Selbst erstelltes Zertifikat gibt keine Infos raus...? [Gelöst]

[jmar83]

Hallo zusammen

Habe mir soeben ein neues SSL-Zertifikat erstellt:

Code: Alles auswählen

1. mkdir /etc/ssl/000-default

2. cd /etc/ssl/000-default

3. openssl genrsa -out 000-default.key 2048

4. openssl req -new -key 000-default.key -out 000-default.csr

5. openssl x509 -req -days 1 -in 000-default.csr -signkey 000-default.key -out 000-default.crt

6. a2enmod ssl

7. cat /etc/apache2/ports.conf
7.1-> Prüfen, ob diese Einträge existieren:
      <ifmodule ssl_module="">
          Listen 443
      </ifmodule>
 
      <ifmodule mod_gnutls.c="">
          Listen 443
      </ifmodule>

8. nano /etc/apache2/sites-available/default-ssl.conf

9. Folgende Einträge in die obige Datei einfügen:

SSLCertificateKeyFile /etc/ssl/000-default/000-default.key
SSLCertificateFile /etc/ssl/000-default/000-default.crt

10. cd /etc/apache2/sites-enabled

11. ln -s /etc/apache2/sites-available/default-ssl.conf 000-default-ssl.conf 

12. service apache2 restart

Nun gibt mir das unter Chrome aber folgende Infos raus:




Bei Schritt 4., also dort wo man die Informationen eingeben muss, habe ich was total anderes eingegeben als das was im Chrome-Screenshot ist.

Warum? Das deckt sich keinesfalls...? Ich habe SICHER NIE "debianstretch" eingegeben!?

[jmar83]

Des Weiteren deckt sich meine gültigkeits-Angabe von 1 Tag (zu Testzwecken..) ebenfalls nicht...

[jmar83]

-> gleiches Problem bei Raspbian: Entspricht dort dem Hostnamen "raspberrypi"...

[DynaBlaster]

Und beim Restart des apache-Daemon gabs keine Fehlermeldung?

Würde ad hoc jetzt auf ne doppelte Portbelegung auf/für Listen 443 tippen. Check mal /etc/apache/sites-available/default.conf bzw. ob da neben default.conf und default-ssl.conf noch andere Dateien rumschwirren, die ggf. schon Port 443 mit einem Standard-Zertifikat belegen. Die Laufzeit von 10 Jahren sieht tatsächlich etwas nach einem automatisch generierten Zertifikat aus.

[jmar83]

Hallo DynaBlaster!

Nein, ich kann soweit nichts dergleichen erkennen...

- `openssl x509 -in /etc/ssl/000-default/000-default.crt -text -noout` sagt mir was aus zum Thema, dort drin finde ich die Angaben in korrekter Form.

- `openssl rsa -in /etc/ssl/000-default/000-default.key -check` gibt mir den "RSA private key" aus...

- `grep SSLCert /etc/apache2/sites-enabled/000-default-ssl.conf` resp. `grep SSLCert /etc/apache2/sites-available/default-ssl.conf` gibt das hier aus:
```
grep SSLCert /etc/apache2/sites-enabled/000-default-ssl.conf
SSLCertificateKeyFile /etc/ssl/000-default/000-default.key
SSLCertificateFile /etc/ssl/000-default/000-default.crt
# SSLCertificateFile directive is needed.
SSLCertificateFile /etc/ssl/certs/ssl-cert-snakeoil.pem
SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key
# Point SSLCertificateChainFile at a file containing the
# the referenced file can be the same as SSLCertificateFile
#SSLCertificateChainFile /etc/apache2/ssl.crt/server-ca.crt

```

- `apache2ctl -S` das hier:
```
apache2ctl -S
AH00558: apache2: Could not reliably determine the server's fully qualified domain name, using 127.0.1.1. Set the 'ServerName' directive globally to suppress this message
VirtualHost configuration:
*:443 127.0.1.1 (/etc/apache2/sites-enabled/000-default-ssl.conf:2)
*:80 127.0.1.1 (/etc/apache2/sites-enabled/000-default.conf:1)
ServerRoot: "/etc/apache2"
Main DocumentRoot: "/var/www/html"
Main ErrorLog: "/var/log/apache2/error.log"
Mutex mpm-accept: using_defaults
Mutex watchdog-callback: using_defaults
Mutex rewrite-map: using_defaults
Mutex ssl-stapling-refresh: using_defaults
Mutex ssl-stapling: using_defaults
Mutex ssl-cache: using_defaults
Mutex default: dir="/var/run/apache2/" mechanism=default
PidFile: "/var/run/apache2/apache2.pid"
Define: DUMP_VHOSTS
Define: DUMP_RUN_CFG
User: name="www-data" id=33
Group: name="www-data" id=33
```


Hat also geklappt mit dem obersten Befehl... trotzdem frage ich mich, warum der Browser soweit nix bekannt gibt dazu? Gerade der Browser sollte es ja eigentlich wissen, wer der Herausgeber des Zertifikats ist, auf welches Domain es ausgestellt ist etc...?

[jmar83]

Das Problem waren die sog. "Snakeoil"-Einträge in der SSL-.conf-Datei... Problem somit gelöst.