puevit
12.04.2023
view3000
view4
0
Goto Top

SSL Zertifikat + Intermediate installieren

FrageDebian
Ein Frage, SSL ist leider nicht mein Thema, hab das schonmal vor einem Jahr gemacht aber ...

Für einen Debian Server habe ich bei IONOS ein SSL Starter Wildcard Zertifikat, habe das Serverzertifikat und Intermediate heruntergeladen. Wenn ich openssl verify cert.pem checke kommt ein Fehler
openssl verify cert.pem
CN = *.+++++.com
error 20 at 0 depth lookup: unable to get local issuer certificate
error cert.pem: verification failed

checke ich das mit dem Intermediate als chain.pem passt es.

openssl verify -CAfile chain.pem cert.pem
cert.pem: OK

Wir kriege ich es nun hin, dass das Zertifikat alleine auch durchgehend akzeptiert wird?

Danke + Gruß
Gunnar
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 6743230097

Url: https://administrator.de/contentid/6743230097

Ausgedruckt am: 13.11.2024 um 06:11 Uhr

4 Kommentare
Neuester Kommentar
Goto Top
6247018886
6247018886 12.04.2023 aktualisiert um 16:38:08 Uhr
Goto Top
Das ist normal
Kannst das Intermediate-Cert lokal in die trust db packen. trust anchor --store intermediate.pem

Oder chain, cert und key in ein File packen wenn es die Anwendung benötigt.
cat my_site.pem ca_chain.pem my_site.key > combined_cert.pem
Cheers
PUEVIT
PUEVIT 12.04.2023 um 16:56:39 Uhr
Goto Top
Danke für die Info - trust anchor --store ist über openssl möglich oder wie packe ich das in die trust db?
6247018886
6247018886 12.04.2023 aktualisiert um 18:16:33 Uhr
Goto Top
Du musst gar nichts machen, gib deiner Anwendung die certs und es wird zufrieden sein. Einem offiziellen Zertifikat von Ionos wird von Haus aus vertraut.
Wenn du willst das das System selbst dem vertraut installiere das Intermediate auch in den Trust-Store.
sudo trust anchor --store intermediate.pem
oder
    Copy your CA to dir /usr/local/share/ca-certificates/
    Use command: sudo cp foo.crt /usr/local/share/ca-certificates/foo.crt
    Update the CA store: sudo update-ca-certificates
Das ist aber bspw. für einen Apache oder nginx überflüssig. Denn diesen gibt man immer das Intermediate-Cert immer zusammen mit dem Zertifikat in einem kombinierten File mit.

RTFM
https://www.openssl.org/docs/man1.1.1/man1/openssl-verify.html
jsysde
jsysde 13.04.2023 aktualisiert um 09:32:49 Uhr
Goto Top
Moin.

Du kannst dir einfach root, intermediate und das eigentliche crt in eine Datei packen:
https://www.thesslstore.com/knowledgebase/ssl-support/combining-multiple ...
https://www.ssl247.com/knowledge-base/detail/how-to-merge-or-concatenate ...

Wobei das root würde ich rauslassen, aber das Kombinieren von Intermediate und Zertifikat hat mir schon häufiger das Leben leichter gemacht.

Cheers,
jsysde
FrageDebian
Mehr von PUEVITPUEVITWindows Server IIS zusätzlicher Port für eine WebseitePUEVIT - 4 KommentarePUEVITZukünftiger Netzwerkaufbau und KonfigurationPUEVIT - 20 Kommentare
Heiß diskutiert
Roland567VMware - Broadcom und neue PreiseRoland567 - 29 KommentareMysticFoxDESERVER 2025 - NIC-Performance - Per Default sehr "durchwachsen"MysticFoxDE - 25 KommentareDarkened1645Welchen Hypervisor für Zuhause?Darkened1645 - 23 KommentareOliverXGäste IP-Bereich mit Internet aber kein Zugriff auf Büro IP-BereichOliverX - 20 KommentarekartoffelesserCable Diagnostics - Distance to fault 11,5 Meterkartoffelesser - 19 KommentareKarlHoGeklonte Windows Systeme in MDM aufnehmenKarlHo - 17 KommentareBlackmannZwang zur TelefonnummernbereitstellungBlackmann - 16 Kommentaremorpheus2010De Domain für Mailadressen wie sicher ist der WHOISmorpheus2010 - 15 Kommentarebulldozer90Win11 Master Image mit OEM Lizenzen möglich?bulldozer90 - 15 KommentarePaulina.RabeNetzwerk aufbauen für BürogemeinschaftPaulina.Rabe - 14 KommentarejsysdeWindows 11 - 24H2 - Rechte-Erweiterung via Taskmanagerjsysde - 14 KommentareAlex-AlexLangsamer erster Start der ERP-Software auf 2 WIN11 PCsAlex-Alex - 13 Kommentare