[Postfixbuch-users] Wie definiere ich certificate chain

robert rottermann robert.rottermann at gmx.ch
So Jan 5 20:25:46 CET 2014


Hoi zäme,

Ich habe die Feiertage genutzt, um meine "Angstgegener" postfix und ssl/tls in 
die Schranken zu weisen.
Leider ist das neue Postfix Buch noch nicht einmal als ebook erhältlich (schade, 
schade) drum habe ich so ca 7000 tutorials durchgeackert ..

Nun ein Problem, das ich nicht lösen konnte:

Ich habe einen CSR generiert

*openssl genrsa **-des3****-out**webserverkey.pem **2048**
**openssl req **-new****-key**webserverkey.pem **-out**webservercert.csr 
**-days****3650*

mit diesem habe ich bei startssl.org ein Zertifikat signieren lassen.
bekommen habe ich 3 Dateien:
Das signierte Zertifikat,
     ssl.crt
Das intermediate root Zertifikat
     sub.class2.server.ca.pem
Das Root Zertifikat
     ca.pem

nun versuche ich eine "certificate chain" server.pem zu basteln, die einerseits den
*openssl verify -purpose sslserver server.pem*
test fehlerfrei übersteht und andernseits mit
*openssl s_server -key webserverkey_nokey.pem -cert server.pem*
funktioniert.

leider schaffe  ich nur eines von beiden.
wenn ich mit dem root zertifikat anfange:
*cat ca.pem sub.class2.server.ca.pem ssl.crt > server.pem**
*gibt
*openssl verify -purpose sslserver server.pem *
server.pem: OK
aus.
aber
*openssl s_server -key webserverkey_nokey.pem -cert server.pem*
einen Fehler:
error setting private key
140194214442656:error:0B080074:x509 certificate 
routines:X509_check_private_key:key values mismatch:x509_cmp.c:331:

wenn ich die Reihenfolge beim erstellen von server.pem kehre, also
*cat ssl.crt ca.pem sub.class2.server.ca.pem > server.pem*
kann ich den openssl server starten, aber
reklamiert
*openssl verify -purpose sslserver server.pem *
server.pem: description = 93G0vRVEt2p23lPS, C = CH, ST = Bern, L = Bern, O = 
Robert Rottermann, CN = mail.redcor.ch, emailAddress = postmaster at redcor.ch
error 20 at 0 depth lookup:unable to get local issuer certificate


kann mir jemand sagen, wie man das "richtig" macht.

herzlichen dank
und än schöne räschte
robert
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20140105/edbf4318/attachment.html>


Mehr Informationen über die Mailingliste Postfixbuch-users