SSL Vhost !


M

meinlink

Guest
Moin,

ich bin am verzweifeln. Ich habe hier ein SSL Zertifikat. Von der Auszustellenden Stelle habe ich zwei Zertifikate bekommen.

Einemal eine Zertifikate.pem und eine cachain.pem. Habe mir eine normale SSL Host angelegt und habe folgendes als Pfade stehen:

Code: 
 SSLEngine On
    SSLCertificateFile  /etc/ssl/cachain.pem
    SSLCertificateKeyFile /etc/ssl/certificate.pem

Und das steht zb. in den Logs;

SSL Library Error: error:0909006C:pEM routines:get_name:no start line (Expecting: TRUSTED CERTIFICATE) -- Bad file contents or format - or even just a forgotten SSLCertificateKeyFile?


[Mon Feb 24 17:10:46.618168 2020] [ssl:emerg] [pid 25656] SSL Library Error: error:140DC009:SSL routines:use_certificate_chain_file:pEM lib
Click to expand...

Mit .pem ist mir sehr neu, kenne dass nur mit key und crt etc. Was mach ich verkehrt, könnt Ihr mich wieder aufn den richtigen Weg bringen ?

Gruß
Dennis
 
Zertifikate.pem ist dein Zertifikat - was du als crt Datei kennst. cachain.pem enthält die Zertifikatskette, deine CA signiert wahrscheinlich mit einem Zwischenzertifikat und nicht direkt mit dem Root-Zertifikat. Da musst du schauen, ob dein Zertifikat in der cachain.pem schon drin ist, oder ob du die zu einer Datei kombinieren musst.
Dein privater Schlüssel (die key Datei) sollte sinnvollerweise bereits auf deinem Server vorhanden sein, denn damit hast du ja deinen Zertifikatsrequest erstellt.
 
Also in der certificate.pem ist ein Zertifikat und in der cachain.pem sind zwei. Habe die zusammengeführt aber ohne Ergebnis.
In der Apache Error Log steht folgendes:

AH02564: Failed to configure encrypted (?) private key web.domain:443:0, check /etc/ssl/servers.crt
AH00016: Configuration Failed
Click to expand...

Die Servers.crt ist die erstellte, von mir aber die ist ja O.K aber anscheinend wohl nicht ... und das verwirrt mich ja etwas ... -.-

Dein privater Schlüssel (die key Datei) sollte sinnvollerweise bereits auf deinem Server vorhanden sein, denn damit hast du ja deinen Zertifikatsrequest erstellt.
Click to expand...

Alles andere wäre ja, doof.
 
Deine *.key Datei (die mit dem privaten Schlüssel) fehlt (der Inhalt fängt normalerweise mit -----BEGIN RSA PRIVATE KEY----- an). Die wird als erstes erstellt, daraus dann der Zertifikatsrequest und damit kann dir deine CA erst das Zertifikat ausstellen. Von der CA bekommst du normalerweise nur dein Zertifkat und (wie bei dieser CA) die Chain mit den Zertifikaten der CA selbst.
 
SSLCertificateFile = Server-Zertifikat
SSLCertificateKeyFile = private Key des Server-Zertifikats
SSLCertificateChainFile = öffentliche (auch Zwischen)Zertifikate des Unterzeichners (CA), also eben die Zertifikatskette.
 
GwenDragon said:
SSLCertificateChainFile = öffentliche (auch Zwischen)Zertifikate des Unterzeichners (CA), also eben die Zertifikatskette.
Click to expand...

Diese Richtlinie ist seit Apache 2.4.8 obsolet und die Chain zusammen mit dem eigenen Zertifikat mit SSLCertificateFile eingebunden werden.
 
You must log in or register to reply here.
Back
Top