Domino 9 und frühere Versionen > ND9: Administration & Userprobleme

Letsencrypt und Domino - hat das jemand automatisiert?

<< < (3/7) > >>

Flachmann:
Ok, danke. Dass die Reihenfolge bedeutsam ist, war mir nicht klar. Mal sehen, wie weit ich jetzt komme.

Flachmann:
Leider tut's immer noch nicht, vielleicht kannst Du ja nochmal Klarheit bringen. Der Aufruf von letsencrypt-win-simple erzeugt diese fünf .pem-Dateien:

host.de-chain.pem  <- ca-bundle? Enthält zwei Zertifikate, beginnen mit BEGIN CERTIFICATE
host.de-crt.pem    <- mein Zertifikat? Startet mit BEGIN CERTIFICATE
host.de-csr.pem    <- weiß nicht was das ist, beginnt mit BEGIN CERTIFICATE REQUEST, wird wohl nicht benötigt
host.de-key.pem    <- private key, BEGIN RSA PRIVATE KEY
ca-0C0142490000B4B38A72640585ECF408-crt.pem  <- dies ist das Issuer-Zertifikat; BEGIN CERTIFICATE

Außerdem habe ich mir noch diese Root- und Intermediate-Zertifikate von Let's Encrypt runter geladen:
isrgrootx1.pem
lets-encrypt-x3-cross-signed.pem
letsencryptauthorityx3.pem

Das ganze habe ich dann zusammen kopiert mit

--- Code: ---TYPE host.de-key.pem host.de-crt.pem host.de-chain.pem letsencryptauthorityx3.pem isrgrootx1.pem > "F:\Cert\server.txt"
--- Ende Code ---

Die Prüfung mittels

--- Code: ---kyrtool ="C:\Program Files\IBM\Domino\notes.ini" verify "F:\Cert\server.txt"
--- Ende Code ---
liefert dann diverse Fehlermeldungen
Successfully read 2048 bit RSA private key
INFO: Successfully read 5 certificates
INFO: Private key matches leaf certificate
ERROR: IssuerName of cert 0 does NOT match the SubjectName of cert 1
INFO: IssuerName of cert 1 matches the SubjectName of cert 2
ERROR: IssuerName of cert 2 does NOT match the SubjectName of cert 3
INFO: IssuerName of cert 3 matches the SubjectName of cert 4
INFO: Final certificate in chain is self-signed


Ich habe schon verschiedene Reihenfolgen probiert, komme aber auf keine Kombination, die nur INFO-Meldungen erzeugt.

Wie kann man denn feststellen, welche Zertifikate fehlen bzw. wo die Reihenfolge klemmt (nerv)?

Tode:
Ich würde sagen, Du brauchst host.de-key.pem, host.de-chain.pem (wenn Du vergleichst, ist vermutlich das erste Zertifikat aus chain = dem zertifikat aus host.de-crt.pem) und ca-.....pem. Installier Dir auf jeden Fall mal openssl light for win, damit kannst Du die Dateien untersuchen, wenn das so immer noch nicht geht.

Flachmann:
Ich bin inzwischen auch etwas weiter gekommen und Deine Vermutung ist wohl korrekt! Mit
--- Code: ---kyrtool show certs -i <pem-Datei>
--- Ende Code ---

kann man so nach und nach die Zertifikatsinformationen anzeigen (wusste ich zuvor nicht):

Using PEM file path 'isrgrootx1.pem'
Subject:       CN=ISRG Root X1/O=Internet Security Research Group/C=US
Issuer:         CN=ISRG Root X1/O=Internet Security Research Group/C=US

Using PEM file path 'letsencryptauthorityx3.pem'
Subject:       CN=Let's Encrypt Authority X3/O=Let's Encrypt/C=US
Issuer:         CN=ISRG Root X1/O=Internet Security Research Group/C=US

Using PEM file path 'IdenTrust_root.pem'
Subject:       CN=DST Root CA X3/O=Digital Signature Trust Co.
Issuer:         CN=DST Root CA X3/O=Digital Signature Trust Co.

Using PEM file path 'lets-encrypt-x3-cross-signed.pem'
Subject:       CN=Let's Encrypt Authority X3/O=Let's Encrypt/C=US
Issuer:         CN=DST Root CA X3/O=Digital Signature Trust Co.

Using PEM file path 'host.de-crt.pem'
Subject:       CN=host.de
Issuer:         CN=Let's Encrypt Authority X3/O=Let's Encrypt/C=US

Using PEM file path 'host.de-chain.pem'
Subject:       CN=host.de
Issuer:         CN=Let's Encrypt Authority X3/O=Let's Encrypt/C=US

Subject:       CN=Let's Encrypt Authority X3/O=Let's Encrypt/C=US
Issuer:         CN=DST Root CA X3/O=Digital Signature Trust Co.

Using PEM file path 'ca-0C0142490000B4B38A72640585ECF408-crt.pem'
Subject:       CN=Let's Encrypt Authority X3/O=Let's Encrypt/C=US
Issuer:         CN=DST Root CA X3/O=Digital Signature Trust Co.


Vor privaten Key abgesehen baut sich die Kette (umgekehrt) dann so auf:
isrgrootx1.pem - als Root ISRG Root X1
letsencryptauthorityx3.pem - als Intermediate Let's Encrypt Authority X3
host.de-crt.pem - mit meinem Host-Zertifikat host.de

Nach Import und Neustart der HTTP-Task ist FF absolut zufrieden (!), IE und Chrome nicht, weil das Root-Zertifikat nicht akzeptiert wird. Aber immerhin habe ich eine Menge gelernt, "kyrtool verify" ist zufrieden und die Kette ist nun komplett.  :D

Jetzt müsste ich noch wissen, wie man gleichzeitig auch den zweiten Zertifizierungspfad über DST Root CA X3 einbindet.


Flachmann:
Bsp.: unser allseits geliebtes https://atnotes.de/ nutzt ebenfalls LetsEncypt und funktioniert für FF und IE gleichermaßen, nutzt aber unterschiedliche Root-Zertifikate (s. Anhänge).

Während FF auf "ISRG Root X1" verweist, nutzt IE "DST Root CA X3" (weil im IE das ISRG Root X1 noch nicht akzeptiert wird). Wie bekommt man diese Kombination auch für Domino hin?

Es geht wohl sicher wieder um die Reihenfolge der Dateien...

Denn wir haben im Prinzip jetzt 2 Root-Dateien (isrgrootx1.pem und IdenTrust_root.pem) und 2 Intermediate-Dateien (letsencryptauthorityx3.pem und lets-encrypt-x3-cross-signed.pem), die alle irgendwie auf host.de verweisen.

Navigation

[0] Themen-Index

[#] Nächste Seite

[*] Vorherige Sete

Zur normalen Ansicht wechseln