Vorhandenes SSL Zertifikat in vServer einbinden

Real-DD-2 · 29. März 2016

So, ich nochmal mit der hoffentlich letzten Frage erstmal.

Ich habe im CCP ja noch das SSL Zertifikat, das läuft auf die Domain. die Domain ist jetzt auf dem vServer. Auch bereits erreichbar.

Aber SSL geht eben nicht, ist ja auch noch nicht installiert. Kann ich das normal einrichten oder muss man da dann was beachten, wenn es für ein anderes paket gedacht war? Es ist ja immer noch auf meine Domain signiert oder kann es sein, das es jetzt quasi Wertlos ist?

.A. · 29. März 2016

Kommst Du an private key und das Zertifikat?

Real-DD-2 · 29. März 2016

im ccp sehe ich:
-----BEGIN CERTIFICATE REQUEST-----

-----BEGIN RSA PRIVATE KEY-----

und

-----BEGIN CERTIFICATE-----

mit dem key dazu natürlich.

An die files komme ich nicht ran, habe keine passenden gefunden zumindest.

Benutze Froxlor, da kann man den pfad zur file ja angeben
Pfad zum SSL-Zertifikat
Geben Sie den Pfad inklusive Dateinamen des Zertifikats an (meist .crt or .pem).
/etc/apache2/apache2.pem
Pfad zum SSL Private-Key
Geben Sie den Pfad inklusive Dateinamen der Schlüssel-Datei an (der private-key, meist .key).

.A. · 30. März 2016

Zitat von Real-DD-2

-----BEGIN CERTIFICATE REQUEST-----

Das ist das CSR. Keine Ahnung, wozu man das jemals wieder brauchen kann.

Zitat von Real-DD-2

-----BEGIN RSA PRIVATE KEY-----

Das ist der private Key im PEM-Format. Füge ihn inklusive der BEGIN/END-Zeilen in eine Datei ein. Achte darauf die Zugriffsrechte möglichst restriktiv zu vergeben.

Zitat von Real-DD-2

-----BEGIN CERTIFICATE-----

Das ist das Zertifikat im PEM-Format. Füge es inklusive der der BEGIN/END-Zeilen in eine Datei ein.

Aus diesen Daten mit Apache SSL einzurichten ist eine Sache von 5 Minuten bzw. 15 Minuten, wenn ich die ganzen SSL-Parameter anpassen soll, dass sie BSI TR-02102-2 entsprechen; https://bettercrypto.org und https://ssllabs.com ist als weitere Quelle sicher hilfreich, auf die Qualität insbesondere ersteren würde ich mich jedoch allein nicht verlassen. Wie das mit Froxler funktioniert, kann ich Dir aber nicht sagen, das ist mir zu schwierig.

Real-DD-2 · 30. März 2016

Externer Inhalt www.youtube.com

Inhalte von externen Seiten werden ohne Ihre Zustimmung nicht automatisch geladen und angezeigt.

Durch die Aktivierung der externen Inhalte erklären Sie sich damit einverstanden, dass personenbezogene Daten an Drittplattformen übermittelt werden. Mehr Informationen dazu haben wir in unserer Datenschutzerklärung zur Verfügung gestellt.

Das ist bei Froxlor sehr einfach. ab Minute 3 bin ich übersprungen, weil ich in
/etc/apache2/apache2.pem
/etc/apache2/apache2.key

die Keys per console eingefügt habe.
Fertig. Funktioniert.

Danke für deine Hilfe!

Real-DD-2 · 1. April 2016

Ich muss mal pushen,

auf der Mobilen Seite bzw. mit Handy GoogleChrome, zeigt er mir an, dass es sich um eine unsichere Webseite handelt. Woran könnte das liegen? Auf dem Desktop wird es regular als rapidss erkannt. alles Grün und richtig.

Liegt das an Chrome Mobile (Android) ?

