Plesk-default certificate-SSL-Zertifikat defekt?


A

AGRV

New Member
Hallo Zusammen,

besitze einen Root-Server bei einem großen deutschen Hoster aus dem Berliner Raum. Hierauf habe ich Suse 10 und Plesk 8 laufen. Die Installation beruht auf einem Image des Hosters. Die Plesk-Updates sind jeweils eingespielt worden.

Auf dem Server sind 28 Domains gehostet.
Nun möchte ich für eine Domain ein eigenes SSL-Zertifikat einbinden. Jedoch wenn ich versuche das default certificate zu öffnen bekomme ich die Fehlermeldung:
ERROR: PleskFatalException
Unable to get certificate info: openssl_x509_parse() failed: error:0906D064:PEM routines:func(109):reason(100)

0: /usr/local/psa/admin/plib/class.CertEditForm.php:145
CertEditForm->assign(object of type SSLCertificate, NULL null, array, array)
1: /usr/local/psa/admin/htdocs/cert/cert_edit.php:273

Im SWSoft-Forum habe ich nen Eintrag gefunden, dass man bei Plesk 7.5
chmod 750 /usr/local/psa/admin/conf
ausführen soll. Leider auch ohne Erfolg.
Hat jm. eine Idee wie ich das Problem noch lösen kann?

Für die Hilfe im Voraus vielen dank.

Alexander
 
Bezüglich ISP:
Du meinst nicht zufällig 1blu?:rolleyes: Wenn ja: sofort wechseln. Service und Freundlichkeit kennt man dort nicht. Im Übrigen lässt dort die Perfomance zu Wünschen übrig.

Zu deinem Problem:
Wie richtest du das Zertifikat denn ein? Bei den günstigen Standard-Zertifikaten ist es so, dass du pro Domain auch eine eindeutige IP benötigst. Heißt kurz gesagt, du brauchst entweder ein Multidomain Zertifikat (günstigste Lösung mit kleinen Nachteilen, aber okay) oder ein Wildcart Zertifikat (sehr teuer, Nobel-Lösung). Ansonsten kannst du auf den vServern mit einer IP kein Zertifikat einrichten für einzelne Domains, sondern nur das Default Zertifikat für den gesamten Server.

Ich habs bei mir ganz einfach unter Server -> Zertifikate im Plesk hinzugefügt, anschließend als Standard gesetzt und den Apache neu gestartet - danach gings ohne Probleme.
 
ITMueller said:
Bei den günstigen Standard-Zertifikaten ist es so, dass du pro Domain auch eine eindeutige IP benötigst.
Click to expand...
Das ist bei allen Zertifikaten/Mailservern so - das hat technisch bedingte Hintergründe.
Aber das bringt nicht die beschriebene Fehlermeldung hervor - sondern es wird einfach immer das Zert des default VHost benutzt.

Multidomain Zertifikat (günstigste Lösung mit kleinen Nachteilen, aber okay)
Click to expand...
Kannst du mal bitte ausführen, was das ist? Den Begriff kenne ich noch nicht.

Wildcart Zertifikat (sehr teuer, Nobel-Lösung).
Click to expand...
Wieso das nobel ist, würde ich gern mal wissen. AFAIK für NamedVHosts die einzig gangbare Möglichkeit (Müssen aber alles Subdomains einer Domain sein).
Das Noble zweifele ich an, weil nicht alle SSL-Clients sich mit einem Wildcard-Zert abspeisen lassen.

@AGRV: Poste mal bitte den Output von
Code: 
openssl x509 -text -in <certi-file>
 
Hallo Leute,

also das Default-Zertifikat ist das Zertifikat, welches ich nach der Installation von Plesk direkt dabei hatte. Das Zertifikat war also schon inklusive. Ich wollte nun ein Testzertifikat für eine Domain einrichten. Dies habe ich dann auch unter dem Punkt Domain -> Zertifikate gemacht. Problem war hier dann, dass ich das Zertifikat nicht global nutzen konnte. Nach Rücksprache mit dem Support des Zertifikatanbieters bekam ich die Aussage dass ich das Default-Zertifikat im Punkt Server -> Zertifikate überschrieben soll. Leider trat dann hier schon direkt das beschriebene Problem auf, als ich das Zertifikat auswählte.

Nun habe ich das Zertifikat gemäß dem Befehl von elias5000 versucht zu prüfen mit folgendem Output
Code: 
openssl x509 -text -in default_certificate.pem
unable to load certificate
8323:error:0906D064:PEM routines:PEM_read_bio:bad base64 decode:pem_lib.c:757:


Kannst Du mal bitte ausführen, was das ist? Den Begriff kenne ich noch nicht.
Click to expand...

Ein Multidomain-Zertifikat ist ein Zertifikat, welches es ermöglicht mehrere Domains unterhalb einer IP Adresse zu sichern. Nachteil dieser Lösung ist, dass das Zertifikat die anderen Domains beinhaltet und somit zu sehen sind. Dies ist aber für mich eine akzeptable Lösung.

