Apache SSL-Zertifikat unter Debian Etch

18/05/2008 - 12:21 von Sebastian Suchanek | Report spam
Hallo NGs!

Bislang zu meiner Zufriedenheit betreibe ich einen privaten Server, auf
dem u.a. Apache2 unter Debian Etch làuft, welcher u.a.
HTTPS-Verbindungen mit einem selbst signierten (also kein CAcert o.à.)
Zertifikat ermöglicht.

Nach dem ganzen openssl-Trubel in Debian in den letzten Tagen[1] wollte
ich nun das Apache-Zertifikat neu erstellen. Also flugs eins der
zahlreichen Tutorials aus dem Netz gefischt und ausgeführt:

# openssl req -new -x509 -days 365 -nodes -out /etc/apache2/apache.pem
-keyout /etc/apache2/apache.pem
# chmod 600 /etc/apache2/apache.pem

Das Problem dabei: Es funktioniert nicht. Apache will mit dem neuen
Zeritifkat nicht mehr starten. :-(

Fehlermeldungen im Errorlog:

| [error] Init: Private key not found
| [error] SSL Library Error: 218710120 error:0D094068:asn1 encoding
routines:d2i_ASN1_SET:bad tag
| [error] SSL Library Error: 218529960 error:0D0680A8:asn1 encoding
routines:ASN1_CHECK_TLEN:wrong tag
| [error] SSL Library Error: 218595386 error:0D07803A:asn1 encoding
routines:ASN1_ITEM_EX_D2I:nested asn1 error
| [error] SSL Library Error: 218734605 error:0D09A00D:asn1 encoding
routines:d2i_PrivateKey:ASN1 lib

Hat jemand eine Idee, wo genau das Problem liegt und wie man es behebt?


TIA,

Sebastian

PS: XP dcoulm & dcsw, f'up2 dcsw

_____
Anmerkungen:
[1]http://www.heise.de/security/Schwac...ung/107808
 

Lesen sie die antworten

#1 Friedemann Stoyan
18/05/2008 - 12:53 | Warnen spam
Sebastian Suchanek wrote:
Hallo NGs!

# openssl req -new -x509 -days 365 -nodes -out /etc/apache2/apache.pem
-keyout /etc/apache2/apache.pem
# chmod 600 /etc/apache2/apache.pem

Das Problem dabei: Es funktioniert nicht. Apache will mit dem neuen
Zeritifkat nicht mehr starten. :-(



Das ist sonnenklar: Du hast einen Zertifikatrequest erzeugt, welcher durch die
CA erst unterschieben werden muss:

openssl ca -in /etc/apache2/apache.pem -out /etc/apache2/apache-cert.pem

BTW: Du überschreibst mit dem Key Deine Zertifikatsrequest.

mfg Friedemann

Ähnliche fragen