Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst SSL Zertifikat gekauft funktioniert aber nicht

Mitglied: TeKiLLa1895

TeKiLLa1895 (Level 1) - Jetzt verbinden

21.02.2020, aktualisiert 10:42 Uhr, 2922 Aufrufe, 27 Kommentare

Hi,

Habe vor 2 Tagen mit einer CSR mir ein Zertifikat beantragt und auch bekommen.
Jetzt passt aber der Privkey.pem nicht zur CRT habe ich was vergessen?
Ist mein erstes Zertifikat für SSL verschlüsselung.

Über hilfe würde ich mich freuen.

PS erstellt wurde das ganze mit OpenSLL und das Zertifikat wurde bei Domaindiscount24 erworben.
27 Antworten
Mitglied: it-fraggle
21.02.2020 um 09:46 Uhr
Jetzt passt aber der Privkey.pem nicht zur CRT
Wie hast du das geprüft?
Bitte warten ..
Mitglied: TeKiLLa1895
21.02.2020 um 09:48 Uhr
openssl x509 -noout -modulus -in dateiname.crt | openssl md5

openssl rsa -noout -modulus -in dateiname.key | openssl md5

mit diesen befehlen bekomme dann die stdin und die müssen dann übereinstimmen
Bitte warten ..
Mitglied: 143127
21.02.2020, aktualisiert um 11:52 Uhr
Jetzt passt aber der Privkey.pem nicht zur CRT habe ich was vergessen?
Dann hast du entweder einen falschen/anderen Key beim erstellen des CSR benutzt oder das zurückgelieferte Zertifikat hat ein anderes Format oder dein Vergleich hat einen Fehler. Können wir hier ja ohne weitere Info zu deinen tatsächlich ausgeführten Befehlen nicht überprüfen.
Bitte warten ..
Mitglied: TeKiLLa1895
21.02.2020 um 12:08 Uhr
Leider kenne ich mich damit so gut wie garnicht aus, kaut der anleitung CSR erstellen mit opensll CSR.PEM .rnd privkey.pem werden erstellt inhalt der CSR hochladen verschlüsselung = SHA256 dann bekomme ich ein CRT ein ROOT CA und eine INTERMEDIATE und nun müsste ich daraus etwas basteln mehr oder weniger.

der befehl für die CSR lautet req -nodes -new -newkey rsa:2048 -sha256 -out csr.pem also auch SHA256 mit 2048 von daher müsste das doch passen oder ? und der Key ist zu 100% der richtige
Bitte warten ..
Mitglied: 143127
21.02.2020, aktualisiert um 12:17 Uhr
und der Key ist zu 100% der richtige
Dann bleibt nur noch ein Fehler bei der Datenübertragung, oder einem veraltetem OpenSSL.

verschlüsselung = SHA256
Das ist keine Verschlüsselung sondern ein Hashing-Verfahren

nun müsste ich daraus etwas basteln mehr oder weniger.
Dann lies dir doch erst mal gründlich die Grundlagen zu Zertifikaten an.
Bitte warten ..
Mitglied: Ohop3n
21.02.2020 um 12:16 Uhr
Hallo

Wir hatten ein ähnliches Problem mal in der Schule bei einer Prüfung.

Der Fehler wurde dann in nicht kompatiblen SSL Versionen gefunden. Kann mich aber nicht mehr erinnern, um welche Versionen es sich handelte. War vor ca. einem Jahr....


Gruss
Ohop3n
Bitte warten ..
Mitglied: 143127
21.02.2020, aktualisiert um 12:26 Uhr
Zitat von TeKiLLa1895:
der befehl für die CSR lautet req -nodes -new -newkey rsa:2048 -sha256 -out csr.pem also auch SHA256 mit 2048 von daher müsste das doch passen oder ? und der Key ist zu 100% der richtige
Da fehlt das -keyout file.key ansonsten landet das in der privkey.pem.
Bitte warten ..
Mitglied: TeKiLLa1895
21.02.2020 um 12:23 Uhr
Jedoch erstellt man doch automatisch einen Privkey.pem beim erstellen einer CSR müsste die nicht gehen?
Bitte warten ..
Mitglied: 143127
21.02.2020, aktualisiert um 12:27 Uhr
Zitat von TeKiLLa1895:

Jedoch erstellt man doch automatisch einen Privkey.pem beim erstellen einer CSR müsste die nicht gehen?
Ja die geht natürlich auch, könnte aber eine Fehlerquelle gewesen sein wenn man zufällig noch einen zweiten Aufruf hinterher geschickt hat und sie sich selbst überschrieben hat.
Bitte warten ..
Mitglied: 143127
21.02.2020, aktualisiert um 12:30 Uhr
Wie sieht der Hash des CSR im Vergleich zu dem des Cert aus? Sind die zumindest gleich?
openssl req -noout -modulus -in <file>.csr | openssl md5
Welche OpenSSL Version wurde genutzt?

