Feb 21, 2020, updated at 09:42:33 (UTC)

6944

SSL Zertifikat gekauft funktioniert aber nicht

Hi,

Habe vor 2 Tagen mit einer CSR mir ein Zertifikat beantragt und auch bekommen.
Jetzt passt aber der Privkey.pem nicht zur CRT habe ich was vergessen?
Ist mein erstes Zertifikat für SSL verschlüsselung.

Über hilfe würde ich mich freuen.

PS erstellt wurde das ganze mit OpenSLL und das Zertifikat wurde bei Domaindiscount24 erworben.

Please also mark the comments that contributed to the solution of the article

Content-Key: 550189

Url: https://administrator.de/contentid/550189

Printed on: April 28, 2024 at 03:04 o'clock

27 Comments

Latest comment

Jetzt passt aber der Privkey.pem nicht zur CRT

Wie hast du das geprüft?

openssl x509 -noout -modulus -in dateiname.crt | openssl md5

openssl rsa -noout -modulus -in dateiname.key | openssl md5

mit diesen befehlen bekomme dann die stdin und die müssen dann übereinstimmen

Jetzt passt aber der Privkey.pem nicht zur CRT habe ich was vergessen?

Dann hast du entweder einen falschen/anderen Key beim erstellen des CSR benutzt oder das zurückgelieferte Zertifikat hat ein anderes Format oder dein Vergleich hat einen Fehler. Können wir hier ja ohne weitere Info zu deinen tatsächlich ausgeführten Befehlen nicht überprüfen.

Leider kenne ich mich damit so gut wie garnicht aus, kaut der anleitung CSR erstellen mit opensll CSR.PEM .rnd privkey.pem werden erstellt inhalt der CSR hochladen verschlüsselung = SHA256 dann bekomme ich ein CRT ein ROOT CA und eine INTERMEDIATE und nun müsste ich daraus etwas basteln mehr oder weniger.

der befehl für die CSR lautet req -nodes -new -newkey rsa:2048 -sha256 -out csr.pem also auch SHA256 mit 2048 von daher müsste das doch passen oder ? und der Key ist zu 100% der richtige

und der Key ist zu 100% der richtige

Dann bleibt nur noch ein Fehler bei der Datenübertragung, oder einem veraltetem OpenSSL.

verschlüsselung = SHA256

Das ist keine Verschlüsselung sondern ein Hashing-Verfahren

nun müsste ich daraus etwas basteln mehr oder weniger.

Dann lies dir doch erst mal gründlich die Grundlagen zu Zertifikaten an.

Hallo

Wir hatten ein ähnliches Problem mal in der Schule bei einer Prüfung.

Der Fehler wurde dann in nicht kompatiblen SSL Versionen gefunden. Kann mich aber nicht mehr erinnern, um welche Versionen es sich handelte. War vor ca. einem Jahr....

Gruss
Ohop3n

Zitat von @TeKiLLa1895:
der befehl für die CSR lautet req -nodes -new -newkey rsa:2048 -sha256 -out csr.pem also auch SHA256 mit 2048 von daher müsste das doch passen oder ? und der Key ist zu 100% der richtige

Da fehlt das -keyout file.key ansonsten landet das in der privkey.pem.

Jedoch erstellt man doch automatisch einen Privkey.pem beim erstellen einer CSR müsste die nicht gehen?

Zitat von @TeKiLLa1895:

Jedoch erstellt man doch automatisch einen Privkey.pem beim erstellen einer CSR müsste die nicht gehen?

Ja die geht natürlich auch, könnte aber eine Fehlerquelle gewesen sein wenn man zufällig noch einen zweiten Aufruf hinterher geschickt hat und sie sich selbst überschrieben hat.

Wie sieht der Hash des CSR im Vergleich zu dem des Cert aus? Sind die zumindest gleich?
openssl req -noout -modulus -in <file>.csr | openssl md5
Welche OpenSSL Version wurde genutzt?

Ansonsten eben neu ausstellen lassen, oder erst nochmal im LAB üben.

MAJOR=3 wird genutzt und den befehl habe ich nur einmal abgesetzt und dann direkt auf einem externen datenträger (USB) gespeichert also da kann eigentlich kein anderer pem drin sein aber ich habe was gefunden kann das sein das daas ein schlüsselpaar ist hab ich auch gefunden die man erst mal trennen muss um den puplic und den private seperat zu erhalten

Zitat von @TeKiLLa1895:

MAJOR=3 wird genutzt und den befehl habe ich nur einmal abgesetzt und dann direkt auf einem externen datenträger (USB) gespeichert also da kann eigentlich kein anderer pem drin sein aber ich habe was gefunden kann das sein das daas ein schlüsselpaar ist hab ich auch gefunden die man erst mal trennen muss um den puplic und den private seperat zu erhalten

Man ist das ein Geschreibsel, da wird ja der Hase im Pfeffer krank ohne Satzzeichen und zusammengematscht ... lies dir das selbst nochmal durch und schreibe so das jemand Fremdes auch versteht was du uns sagen willst.

Wenn du ein PKCS12 Container File bekommen hast (*.pfx *.p12 usw) ist logisch das du daraus erst mal Private und Public Key extrahieren musst. openssl pkcs12 Kontext ...
Extract .crt and .key files from .pfx file

Nein habe keine PFX oder P12 habe nur folgenden:

CA.PEM
CSR.PEM
INTERMEDIATE.PEM
CERT_CF7437902.CRT
PRIVKEY.PEM

andere habe ich nicht, und die CSR stimmt mit meinem Key überein.

Es stehen noch Fragen von mir oben aus...

