netzer2021
Goto Top

Self-signed Certs funktioniern nicht mehr

Hallo Community,

ich habe mir heute auf einem neuen Rechner Ubuntu 22.04 installiert. Wie ich erfahren habe ist hier im Standard openssl 3 installiert. Meine self-signed certs habe ich mit opensense in der Version 1.1.x erstellt. Aktuell habe ich - wie sonst auch anhand: https://ubuntu.com/server/docs/security-trust-store meine CA, iCA und cert dem System zur Verfügung gestellt. Leider scheint es, als wenn diese nicht mehr durch Ubuntu selber als auch nicht im Firefox genutzt werden können. Im Brave habe ich sie hingegen manuell hinzugefügt, da Brave meines Wissens nicht auf den "System Cert Store" zurückgreift. Hier funktionieren weiterhin alle Verbindungen. Da ich aber leider z.B.: für Vaultwarden und den Nextcloud self-signed auf Ubuntu System Ebene benötige brauche ich eine Lösung. Aktuell fehlt mir der Ansatzpunkt:

  • openssl soll mit Version 1 kompatibel sein? Dann müsste ja alles laufen
  • kann ich version 3 neben version 1 installieren ohne das Gefühl zu haben irgendwas zu "vermatschen"
  • müsste ich die Certs mit Version 3 neu erstellen oder gibt es eine Art Update?

Danke für eure Hinweise.

Content-Key: 4941020252

Url: https://administrator.de/contentid/4941020252

Printed on: February 23, 2024 at 07:02 o'clock

Member: LordGurke
LordGurke Dec 12, 2022 at 20:26:21 (UTC)
Goto Top
Welche Fehlermeldung kommt denn? Vermutlich verwendest du SHA1-Zertifikate in der Kette — das wird früher oder später (eher früher) bei allen Systemen rausfliegen, also sollte man es jetzt beheben, statt irgendwie an OpenSSL herumzufrickeln.
Member: netzer2021
netzer2021 Dec 12, 2022 updated at 21:50:28 (UTC)
Goto Top
Bei Vaultwarden heißt es nur: failed to fetch. Der Fehler hat mir damals aber schon gesagt das etwas mit den Certs nicht stimmt. Allgemein bekomme im Firefox: Error code: SEC_ERROR_UNKNOWN_ISSUER

Im Firefox könnte ich die CA und iCA hinzufügen, aber das löst mein Problem auch nicht auf System Ebene. Wenn OpenSSL 3 Version 1 unterstützt warum gibt es dann überhaupt ein Problem?

SHA1 verwende ich nicht mehr, da damit z.B.: Apple Geräte nicht mehr arbeiten.

Da ich eh bald einen neuen internen Home Server aufsetze der ebenfalls die certs benötigt und ich zwei Geräte nicht mit den self-signed nutzen kann überlege ich nun doch auf LE CERTs umzusteigen. Möchte aber eigentlich keine public Domain nur für interne Zwecke kaufen.
Member: netzer2021
netzer2021 Dec 13, 2022 at 09:52:59 (UTC)
Goto Top
Was ich technisch halt irgendwie überhaupt nicht verstehe warum sollte ein mit openssl 1.x erstelltes Zertifikat unter openssl 3.x nicht mehr funktionieren, obwohl die Version 3 Version 1 unterstützen soll. Habe ich noch eine weitere Möglichkeit, mir Aerox oder Fehlermeldungen anzuzeigen?

Im brave Browser scheint ja auch die Unterstützung für das in der Version 1 vorliegende Zertifikat vorhanden zu sein.

Kann ich nicht einfach oben SSR eins nehmen oben SSL drei installieren? Am besten mit apt install. Habe bisher nur Anleitungen mit Kernel kompilieren und so gesehen.
Member: LordGurke
LordGurke Dec 13, 2022 at 10:49:02 (UTC)
Goto Top
Nochmal: Das hat nichts mit der Version zu tun...

Die Fehlermeldung sagt, dass OpenSSL dem gezeigten Zertifikat nicht vertraut, weil es nicht von einer vertrauten CA unterschrieben wurde. Soweit erwartbar.

Du hast ja das CA in den Trust-Store gelegt. Kannst du verifizieren, dass das tatsächlich das korrekte Zertifikat ist und sich deine Systeme auch sonst konform verhalten?
openssl s_client -connect "deininternerserver:443" -servername "dernamedesinternenzertifikats" -CAfile /pfad/zu/deinem/ca.crt  

OpenSSL wird dann eine HTTPS-Verbindung aufbauen, erzwungen mit Verifikation gegen dein CA.
Wenn dann Fehlermeldungen auftreten, sagt OpenSSL dir genau, was das Problem ist.
Member: netzer2021
netzer2021 Dec 13, 2022 at 12:00:06 (UTC)
Goto Top
Danke für das Feedback.

Mit der Version sehe ich auch so. zur Info: ich habe vor einigen Tagen das gleiche Szenario mit einer Neuinstallation von Pop OS ebenfalls mit 22.04 ausgeführt, wo dieser Fehler nicht auftrat. Daher verstehe ich es absolut nicht gerade.

Ich führe den Befehl nach Hammer aus und poste das Ergebnis in aller Ausführlichkeity. Ist er, kann ich nur ein Aero Chord 18 entnehmen und ziemlich viel zahlen und Information, die ich nicht verstehe.
Member: netzer2021
Solution netzer2021 Dec 13, 2022 at 19:30:13 (UTC)
Goto Top
Kurzes Update: Problem scheint gelöst.

Nachdem ich die BErechtigungen der eigenen CA und iCA auf +rwx gesetzt habe ging aufeinmal auch wget und Zugriff von Nextcloud auf Systemebene ging ebenfalls.
Bei Bitwarden scheint es irgendwie ein Problem mit dem AppImage zu geben. Jedenfalls hab ich mir das deb Paket installiert, damit ging alles ohne weitere Probleme.