SSL Zertifikat Richtig erstellen / SEC_ERROR_UNKNOWN_ISSUSER [gelöst]

  • Hallo zusammen,


    da ich anscheinend zu Blöd bin es zu google anbei mein Problem.


    Wenn mann auf meine Domain zugreift ist dort ein SSL Zertifikat hinterlegt (Thawte SSL123) CSR wurde anhand einer Anleitung erstellt.
    Jedoch wird bei Fierfox Folgende Meldung angezeigt:
    "domain.de verwendet ein ungültiges Sicherheitszertifikat. Dem Zertifikat wird nicht vertraut, weil das Aussteller-Zertifikat unbekannt ist. Der Server sendet eventuell nicht die richtigen Zwischen-Zertifikate. Eventuell muss ein zusätzliches Stammzertifikat importiert werden. Fehlercode: SEC_ERROR_UNKNOWN_ISSUER"



    Wenn ich danach google finde ich nur tausende Anleitungen wie ich das im Browser einstellen kann.... Diese Meldung sollte aber am besten gar nicht erscheinen.
    Ich gehe davon aus das ich beim erstellen der crs datei was falsch gemacht habe oder?
    Da das Zertifikat bald abläuft wollte ich ein neues Erstellen/Bestellen und dieses jetzt richtig machen.
    Kann mir jemand eventuell sagen was ich da verbockt habe?


    Anbei ein Auszug der apache config

    PHP
    1. <VirtualHost 1.2.3.4:443><Directory /var/customers/webs/Benutzername/domainordner/>Options FollowSymLinks Indexes ExecCGI Order allow,deny Allow from all AllowOverride All</Directory> # General setup for the virtual host DocumentRoot "/var/customers/webs/Benutzername/domainordner" ServerName domain.de ServerAdmin webmaster@domain.de ErrorLog "/var/customers/logs/Benutzername-error.log" TransferLog "/var/customers/logs/Benutzername-transfer.log" # SSL Engine Switch: # Enable/Disable SSL for this virtual host. SSLEngine on
    2. SSLCertificateFile /etc/apache2/domain.de.crt SSLCertificateKeyFile /etc/apache2/domain.de.key
    3. </VirtualHost>



    mfG DasUFO

    Die apocalypse der Deutschen Rechtschreibung ;)
    GIDF.DE Google ist dein Freund! :D

    The post was edited 1 time, last by DasUFO ().

  • Ich denke nicht, dass du etwas an deinem CSR verbockt hast, eher macht es mir den Eindruck, dass du keine korrekte "Chain" hergestellt hast. Dies bedeutet, dass in der Zertifikatsdatei die intermediate-Zertifikate fehlen.

  • Hmm das kann gut sein da mir das Chain nix sagt.


    Es ist ja auch schon etwas her als ich das erstellt hatte. Gibt es da eine vernümftige Anleitung (am besten mit erklärung) die du mir empfehlen kannst?


    [EDIT]
    Wen das was hilft:
    Zertifikathirachie
    thawte Primary Root CA
    thawte DV SSL CA - G2
    domain.de

  • Ich habe von
    https://search.thawte.de/support/ssl-digital-certificates/index?page=content&id=INFO1372&actp=LIST&viewlocale=en_US


    das Thawte Intermediate CA Certificate genommen und in der chain.crt datei eingefügt.


    PHP
    1. SSLCertificateChainFile /etc/apache2/chain.crt


    Jedoch bekomme ich immernoch diese Meldung
    https://domain.de/


    Der Zertifikat-Aussteller der Gegenstelle wurde nicht erkannt.


    HTTP Strict Transport Security: false
    HTTP Public Key Pinning: false


    Zertifikatskette:.


    Hier kommen jetzt die Domain crt Inhalt und dan der inhalt der Verlinkten Seite. Das abrufen der chain daten funktioniert also wunderbar...
    Jedoch sind diese Daten fehlerhaft :-/





    [EDIT]
    Mit der Check Funktion von thawte (die habe ich leider erst grade gefunden :-/ ) konnte ich das Problem finden.
    Dort wurde mir auch direckt das Richtige zum Download angeboten :-)


    https://cryptoreport.thawte.com/checker/views/certCheck.jsp

    Die apocalypse der Deutschen Rechtschreibung ;)
    GIDF.DE Google ist dein Freund! :D

    The post was edited 1 time, last by DasUFO ().