Bezüglich ISP:
Du meinst nicht zufällig 1blu? Wenn ja: sofort wechseln. Service und Freundlichkeit kennt man dort nicht. Im Übrigen lässt dort die Perfomance zu Wünschen übrig.
Click to expand...

Ne es handelt sich um die Strato Medien AG. Hier miete ich den Server für lächerliche 111 Euro monatlich. Der Service ist mies und die Anbindung auf max. 4 MB download/s gedrosselt. Beim Upload bremst die Leitung schon bei 1,7 MB/s. Aber das ist ein anderes Thema.
Die Jungs haben mir nämlich zu dem geschilderten Problem die Aussage gegeben "Müssen Sie selbst im Internet recherchieren da wir keinen Support für Plesk geben und Sie auch keinen Anspruch auf einen Plesk-Support haben, da die Lizenz über uns vertrieben wurde". Das nenne ich eine kundenorientierte Aussage, welche meine Gesichtsfarbe dann auch auf :mad: wechseln lies bis ich dann einen angeblichen Teamleiter ans Telefon bekam. Fazit hier... "Schreiben Sie uns halt mal eine Mail mit dem Problem und wir versuchen es wenn möglich an SWSoft zu eskalieren".

Hoffe ich konnte ein paar weitere Infos liefern um der Problemlösung näher zu kommen.

Grüße,
Alexander
 
Last edited by a moderator:
AGRV said:
Code: 
openssl x509 -text -in default_certificate.pem
unable to load certificate
8323:error:0906D064:PEM routines:PEM_read_bio:bad base64 decode:pem_lib.c:757:
Click to expand...
Das File bzw. dessen Inhalt ist defekt. Du brauchst ein neues Zertifikat.
 
Mhm ok, nur wie kann ich "so einfach schnell" mal das Standardzertifikat tauschen? Wenn ich ja nun schon auf ne Https - Seite des Server gehe bekomme ich ja das Default-Zertifikat angezeigt. Bin nun etwas verwirrt will unter allen umständen den Server nicht neu aufsetzten müssen.
 
Du kannst das Zertifikat einfach gegen ein anderes austauschen. Entweder geht das im Plesk (da kann ich dir nicht sagen, wie das geht) oder auf Dateisystemebene.

Wenn du einfach irgendeins brauchst, dessen CA nicht unbedingt von den Browsern anerkannt werden muss, ohne dass man diese importiert, kann ich dir auch eins mit meiner CA ausstellen.

Schreib mir dazu einfach eine kurze Mail oder komm in den Chat - wenn ich da bin ist das ne Sache von Minuten.
 
elias5000 said:
Das ist bei allen Zertifikaten/Mailservern so - das hat technisch bedingte Hintergründe.
Aber das bringt nicht die beschriebene Fehlermeldung hervor - sondern es wird einfach immer das Zert des default VHost benutzt.


Kannst du mal bitte ausführen, was das ist? Den Begriff kenne ich noch nicht.


Wieso das nobel ist, würde ich gern mal wissen. AFAIK für NamedVHosts die einzig gangbare Möglichkeit (Müssen aber alles Subdomains einer Domain sein).
Das Noble zweifele ich an, weil nicht alle SSL-Clients sich mit einem Wildcard-Zert abspeisen lassen.

@AGRV: Poste mal bitte den Output von
Code: 
openssl x509 -text -in <certi-file>
Click to expand...

PSW GROUP - SSL-Zertifikate | Qualifizierte Signatur | Linux & BSD | PDFlib | Applikationen | Hosting & Housing

Die haben das "Silver" Zertifikat auch als Multidomain (siehe unten in der Tabelle). Das installierst du dann wie von mir beschrieben im Plesk (letzter Satz meines Posts) als neues Standard-Server-Zertifikat. Vorgehensweise ist im Prinzip genau so wie bei einem einfachen "normalen" Zertifikat.
Die einzigsten Nachteile sind eigentlich, dass im Zertifikatstext selbst alle zertifizierten Domains stehen (da es ja ein Zertifikat für alle Domains ist) und eigentlich vom Standard nicht vorgesehen war, praktisch aber ohne Probleme funktioniert.

Bei mir funtkionierts ohne Probleme.

Und das mit den Domains im Zertifikatstext: ist ja nur schlimm wenn du z.B. eine Seite hast die für einen Kirchenverein ist und auf der anderen Seite einen Sexshop... ;)
 
Ich liebe sowas auch nicht. Aber zeig mir mal bitte eine bessere Alternative auf mit ähnlichen Kosten... Nur zu. Ich konnte nichts besseres finden.

Und die Hauptsache ist dass es funktioniert - für mich zumindest. Und das tut es.

P.S.: Was gibts am Zitieren zu bemängeln? :rolleyes:
 
You must log in or register to reply here.

Back
Top