KB19 · 1. April 2016

Das liegt wahrscheinlich daran, dass das Zwischenzertifikat (intermediate certificate) fehlt. Füge es zur Zertifikatsdatei (darunter) hinzu, dann sollte es klappen.

Siehe auch: RapidSSL Intermediate CAs | RapidSSL

MfG Christian

echi · 2. April 2016

Zitat von killerbees19

Das liegt wahrscheinlich daran, dass das Zwischenzertifikat (intermediate certificate) fehlt. Füge es zur Zertifikatsdatei (darunter) hinzu, dann sollte es klappen.

Ich denke auch, dass es daran liegt.
Du kannst dann mit irgend einem der Online verfügbaren Zertififats-checker die Zertifikatskette deiner Domain anzeigen bzw. prüfen lassen. Zum Beispiel mit dieser Seite: SSL Checker - SSL Certificate Verify

Grüße
echi
⇄
Detect language » German

Real-DD-2 · 2. April 2016

Muss das in die .pem oder .key ?

Damit komme ich irgendwie immer durcheinander

Außerdem kann ich ja 3 Laden.

RSA SHA-1 SSL Certificates
RSA SHA-2 (under SHA-1 Root) SSL Certificates
RSA SHA-2 (under SHA-2 Root) SSL Certificates

Mein Zertifikat ist ja das: RapidSSL SHA256 CA - G3

Signature Algorithm: sha256WithRSAEncryption
Issuer: RapidSSL SHA256 CA - G3

KB19 · 2. April 2016

.key = privater (geheimer) Schlüssel
.pem oder .crt = Zertifikat im PEM-Format

Den Inhalt erkennst Du aber auch am Header/Footer mit einem Texteditor. (----- BEGIN/END […] -----)
Wenn Dein Zertifikat SHA256 nutzt, handelt es sich um SHA-2 und Du musst dieses Zwischenzertifikat verwenden.

SHA-1 wurde früher verwendet und läuft mittlerweile langsam überall aus, da die Sicherheit für die kommenden Jahre nicht mehr garantiert werden kann. Das ist wie bei MD5, das auch nicht mehr als sicher gilt…

MfG Christian

Real-DD-2 · 2. April 2016

Okay, also füge ich das unter das ein:
-----END CERTIFICATE-----

Dann sieht es in der apache2.pem so aus:
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----

KB19 · 2. April 2016

Ja, sollte passen!

MfG Christian

Real-DD-2 · 3. April 2016

Hat bestens geklappt, danke für deine Hilfe!

Real-DD-2 · 5. April 2016

Mh, mobile Chrome erkennt es aber em client z.B. sagt das mail.domain.de nicht mit dem Zertifikat übereinstimmt....
Hir mal die URL:
https://goo.gl/5BlOyD

im DNS sollte ieg auch alles passen. Mail funktioniert ja auch

mwwn · 5. April 2016

Wie es aussieht ist dein Zertifikat nur für deine Domain gültig, aber nicht für Subdomains (im Zertifikat zu sehen unter Subject Alternative Names). Daher gibt es die Warnung für mail.domain und z.b. auch www.domain.

Real-DD-2 · 5. April 2016

Mh, Dann muss ich doch nochmal was prüfen. Eigentlich sollte das Zertifikat Wildcard sein. Oder ich nutze dann eben trotz des rapid Zertifikats lets encrypt. Das ginge ja dann auch.

Aber es wird langsam.

