6
Self-signed Certs funktioniern nicht mehr
Hallo Community,
ich habe mir heute auf einem neuen Rechner Ubuntu 22.04 installiert. Wie ich erfahren habe ist hier im Standard openssl 3 installiert. Meine self-signed certs habe ich mit opensense in der Version 1.1.x erstellt. Aktuell habe ich - wie sonst auch anhand: https://ubuntu.com/server/docs/security-trust-store meine CA, iCA und cert dem System zur Verfügung gestellt. Leider scheint es, als wenn diese nicht mehr durch Ubuntu selber als auch nicht im Firefox genutzt werden können. Im Brave habe ich sie hingegen manuell hinzugefügt, da Brave meines Wissens nicht auf den "System Cert Store" zurückgreift. Hier funktionieren weiterhin alle Verbindungen. Da ich aber leider z.B.: für Vaultwarden und den Nextcloud self-signed auf Ubuntu System Ebene benötige brauche ich eine Lösung. Aktuell fehlt mir der Ansatzpunkt:
Danke für eure Hinweise.
ich habe mir heute auf einem neuen Rechner Ubuntu 22.04 installiert. Wie ich erfahren habe ist hier im Standard openssl 3 installiert. Meine self-signed certs habe ich mit opensense in der Version 1.1.x erstellt. Aktuell habe ich - wie sonst auch anhand: https://ubuntu.com/server/docs/security-trust-store meine CA, iCA und cert dem System zur Verfügung gestellt. Leider scheint es, als wenn diese nicht mehr durch Ubuntu selber als auch nicht im Firefox genutzt werden können. Im Brave habe ich sie hingegen manuell hinzugefügt, da Brave meines Wissens nicht auf den "System Cert Store" zurückgreift. Hier funktionieren weiterhin alle Verbindungen. Da ich aber leider z.B.: für Vaultwarden und den Nextcloud self-signed auf Ubuntu System Ebene benötige brauche ich eine Lösung. Aktuell fehlt mir der Ansatzpunkt:
- openssl soll mit Version 1 kompatibel sein? Dann müsste ja alles laufen
- kann ich version 3 neben version 1 installieren ohne das Gefühl zu haben irgendwas zu "vermatschen"
- müsste ich die Certs mit Version 3 neu erstellen oder gibt es eine Art Update?
Danke für eure Hinweise.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 4941020252
Url: https://administrator.de/contentid/4941020252
Printed on: July 27, 2024 at 01:07 o'clock
6 Comments
Latest comment
Welche Fehlermeldung kommt denn? Vermutlich verwendest du SHA1-Zertifikate in der Kette — das wird früher oder später (eher früher) bei allen Systemen rausfliegen, also sollte man es jetzt beheben, statt irgendwie an OpenSSL herumzufrickeln.
Bei Vaultwarden heißt es nur: failed to fetch. Der Fehler hat mir damals aber schon gesagt das etwas mit den Certs nicht stimmt. Allgemein bekomme im Firefox: Error code: SEC_ERROR_UNKNOWN_ISSUER
Im Firefox könnte ich die CA und iCA hinzufügen, aber das löst mein Problem auch nicht auf System Ebene. Wenn OpenSSL 3 Version 1 unterstützt warum gibt es dann überhaupt ein Problem?
SHA1 verwende ich nicht mehr, da damit z.B.: Apple Geräte nicht mehr arbeiten.
Da ich eh bald einen neuen internen Home Server aufsetze der ebenfalls die certs benötigt und ich zwei Geräte nicht mit den self-signed nutzen kann überlege ich nun doch auf LE CERTs umzusteigen. Möchte aber eigentlich keine public Domain nur für interne Zwecke kaufen.
Im Firefox könnte ich die CA und iCA hinzufügen, aber das löst mein Problem auch nicht auf System Ebene. Wenn OpenSSL 3 Version 1 unterstützt warum gibt es dann überhaupt ein Problem?
SHA1 verwende ich nicht mehr, da damit z.B.: Apple Geräte nicht mehr arbeiten.
Da ich eh bald einen neuen internen Home Server aufsetze der ebenfalls die certs benötigt und ich zwei Geräte nicht mit den self-signed nutzen kann überlege ich nun doch auf LE CERTs umzusteigen. Möchte aber eigentlich keine public Domain nur für interne Zwecke kaufen.