Ansonsten eben neu ausstellen lassen, oder erst nochmal im LAB üben.
Bitte warten ..
Mitglied: TeKiLLa1895
21.02.2020 um 12:30 Uhr
MAJOR=3 wird genutzt und den befehl habe ich nur einmal abgesetzt und dann direkt auf einem externen datenträger (USB) gespeichert also da kann eigentlich kein anderer pem drin sein aber ich habe was gefunden kann das sein das daas ein schlüsselpaar ist hab ich auch gefunden die man erst mal trennen muss um den puplic und den private seperat zu erhalten
Bitte warten ..
Mitglied: 143127
21.02.2020, aktualisiert um 12:47 Uhr
Zitat von TeKiLLa1895:

MAJOR=3 wird genutzt und den befehl habe ich nur einmal abgesetzt und dann direkt auf einem externen datenträger (USB) gespeichert also da kann eigentlich kein anderer pem drin sein aber ich habe was gefunden kann das sein das daas ein schlüsselpaar ist hab ich auch gefunden die man erst mal trennen muss um den puplic und den private seperat zu erhalten
Man ist das ein Geschreibsel, da wird ja der Hase im Pfeffer krank ohne Satzzeichen und zusammengematscht ... lies dir das selbst nochmal durch und schreibe so das jemand Fremdes auch versteht was du uns sagen willst.

Wenn du ein PKCS12 Container File bekommen hast (*.pfx *.p12 usw) ist logisch das du daraus erst mal Private und Public Key extrahieren musst. openssl pkcs12 Kontext ...
Extract .crt and .key files from .pfx file
Bitte warten ..
Mitglied: TeKiLLa1895
21.02.2020, aktualisiert um 13:08 Uhr
Nein habe keine PFX oder P12 habe nur folgenden:

CA.PEM
CSR.PEM
INTERMEDIATE.PEM
CERT_CF7437902.CRT
PRIVKEY.PEM

andere habe ich nicht, und die CSR stimmt mit meinem Key überein.
Bitte warten ..
Mitglied: 143127
21.02.2020, aktualisiert um 13:34 Uhr
Es stehen noch Fragen von mir oben aus...

CERT_CF7437902.CRT
Prüfe ob da die Full-Chain drin liegt oder nur das Zertifikat an sich.

Ansonsten ist wohl was schief gelaufen, wende dich in dem Fall an den Aussteller des Zertifikats.
Bitte warten ..
Mitglied: TeKiLLa1895
21.02.2020 um 13:48 Uhr
Nein ist keine full chain konnte man beim absenden der CSR bei dem hoster wählen, und da haben wir nur SHA256 und nicht SAH256-FULL-Chain.
Bitte warten ..
Mitglied: 143127
21.02.2020 um 14:26 Uhr
Dann s.o.
Bitte warten ..
Mitglied: TeKiLLa1895
21.02.2020 um 16:39 Uhr
So hab nochmal eine neue CSR gemacht und alles nach anleitung aber es funkt einfach nicht
hab die Windowsinterne versucht und auch open ssl aber ich bekomme die Baginformationen nicht in den PrivKey.

bin mit meinem Latein komplett durch.

Es soll alles auf einem NAS liegen der dann über vernzugriff erreichbar ist
Bitte warten ..
Mitglied: 143127
21.02.2020, aktualisiert um 16:53 Uhr
Dann machst du wohl immer noch grundlegend was falsch .
Tja, aber wer kauft sich heutzutage auch noch Zertifikate wenn es sie umsonst gibt?? Richte Let's Encrypt auf dem NAS ein , fertig ist die Soße. Mit certbot oder acme.sh ein Kinderspiel!!
Bitte warten ..
Mitglied: FlorianDiehl
22.02.2020 um 12:15 Uhr
Servus,
Vermute auch das du da was falsch machst.
Was ist das denn für ein NAS?
Nur ma so als Tipp, aktuelle NAS Systeme wie z. B. Qnap können selber Zertifikate verwalten sogar auch kostenlos von let's encrypt. Dann sparst du dir die ganze Aktion.