.A. · 5. April 2016

Du lieferst übrigens ein falsches intermediate certificate mit:

Code

$ gnutls-cli --print-cert yourd****4.de
Processed 7 CA certificate(s).
Resolving 'yourd****4.de'...
Connecting to '203.0.113.21:443'...
- Certificate type: X.509
- Got a certificate list of 2 certificates.
- Certificate[0] info:
 - subject `OU=GT****85,OU=See www.rapidssl.com/resources/cps (c)15,OU=Domain Control Validated - RapidSSL(R),CN=yourd****4.de', issuer `C=US,O=GeoTrust Inc.,CN=RapidSSL SHA256 CA - G3', RSA key 2048 bits, signed using RSA-SHA256, activated `2015-07-07 01:35:27 UTC', expires `2016-07-08 23:13:34 UTC', SHA-1 fingerprint `e608****41a8'
	Public Key ID:
		d4403****7f3c
	Public key's random art:
		+--[ RSA 2048]----+
		|  . ..oo*..      |
		|*****************|
		| .... .          |
		+-----------------+







-----BEGIN CERTIFICATE-----
MIIEnzCCA4egAwIBAgIDBZFXMA0GCSqGSIb3DQEBCwUAMEcxCzAJBgNVBAYTAlVT
****************************************************************
nRotIXH+6hb9wTyiBHfaU0SkPFSd8bVOCSVvlb2Kox3bQLE=
-----END CERTIFICATE-----




- Certificate[1] info:
 - subject `C=US,O=GeoTrust Inc.,CN=RapidSSL SHA256 CA - G4', issuer `C=US,O=GeoTrust Inc.,OU=(c) 2008 GeoTrust Inc. - For authorized use only,CN=GeoTrust Primary Certification Authority - G3', RSA key 2048 bits, signed using RSA-SHA256, activated `2015-06-30 00:00:00 UTC', expires `2025-06-29 23:59:59 UTC', SHA-1 fingerprint `dc077c4ab3422f608cee83d9098bfc3a7226d6a7'




-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----




- Status: The certificate is NOT trusted. The certificate issuer is unknown. 
*** PKI verification of server certificate failed...
*** Fatal error: Error in the certificate.
*** Handshake has failed
GnuTLS error: Error in the certificate.

Alles anzeigen

Dein Zertifikat wurde von `C=US,O=GeoTrust Inc.,CN=RapidSSL SHA256 CA - G3' ausgegeben. Du lieferst aber `C=US,O=GeoTrust Inc.,CN=RapidSSL SHA256 CA - G4' mit.

Real-DD-2 · 6. April 2016

Danke, werde es mal ändern...

> Hat auch funktioniert. das war der Fehler. Eine Zeile zu weit unten runtergeladen.
Danke

Laut https://www.ssllabs.com
Hat die Seite domain.de jetzt Note "A"

Obwohl einige Handshakes nicht funktioniert haben:

Code

Android 2.3.7   No SNI 2	Server sent fatal alert: handshake_failure




IE 6 / XP   No FS 1	  No SNI 2	Server closed connection




IE 8 / XP   No FS 1	  No SNI 2	Server sent fatal alert: handshake_failure




Java 6u45   No SNI 2	Server sent fatal alert: handshake_failure
Java 7u25	Server sent fatal alert: handshake_failure
Java 8u31	Server sent fatal alert: handshake_failure
OpenSSL 0.9.8y	Server sent fatal alert: handshake_failure

Alles anzeigen

Der Rest ist "Grün"

Nun muss ich nur gucken,wieso es nur bei domain.de geht und nicht bei http://www.domain.de etc.

kannst du bitte meine URL aus dem Beitrag entfernen bzw. durch den Link Shorter ersetzen?, das wäre sehr nett...

.A. · 6. April 2016

Bei https://www.ssllabs.com kannst Du auf die Clients klicken, dann wird Dir angezeigt, was dieser mag.

Das gekaufte Zertifikat ist nur für yourdXXXX4.de, nicht aber für mail.yourdXXXX4.de, www,yourdXXXX4.de oder gar *.yourdXXXX4.de ausgestellt. Daher gibt es bei jeder 3rd-Level-Domain eine Fehlermeldung.

Das hat schon jemand g****. Ich habe das Zertifikat noch g****, denn dort ist die Domain auch nochmal enthalten. Vielleicht solltest Du oben in Deinem Beitrag den Link ändern oder beim goo.gl neu vergeben, sonst wäre das alles umsonst gewesen.