Was ich technisch halt irgendwie überhaupt nicht verstehe warum sollte ein mit openssl 1.x erstelltes Zertifikat unter openssl 3.x nicht mehr funktionieren, obwohl die Version 3 Version 1 unterstützen soll. Habe ich noch eine weitere Möglichkeit, mir Aerox oder Fehlermeldungen anzuzeigen?
Im brave Browser scheint ja auch die Unterstützung für das in der Version 1 vorliegende Zertifikat vorhanden zu sein.
Kann ich nicht einfach oben SSR eins nehmen oben SSL drei installieren? Am besten mit apt install. Habe bisher nur Anleitungen mit Kernel kompilieren und so gesehen.
Im brave Browser scheint ja auch die Unterstützung für das in der Version 1 vorliegende Zertifikat vorhanden zu sein.
Kann ich nicht einfach oben SSR eins nehmen oben SSL drei installieren? Am besten mit apt install. Habe bisher nur Anleitungen mit Kernel kompilieren und so gesehen.
Nochmal: Das hat nichts mit der Version zu tun...
Die Fehlermeldung sagt, dass OpenSSL dem gezeigten Zertifikat nicht vertraut, weil es nicht von einer vertrauten CA unterschrieben wurde. Soweit erwartbar.
Du hast ja das CA in den Trust-Store gelegt. Kannst du verifizieren, dass das tatsächlich das korrekte Zertifikat ist und sich deine Systeme auch sonst konform verhalten?
OpenSSL wird dann eine HTTPS-Verbindung aufbauen, erzwungen mit Verifikation gegen dein CA.
Wenn dann Fehlermeldungen auftreten, sagt OpenSSL dir genau, was das Problem ist.
Die Fehlermeldung sagt, dass OpenSSL dem gezeigten Zertifikat nicht vertraut, weil es nicht von einer vertrauten CA unterschrieben wurde. Soweit erwartbar.
Du hast ja das CA in den Trust-Store gelegt. Kannst du verifizieren, dass das tatsächlich das korrekte Zertifikat ist und sich deine Systeme auch sonst konform verhalten?
openssl s_client -connect "deininternerserver:443" -servername "dernamedesinternenzertifikats" -CAfile /pfad/zu/deinem/ca.crt OpenSSL wird dann eine HTTPS-Verbindung aufbauen, erzwungen mit Verifikation gegen dein CA.
Wenn dann Fehlermeldungen auftreten, sagt OpenSSL dir genau, was das Problem ist.
Danke für das Feedback.
Mit der Version sehe ich auch so. zur Info: ich habe vor einigen Tagen das gleiche Szenario mit einer Neuinstallation von Pop OS ebenfalls mit 22.04 ausgeführt, wo dieser Fehler nicht auftrat. Daher verstehe ich es absolut nicht gerade.
Ich führe den Befehl nach Hammer aus und poste das Ergebnis in aller Ausführlichkeity. Ist er, kann ich nur ein Aero Chord 18 entnehmen und ziemlich viel zahlen und Information, die ich nicht verstehe.
Mit der Version sehe ich auch so. zur Info: ich habe vor einigen Tagen das gleiche Szenario mit einer Neuinstallation von Pop OS ebenfalls mit 22.04 ausgeführt, wo dieser Fehler nicht auftrat. Daher verstehe ich es absolut nicht gerade.
Ich führe den Befehl nach Hammer aus und poste das Ergebnis in aller Ausführlichkeity. Ist er, kann ich nur ein Aero Chord 18 entnehmen und ziemlich viel zahlen und Information, die ich nicht verstehe.
Kurzes Update: Problem scheint gelöst.
Nachdem ich die BErechtigungen der eigenen CA und iCA auf +rwx gesetzt habe ging aufeinmal auch wget und Zugriff von Nextcloud auf Systemebene ging ebenfalls.
Bei Bitwarden scheint es irgendwie ein Problem mit dem AppImage zu geben. Jedenfalls hab ich mir das deb Paket installiert, damit ging alles ohne weitere Probleme.
Nachdem ich die BErechtigungen der eigenen CA und iCA auf +rwx gesetzt habe ging aufeinmal auch wget und Zugriff von Nextcloud auf Systemebene ging ebenfalls.
Bei Bitwarden scheint es irgendwie ein Problem mit dem AppImage zu geben. Jedenfalls hab ich mir das deb Paket installiert, damit ging alles ohne weitere Probleme.