27
SSL Zertifikat gekauft funktioniert aber nicht
Hi,
Habe vor 2 Tagen mit einer CSR mir ein Zertifikat beantragt und auch bekommen.
Jetzt passt aber der Privkey.pem nicht zur CRT habe ich was vergessen?
Ist mein erstes Zertifikat für SSL verschlüsselung.
Über hilfe würde ich mich freuen.
PS erstellt wurde das ganze mit OpenSLL und das Zertifikat wurde bei Domaindiscount24 erworben.
Habe vor 2 Tagen mit einer CSR mir ein Zertifikat beantragt und auch bekommen.
Jetzt passt aber der Privkey.pem nicht zur CRT habe ich was vergessen?
Ist mein erstes Zertifikat für SSL verschlüsselung.
Über hilfe würde ich mich freuen.
PS erstellt wurde das ganze mit OpenSLL und das Zertifikat wurde bei Domaindiscount24 erworben.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 550189
Url: https://administrator.de/contentid/550189
Ausgedruckt am: 25.11.2024 um 22:11 Uhr
27 Kommentare
Neuester Kommentar
Jetzt passt aber der Privkey.pem nicht zur CRT
Wie hast du das geprüft?
openssl x509 -noout -modulus -in dateiname.crt | openssl md5
openssl rsa -noout -modulus -in dateiname.key | openssl md5
mit diesen befehlen bekomme dann die stdin und die müssen dann übereinstimmen
openssl rsa -noout -modulus -in dateiname.key | openssl md5
mit diesen befehlen bekomme dann die stdin und die müssen dann übereinstimmen
Jetzt passt aber der Privkey.pem nicht zur CRT habe ich was vergessen?
Dann hast du entweder einen falschen/anderen Key beim erstellen des CSR benutzt oder das zurückgelieferte Zertifikat hat ein anderes Format oder dein Vergleich hat einen Fehler. Können wir hier ja ohne weitere Info zu deinen tatsächlich ausgeführten Befehlen nicht überprüfen.
Leider kenne ich mich damit so gut wie garnicht aus, kaut der anleitung CSR erstellen mit opensll CSR.PEM .rnd privkey.pem werden erstellt inhalt der CSR hochladen verschlüsselung = SHA256 dann bekomme ich ein CRT ein ROOT CA und eine INTERMEDIATE und nun müsste ich daraus etwas basteln mehr oder weniger.
der befehl für die CSR lautet req -nodes -new -newkey rsa:2048 -sha256 -out csr.pem also auch SHA256 mit 2048 von daher müsste das doch passen oder ? und der Key ist zu 100% der richtige
der befehl für die CSR lautet req -nodes -new -newkey rsa:2048 -sha256 -out csr.pem also auch SHA256 mit 2048 von daher müsste das doch passen oder ? und der Key ist zu 100% der richtige
und der Key ist zu 100% der richtige
Dann bleibt nur noch ein Fehler bei der Datenübertragung, oder einem veraltetem OpenSSL.verschlüsselung = SHA256
Das ist keine Verschlüsselung sondern ein Hashing-Verfahren nun müsste ich daraus etwas basteln mehr oder weniger.
Dann lies dir doch erst mal gründlich die Grundlagen zu Zertifikaten an.
Hallo
Wir hatten ein ähnliches Problem mal in der Schule bei einer Prüfung.
Der Fehler wurde dann in nicht kompatiblen SSL Versionen gefunden. Kann mich aber nicht mehr erinnern, um welche Versionen es sich handelte. War vor ca. einem Jahr....
Gruss
Ohop3n
Wir hatten ein ähnliches Problem mal in der Schule bei einer Prüfung.
Der Fehler wurde dann in nicht kompatiblen SSL Versionen gefunden. Kann mich aber nicht mehr erinnern, um welche Versionen es sich handelte. War vor ca. einem Jahr....
Gruss
Ohop3n
Zitat von @TeKiLLa1895:
der befehl für die CSR lautet req -nodes -new -newkey rsa:2048 -sha256 -out csr.pem also auch SHA256 mit 2048 von daher müsste das doch passen oder ? und der Key ist zu 100% der richtige
Da fehlt das -keyout file.key ansonsten landet das in der privkey.pem.der befehl für die CSR lautet req -nodes -new -newkey rsa:2048 -sha256 -out csr.pem also auch SHA256 mit 2048 von daher müsste das doch passen oder ? und der Key ist zu 100% der richtige
Jedoch erstellt man doch automatisch einen Privkey.pem beim erstellen einer CSR müsste die nicht gehen?
