Webmin SSL Fehler bei Firefox

hawe

New Member
Hallo zusammen,
ich habe das Zertifikat für meinen Webmin erneuert. Seither erhalte ich mit Firefox 38.0.1 folgende Fehlermeldung:

Fehlerhaft formatierte DER-verschlüsselte Nachricht. (Fehlercode: sec_error_bad_der)

Das alte Zertifikat war SHA1, das neue ist SHA256. Bei einem anderen Server mit einen SHA256 läuft Firefox.

Hat jemand eine Idee was ich tun kann?

CU
hawe
 

MadMakz

Member
Ordentliche Dokumentation finde ich gerade nicht aber es hat etwas mit den "Standards" zu tun die Mozilla (und andere) vorschreibt.

Min 2048 bit (evtl. wird auch schon 3072 oder 4096 vorrausgesetzt)
min sha256
kein sslv2
kein sslv3
keine weak cypher. bei apache 2.2 ist zu beachten das auch DH basierte cyphher schwach sind.
nicht selbst signiert.(wobei ich hier nicht weiß ob nur ein unknown issuer oder auch ein DES fehler geworfen wird)
 
Last edited by a moderator:

hawe

New Member
Danke für die Antwort.

Ordentliche Dokumentation finde ich gerade nicht
Das ist auch mein Problem ...

aber es hat etwas mit den "Standards" zu tun die Mozilla (und andere) vorschreibt.

Min 2048 bit (evtl. wird auch schon 3072 oder 4096 vorrausgesetzt)
min sha256
kein sslv2
kein sslv3
keine weak cypher.
nicht selbst signiert.
Naja, 2048 hat der Schlüssel, sha256 hat das neue Zertifikat.

Wo kann ich sslv2, sslv3, etc in Webmin verstellen? Mhh, das alte Zertifikat ging ohne Verstellen, hatte eben nur sha1.

Signiert hat meine eigene CA. Die Root muss nur in den Zertifikatsspeicher. Einzig das Schloss ist grau und nicht grün. Das soll aber wohl so sein.

Wer weiss welche Einstellungen im Zertifikat angestellt sein müssen?

Aktuell sind es:
SHA-256 mit RSA-Verschlüsselung ( 1.2.840.113549.1.1.11 )
Öffentlicher Schlüssel
RSA-Verschlüsselung ( 1.2.840.113549.1.1.1 ), 2048 Bit
Schlüsselverwendung: Verschlüsseln, Überprüfen, Einpacken, Ableiten

Erweiterung:
Schlüsselverwendung: Digitale Signatur, Verschlüsseln von Schlüsseln, Datenverschlüsselung, Vereinbarung von Schlüsseln
Erweiterte Schlüsselverwendung: Zweck#1 Serverauthentifizierung ( 1.3.6.1.5.5.7.3.1 )

EDIT: Problem gelöst. Bei der Erweiterung "Alternativer Name des Inhabers ( 2.5.29.17 )" dürfen DNS Einträge keinen abschließenden . besitzen.
Gruß
hawe
 
Last edited by a moderator:
Top