Ansonsten wird es für einen Außenstehende schwer das nachzuvollziehen. Weil eigentlich wenn man alles richtig macht geht das ohne Probleme.

Gruß Florian
Bitte warten ..
Mitglied: TeKiLLa1895
24.02.2020, aktualisiert um 09:06 Uhr
Hi,
wir haben das schon mal hinbekommen auf dem NAS auch über DomainDiscount24 und der Private key sieht dort kommplett anders aus leider bekommen wir das nicht mehr so hin.

Im anderen PrivateKey sieht das ungefähr so aus:

Bag Attributes
Microsoft Local Key set: <No Values>
localKeyID: 01 00 00 00
friendlyName: te-76cee89a-d780-425c-8244-4116d17fe944
Microsoft CSP Name: Microsoft Enhanced RSA and AES Cryptographic Provider
Key Attributes
X509v3 Key Usage: 80
-----BEGIN ENCRYPTED PRIVATE KEY-----
...
-----END ENCRYPTED PRIVATE KEY-----

dann kommen das Zwischenzertifikat und danach das ROOT CA mit den BAG Attributes.

Ich bekomme leider die passenden Bag Attributes nicht in den Private Key.

Hoffe das hilft weiter.

PS: ist ein Synology NAS
Bitte warten ..
Mitglied: 143127
24.02.2020, aktualisiert um 09:54 Uhr
Naja dann ist klar warum die Hashes nicht gleich sind, extrahiere nur den Private Key-Block aus dem File und dechiffriere den Key
https://knowledge.digicert.com/solution/SO5292.html
Achtung den Typ des Keys (rsa) natürlich je nach Key anpassen
Bitte warten ..
Mitglied: TeKiLLa1895
24.02.2020 um 10:02 Uhr
Bag Attributes
Microsoft Local Key set: <No Values>
localKeyID: 01 00 00 00
friendlyName: tq-58ccba24-5676-4a75-a3ab-56f35cfd92fb
Microsoft CSP Name: Microsoft Enhanced Cryptographic Provider v1.0
Key Attributes
X509v3 Key Usage: 10
-----BEGIN PRIVATE KEY-----

-----END PRIVATE KEY-----
Bag Attributes
localKeyID: 01 00 00 00
subject=/OU=Domain Control Validated/OU=PositiveSSL Wildcard/CN=*.tech-solution.de
issuer=/C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo RSA Domain Validation Secure Server CA
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
Bag Attributes
friendlyName: Sectigo (AddTrust)
subject=/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
issuer=/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
Bag Attributes: <Empty Attributes>
subject=/C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority
issuer=/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
Bag Attributes: <Empty Attributes>
subject=/C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo RSA Domain Validation Secure Server CA
issuer=/C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

So so sieht der Private Key von dem Funktionierenden Wildcard Cert. aus und so das vom nicht funktionierenden:

-----BEGIN RSA PRIVATE KEY-----

-----END RSA PRIVATE KEY-----

Und mir fehlen halt die infos wie ich die Fehlenden attribute da hineinbekomme die von DD24 können mir nicht helfen hab die auch schon angerufen.
Bitte warten ..
Mitglied: 143127
24.02.2020, aktualisiert um 10:17 Uhr
Und mir fehlen halt die infos wie ich die Fehlenden attribute da hineinbekomme
Nein die braucht es nicht. Die sind nur für Windows Kisten interessant.
Wenn man den CSP anpassen will hat OpenSSL auch die passende Option.
https://www.componentspace.com/Forums/PrintTopic1578.aspx
Bitte warten ..
Mitglied: TeKiLLa1895
24.02.2020 um 10:18 Uhr
Aber der zweite Key läuft auch auf einer Synology deshalb meine verwunderung
Bitte warten ..
Mitglied: 143127
LÖSUNG 24.02.2020, aktualisiert um 10:36 Uhr
Zitat von TeKiLLa1895:

Aber der zweite Key läuft auch auf einer Synology deshalb meine verwunderung
Da sind wird dann erneut bei den Grundlagen. Lies sie dir mal gründlich durch dann verstehst es auch du , denn private Key ist eben nicht immer gleich private Key da gibt es diverse Unterschiede ;).
https://stackoverflow.com/questions/20065304/differences-between-begin-r ...
So denn, tschö mit ö.
Bitte warten ..
Mitglied: TeKiLLa1895
25.02.2020 um 08:46 Uhr
So das Problem hat sich gelöst beim anbieter ist was falsch gelaufen haben das Zertifikat komplett neu beantragen können läuft sofort.