Zitat von @TeKiLLa1895:
Jedoch erstellt man doch automatisch einen Privkey.pem beim erstellen einer CSR müsste die nicht gehen?
Ja die geht natürlich auch, könnte aber eine Fehlerquelle gewesen sein wenn man zufällig noch einen zweiten Aufruf hinterher geschickt hat und sie sich selbst überschrieben hat.Jedoch erstellt man doch automatisch einen Privkey.pem beim erstellen einer CSR müsste die nicht gehen?
Wie sieht der Hash des CSR im Vergleich zu dem des Cert aus? Sind die zumindest gleich?
Welche OpenSSL Version wurde genutzt?
Ansonsten eben neu ausstellen lassen, oder erst nochmal im LAB üben.
openssl req -noout -modulus -in <file>.csr | openssl md5Welche OpenSSL Version wurde genutzt?
Ansonsten eben neu ausstellen lassen, oder erst nochmal im LAB üben.
MAJOR=3 wird genutzt und den befehl habe ich nur einmal abgesetzt und dann direkt auf einem externen datenträger (USB) gespeichert also da kann eigentlich kein anderer pem drin sein aber ich habe was gefunden kann das sein das daas ein schlüsselpaar ist hab ich auch gefunden die man erst mal trennen muss um den puplic und den private seperat zu erhalten
Zitat von @TeKiLLa1895:
MAJOR=3 wird genutzt und den befehl habe ich nur einmal abgesetzt und dann direkt auf einem externen datenträger (USB) gespeichert also da kann eigentlich kein anderer pem drin sein aber ich habe was gefunden kann das sein das daas ein schlüsselpaar ist hab ich auch gefunden die man erst mal trennen muss um den puplic und den private seperat zu erhalten
Man ist das ein Geschreibsel, da wird ja der Hase im Pfeffer krank ohne Satzzeichen und zusammengematscht ... lies dir das selbst nochmal durch und schreibe so das jemand Fremdes auch versteht was du uns sagen willst.MAJOR=3 wird genutzt und den befehl habe ich nur einmal abgesetzt und dann direkt auf einem externen datenträger (USB) gespeichert also da kann eigentlich kein anderer pem drin sein aber ich habe was gefunden kann das sein das daas ein schlüsselpaar ist hab ich auch gefunden die man erst mal trennen muss um den puplic und den private seperat zu erhalten
Wenn du ein PKCS12 Container File bekommen hast (*.pfx *.p12 usw) ist logisch das du daraus erst mal Private und Public Key extrahieren musst. openssl pkcs12 Kontext ...
Extract .crt and .key files from .pfx file
Nein habe keine PFX oder P12 habe nur folgenden:
CA.PEM
CSR.PEM
INTERMEDIATE.PEM
CERT_CF7437902.CRT
PRIVKEY.PEM
andere habe ich nicht, und die CSR stimmt mit meinem Key überein.
CA.PEM
CSR.PEM
INTERMEDIATE.PEM
CERT_CF7437902.CRT
PRIVKEY.PEM
andere habe ich nicht, und die CSR stimmt mit meinem Key überein.
Es stehen noch Fragen von mir oben aus...
Ansonsten ist wohl was schief gelaufen, wende dich in dem Fall an den Aussteller des Zertifikats.
CERT_CF7437902.CRT
Prüfe ob da die Full-Chain drin liegt oder nur das Zertifikat an sich.Ansonsten ist wohl was schief gelaufen, wende dich in dem Fall an den Aussteller des Zertifikats.
Nein ist keine full chain konnte man beim absenden der CSR bei dem hoster wählen, und da haben wir nur SHA256 und nicht SAH256-FULL-Chain.
Dann s.o.
So hab nochmal eine neue CSR gemacht und alles nach anleitung aber es funkt einfach nicht
hab die Windowsinterne versucht und auch open ssl aber ich bekomme die Baginformationen nicht in den PrivKey.
bin mit meinem Latein komplett durch.
