mit Linux arbeiten.

umwandeln und dann eben mit
cat domain.tld.pem sub-ca.pem root-ca.pem > domain-bundle.crt

weiterverarbeiten.

In der Nginx-Config jetzt enfach das bundle.crt in der Zeile

ssl_certificate /etc/nginx/ssl/domain-bundle.crt;

angeben und nginx dann neustarten.

:-/ face-confused
Bitte warten ..
Mitglied: tagol.de
20.04.2021 um 10:32 Uhr
welches zert hast du? bzw. vom welchem anbieter?
Bitte warten ..
Mitglied: OIOOIOOIOIIOOOIIOIIOIOOO
20.04.2021, aktualisiert um 10:39 Uhr
wildcard über sslplus bezogen von certum
Bitte warten ..
Mitglied: OIOOIOOIOIIOOOIIOIIOIOOO
20.04.2021, aktualisiert um 10:52 Uhr
cat 2021_wc.seite1_de.crt 2021_SectigoRSAExtendedValidationSecureServerCA.crt > ca-bundle.crt

in die vhost eingetragen und überfüssige entfernen oder auskommentieren:


systemctl restart nginx

Firtisch!

Danke dir tagol.de :) face-smile
Bitte warten ..
Heiß diskutierte Inhalte
LAN, WAN, Wireless
Unterschiedliche IP-Adressbereiche im Netzwerk
achkleinVor 1 TagFrageLAN, WAN, Wireless17 Kommentare

Hallo, ich stehe vor einem Problem mit der WLAN-Verbindung zum Router (Fritzbox Cable 6490). Das verbundene Notebook hat die Adresse 192.168.0.164, Gateway ist 192.168.0.149: ...

Off Topic
Microsoft und der (leidige) Datenschutz
Franz-Josef-IIVor 1 TagAllgemeinOff Topic18 Kommentare

Hello Ich möchte vorausschicken, daß ich rein prinzipiell nichts gegen Microsoft habe, eher gegen die US-amerikanische Politik 😊 Microsoft bietet die Datenverarbeitung in der ...

Off Topic
32 bit Problem
brammerVor 1 TagAllgemeinOff Topic9 Kommentare

Hallo, also das ist mal ein Problem das ich auch haben möchte eine Aktie ist mehr Wert als das die Börsensoftware darstellen kann. brammer

Hardware
Thin- oder Zero-Client für RDP und Dual-Monitor im LAN gesucht
FestplattenaufzieherVor 1 TagFrageHardware9 Kommentare

Hallo, Kurzfassung meiner Frage: Ich suche Thin/Zero-Clients (4 Stück) mit Dual-Monitor-Unterstützung für den RDP-Zugriff auf PCs in einem LAN - idealerweise lautlos und relativ ...

Windows 10
Windows 10 2021-04 end of life?
gelöst Paedi12Vor 1 TagFrageWindows 103 Kommentare

Hi Leute! Ich bin gerade auf der Suche, wie lange die Windows Version 2021-04 unterstützt wird. Kann aber nichts finden. Hat jemand eine Ahnung, ...

Switche und Hubs
Netgear Switch Problem bei VLAN Konfiguration
gelöst meltersVor 1 TagFrageSwitche und Hubs15 Kommentare

Hallo, ich habe einen Netgear XS716T Switch zum Testen in Betrieb genommen, komme aber mit der VLAN Konfiguration nicht so ganz klar. Bislang habe ...

Router & Routing
Suche Tipps für Selfmade-Load-Balancing-Router auf HP MicroServer Gen10+
gelöst MagicChris86Vor 1 TagFrageRouter & Routing7 Kommentare

Hi Leute, ich habe einen HP MicroServer Gen10+ Performance übrig, der bei einer Kundin rausgeflogen ist, weil sie mehr Power brauchte für Desktopvirtualisierung für ...

LAN, WAN, Wireless
Richtfunk Beratung
gelöst PretreVor 1 TagFrageLAN, WAN, Wireless5 Kommentare

Hallo zusammen, hab folgendes vor, die 2 Standorte sollen per Richtfunk (PTMP) mit Internet versorgt werden. Habs mal skizziert, denke das ist einfacher zu ...