CERT_CF7437902.CRT

Prüfe ob da die Full-Chain drin liegt oder nur das Zertifikat an sich.

Ansonsten ist wohl was schief gelaufen, wende dich in dem Fall an den Aussteller des Zertifikats.

Nein ist keine full chain konnte man beim absenden der CSR bei dem hoster wählen, und da haben wir nur SHA256 und nicht SAH256-FULL-Chain.

Dann s.o.

So hab nochmal eine neue CSR gemacht und alles nach anleitung aber es funkt einfach nicht
hab die Windowsinterne versucht und auch open ssl aber ich bekomme die Baginformationen nicht in den PrivKey.

bin mit meinem Latein komplett durch.

Es soll alles auf einem NAS liegen der dann über vernzugriff erreichbar ist

Dann machst du wohl immer noch grundlegend was falsch .
Tja, aber wer kauft sich heutzutage auch noch Zertifikate wenn es sie umsonst gibt?? Richte Let's Encrypt auf dem NAS ein , fertig ist die Soße. Mit certbot oder acme.sh ein Kinderspiel!!

Servus,
Vermute auch das du da was falsch machst.
Was ist das denn für ein NAS?
Nur ma so als Tipp, aktuelle NAS Systeme wie z. B. Qnap können selber Zertifikate verwalten sogar auch kostenlos von let's encrypt. Dann sparst du dir die ganze Aktion.

Ansonsten wird es für einen Außenstehende schwer das nachzuvollziehen. Weil eigentlich wenn man alles richtig macht geht das ohne Probleme.

Gruß Florian

Hi,
wir haben das schon mal hinbekommen auf dem NAS auch über DomainDiscount24 und der Private key sieht dort kommplett anders aus leider bekommen wir das nicht mehr so hin.

Im anderen PrivateKey sieht das ungefähr so aus:

Bag Attributes
Microsoft Local Key set: <No Values>
localKeyID: 01 00 00 00
friendlyName: te-76cee89a-d780-425c-8244-4116d17fe944
Microsoft CSP Name: Microsoft Enhanced RSA and AES Cryptographic Provider
Key Attributes
X509v3 Key Usage: 80

BEGIN ENCRYPTED PRIVATE KEY-----
...

END ENCRYPTED PRIVATE KEY-----

dann kommen das Zwischenzertifikat und danach das ROOT CA mit den BAG Attributes.

Ich bekomme leider die passenden Bag Attributes nicht in den Private Key.

Hoffe das hilft weiter.

PS: ist ein Synology NAS

Naja dann ist klar warum die Hashes nicht gleich sind, extrahiere nur den Private Key-Block aus dem File und dechiffriere den Key
https://knowledge.digicert.com/solution/SO5292.html
Achtung den Typ des Keys (rsa) natürlich je nach Key anpassen

Bag Attributes
Microsoft Local Key set: <No Values>
localKeyID: 01 00 00 00
friendlyName: tq-58ccba24-5676-4a75-a3ab-56f35cfd92fb
Microsoft CSP Name: Microsoft Enhanced Cryptographic Provider v1.0
Key Attributes
X509v3 Key Usage: 10

BEGIN PRIVATE KEY-----

END PRIVATE KEY-----
Bag Attributes
localKeyID: 01 00 00 00
subject=/OU=Domain Control Validated/OU=PositiveSSL Wildcard/CN=*.tech-solution.de
issuer=/C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo RSA Domain Validation Secure Server CA

BEGIN CERTIFICATE-----

END CERTIFICATE-----
Bag Attributes
friendlyName: Sectigo (AddTrust)
subject=/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
issuer=/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root

BEGIN CERTIFICATE-----

END CERTIFICATE-----
Bag Attributes: <Empty Attributes>
subject=/C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority
issuer=/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root

BEGIN CERTIFICATE-----

END CERTIFICATE-----
Bag Attributes: <Empty Attributes>
subject=/C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo RSA Domain Validation Secure Server CA
issuer=/C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority

BEGIN CERTIFICATE-----

END CERTIFICATE-----

So so sieht der Private Key von dem Funktionierenden Wildcard Cert. aus und so das vom nicht funktionierenden:

BEGIN RSA PRIVATE KEY-----

END RSA PRIVATE KEY-----

Und mir fehlen halt die infos wie ich die Fehlenden attribute da hineinbekomme die von DD24 können mir nicht helfen hab die auch schon angerufen.

Und mir fehlen halt die infos wie ich die Fehlenden attribute da hineinbekomme

Nein die braucht es nicht. Die sind nur für Windows Kisten interessant.
Wenn man den CSP anpassen will hat OpenSSL auch die passende Option.
https://www.componentspace.com/Forums/PrintTopic1578.aspx

Aber der zweite Key läuft auch auf einer Synology deshalb meine verwunderung

Zitat von @TeKiLLa1895:

Aber der zweite Key läuft auch auf einer Synology deshalb meine verwunderung

Da sind wird dann erneut bei den Grundlagen. Lies sie dir mal gründlich durch dann verstehst es auch du , denn private Key ist eben nicht immer gleich private Key da gibt es diverse Unterschiede ;).
https://stackoverflow.com/questions/20065304/differences-between-begin-r ...

openssl pkey -in key.pem -out key_new.pem

So denn, tschö mit ö.

So das Problem hat sich gelöst beim anbieter ist was falsch gelaufen haben das Zertifikat komplett neu beantragen können läuft sofort.

MFG TeKiLLa1895

Na dann bitte auch als gelöst markieren.

German solved Question Encryption, Certificates Security

Hotly discussed

Developer diary: Release 6.1admtech

End of availability for classic Teams clientDani