Es soll alles auf einem NAS liegen der dann über vernzugriff erreichbar ist
hab die Windowsinterne versucht und auch open ssl aber ich bekomme die Baginformationen nicht in den PrivKey.
bin mit meinem Latein komplett durch.
Es soll alles auf einem NAS liegen der dann über vernzugriff erreichbar ist
Dann machst du wohl immer noch grundlegend was falsch .
Tja, aber wer kauft sich heutzutage auch noch Zertifikate wenn es sie umsonst gibt?? Richte Let's Encrypt auf dem NAS ein , fertig ist die Soße. Mit certbot oder acme.sh ein Kinderspiel!!
Tja, aber wer kauft sich heutzutage auch noch Zertifikate wenn es sie umsonst gibt?? Richte Let's Encrypt auf dem NAS ein , fertig ist die Soße. Mit certbot oder acme.sh ein Kinderspiel!!
Servus,
Vermute auch das du da was falsch machst.
Was ist das denn für ein NAS?
Nur ma so als Tipp, aktuelle NAS Systeme wie z. B. Qnap können selber Zertifikate verwalten sogar auch kostenlos von let's encrypt. Dann sparst du dir die ganze Aktion.
Ansonsten wird es für einen Außenstehende schwer das nachzuvollziehen. Weil eigentlich wenn man alles richtig macht geht das ohne Probleme.
Gruß Florian
Vermute auch das du da was falsch machst.
Was ist das denn für ein NAS?
Nur ma so als Tipp, aktuelle NAS Systeme wie z. B. Qnap können selber Zertifikate verwalten sogar auch kostenlos von let's encrypt. Dann sparst du dir die ganze Aktion.
Ansonsten wird es für einen Außenstehende schwer das nachzuvollziehen. Weil eigentlich wenn man alles richtig macht geht das ohne Probleme.
Gruß Florian
Hi,
wir haben das schon mal hinbekommen auf dem NAS auch über DomainDiscount24 und der Private key sieht dort kommplett anders aus leider bekommen wir das nicht mehr so hin.
Im anderen PrivateKey sieht das ungefähr so aus:
Bag Attributes
Microsoft Local Key set: <No Values>
localKeyID: 01 00 00 00
friendlyName: te-76cee89a-d780-425c-8244-4116d17fe944
Microsoft CSP Name: Microsoft Enhanced RSA and AES Cryptographic Provider
Key Attributes
X509v3 Key Usage: 80
BEGIN ENCRYPTED PRIVATE KEY-----
...
END ENCRYPTED PRIVATE KEY-----
dann kommen das Zwischenzertifikat und danach das ROOT CA mit den BAG Attributes.
Ich bekomme leider die passenden Bag Attributes nicht in den Private Key.
Hoffe das hilft weiter.
PS: ist ein Synology NAS
wir haben das schon mal hinbekommen auf dem NAS auch über DomainDiscount24 und der Private key sieht dort kommplett anders aus leider bekommen wir das nicht mehr so hin.
Im anderen PrivateKey sieht das ungefähr so aus:
Bag Attributes
Microsoft Local Key set: <No Values>
localKeyID: 01 00 00 00
friendlyName: te-76cee89a-d780-425c-8244-4116d17fe944
Microsoft CSP Name: Microsoft Enhanced RSA and AES Cryptographic Provider
Key Attributes
X509v3 Key Usage: 80
BEGIN ENCRYPTED PRIVATE KEY-----
...
END ENCRYPTED PRIVATE KEY-----
dann kommen das Zwischenzertifikat und danach das ROOT CA mit den BAG Attributes.
Ich bekomme leider die passenden Bag Attributes nicht in den Private Key.
Hoffe das hilft weiter.