MFG TeKiLLa1895
Bitte warten ..
Mitglied: 143127
LÖSUNG 25.02.2020 um 08:57 Uhr
Na dann bitte auch als gelöst markieren.
Bitte warten ..
Ähnliche Inhalte
Apache Server
Austausch SSL-Zertifikat
gelöst Frage von petereApache Server2 Kommentare

Hallo, ich möchte auf einem Windows 2012 R2 einen installierten Apache-Webserver per SSL absichern. Unter C:\xampp\apache\conf existieren drei Ordner: ...

Verschlüsselung & Zertifikate
Welches SSL-Zertifikat?
gelöst Frage von Leo-leVerschlüsselung & Zertifikate4 Kommentare

Servus Zusammen, wir möchten unsere domains mit Zertifikaten ausstatten. Nun Frage ich mich, welches dafür am besten wäre. Am ...

Verschlüsselung & Zertifikate
SSL Zertifikat für Subdomain
Frage von tomi93Verschlüsselung & Zertifikate2 Kommentare

Hallo, wir müssen eine Subdomain auf SSL umstellen. Ich hatte letzte Woche mich mit einem Admin unterhalten und er ...

Netzwerke
Anfänger in SSL Zertifikat
Frage von Florian961988Netzwerke10 Kommentare

Guten Morgen liebes Forum, ich habe mal Fragen zum Thema SSL zertifikat verlängern/bzw ändern! Aber von vorne wir haben ...

Neue Wissensbeiträge
Off Topic
3D-Drucker gegen Corona - helft mit!
Information von DerWoWusste vor 6 StundenOff Topic12 Kommentare

Unter vorigem Link sind Anleitungen, wie man sich mit seinem 3D-Drucker an der Produktion (Druck) von Bauteilen für Atemmasken ...

Instant Messaging

Die Kommunikations-App Zoom kommt aus der Kritik so schnell nicht mehr raus

Information von Frank vor 7 StundenInstant Messaging4 Kommentare

Ich würde Zoom ja gerne nutzen (das Featureset ist ziemlich gut) aber irgendwie hinterlassen die ganzen Nachrichten einen faden ...

Off Topic
Die Känguru-Chroniken - ab April im Streaming
Information von Frank vor 1 TagOff Topic2 Kommentare

Die Corona-Krise hat auch die Kinos zum Stillstand gebracht. Daher gehen einige Verleiher neue Wege und stellen ihre Filme ...

Windows Server

Update KB4541329 (März 2020) und Windows Server 2016 RDS 1609 Probleme

Information von System-Fehler vor 2 TagenWindows Server1 Kommentar

Hallo, hier zur Info und eventuelle Hilfe: Wir hatten folgende Fehler: Windows 2016 Datacenter 1609, hier als RDS Dienste ...

Heiß diskutierte Inhalte
Batch & Shell
Alle Dateien eines Typs in Unterordnern in ein anderes Verzeichnis kopieren, aber so, dass sie in einem einzigen Unterverzeichnis liegen
Frage von Julia1989Batch & Shell17 Kommentare

Hallo, ich habe folgendes Problem: Ich habe viele *.php dateien, diese liegen in jeweils verschiedenen Unternordnern also C:\PfadZumOberverzeichnis\{A bis ...

Internet Domänen
Subdomain auf subdomain bzw. dyndns mit port weiterleiten?
Frage von DynlaraBartisInternet Domänen15 Kommentare

hey ich habe einen server bei mir mit proxmox auf diesem habe ich vm´s im heimnetz habe ich eine ...

Windows 10
Über Remotedesktopverbindung erkennen, ob Monitor angeschaltet ist
Frage von Tomac84Windows 1013 Kommentare

Hallo Zusammen, Auf Grund der Krise arbeite ich vom Home Office aus. Ich melde mich per Remotedesktopverbindung an meinen ...

Off Topic
3D-Drucker gegen Corona - helft mit!
Information von DerWoWussteOff Topic12 Kommentare

Unter vorigem Link sind Anleitungen, wie man sich mit seinem 3D-Drucker an der Produktion (Druck) von Bauteilen für Atemmasken ...