PS: ist ein Synology NAS
Naja dann ist klar warum die Hashes nicht gleich sind, extrahiere nur den Private Key-Block aus dem File und dechiffriere den Key
https://knowledge.digicert.com/solution/SO5292.html
Achtung den Typ des Keys (rsa) natürlich je nach Key anpassen
https://knowledge.digicert.com/solution/SO5292.html
Achtung den Typ des Keys (rsa) natürlich je nach Key anpassen
Bag Attributes
Microsoft Local Key set: <No Values>
localKeyID: 01 00 00 00
friendlyName: tq-58ccba24-5676-4a75-a3ab-56f35cfd92fb
Microsoft CSP Name: Microsoft Enhanced Cryptographic Provider v1.0
Key Attributes
X509v3 Key Usage: 10
BEGIN PRIVATE KEY-----
END PRIVATE KEY-----
Bag Attributes
localKeyID: 01 00 00 00
subject=/OU=Domain Control Validated/OU=PositiveSSL Wildcard/CN=*.tech-solution.de
issuer=/C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo RSA Domain Validation Secure Server CA
BEGIN CERTIFICATE-----
END CERTIFICATE-----
Bag Attributes
friendlyName: Sectigo (AddTrust)
subject=/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
issuer=/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
BEGIN CERTIFICATE-----
END CERTIFICATE-----
Bag Attributes: <Empty Attributes>
subject=/C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority
issuer=/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
BEGIN CERTIFICATE-----
END CERTIFICATE-----
Bag Attributes: <Empty Attributes>
subject=/C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo RSA Domain Validation Secure Server CA
issuer=/C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority
BEGIN CERTIFICATE-----
END CERTIFICATE-----
So so sieht der Private Key von dem Funktionierenden Wildcard Cert. aus und so das vom nicht funktionierenden:
BEGIN RSA PRIVATE KEY-----
END RSA PRIVATE KEY-----
Und mir fehlen halt die infos wie ich die Fehlenden attribute da hineinbekomme die von DD24 können mir nicht helfen hab die auch schon angerufen.
Microsoft Local Key set: <No Values>
localKeyID: 01 00 00 00
friendlyName: tq-58ccba24-5676-4a75-a3ab-56f35cfd92fb
Microsoft CSP Name: Microsoft Enhanced Cryptographic Provider v1.0
Key Attributes
X509v3 Key Usage: 10
BEGIN PRIVATE KEY-----
END PRIVATE KEY-----
Bag Attributes
localKeyID: 01 00 00 00
subject=/OU=Domain Control Validated/OU=PositiveSSL Wildcard/CN=*.tech-solution.de
issuer=/C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo RSA Domain Validation Secure Server CA
BEGIN CERTIFICATE-----
END CERTIFICATE-----
Bag Attributes
friendlyName: Sectigo (AddTrust)
subject=/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
issuer=/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
BEGIN CERTIFICATE-----
END CERTIFICATE-----
Bag Attributes: <Empty Attributes>
subject=/C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority
issuer=/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
BEGIN CERTIFICATE-----
END CERTIFICATE-----
Bag Attributes: <Empty Attributes>
subject=/C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo RSA Domain Validation Secure Server CA
issuer=/C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority
BEGIN CERTIFICATE-----
END CERTIFICATE-----
So so sieht der Private Key von dem Funktionierenden Wildcard Cert. aus und so das vom nicht funktionierenden:
BEGIN RSA PRIVATE KEY-----
END RSA PRIVATE KEY-----
Und mir fehlen halt die infos wie ich die Fehlenden attribute da hineinbekomme die von DD24 können mir nicht helfen hab die auch schon angerufen.
Und mir fehlen halt die infos wie ich die Fehlenden attribute da hineinbekomme
Nein die braucht es nicht. Die sind nur für Windows Kisten interessant.Wenn man den CSP anpassen will hat OpenSSL auch die passende Option.
https://www.componentspace.com/Forums/PrintTopic1578.aspx
Aber der zweite Key läuft auch auf einer Synology deshalb meine verwunderung
Da sind wird dann erneut bei den Grundlagen. Lies sie dir mal gründlich durch dann verstehst es auch du , denn private Key ist eben nicht immer gleich private Key da gibt es diverse Unterschiede ;).
https://stackoverflow.com/questions/20065304/differences-between-begin-r ...
So denn, tschö mit ö.
https://stackoverflow.com/questions/20065304/differences-between-begin-r ...
openssl pkey -in key.pem -out key_new.pemSo denn, tschö mit ö.
So das Problem hat sich gelöst beim anbieter ist was falsch gelaufen haben das Zertifikat komplett neu beantragen können läuft sofort.
MFG TeKiLLa1895
MFG TeKiLLa1895
Na dann bitte auch als gelöst markieren.
