KeyHelp hat bei mir nur eine unsichere Verbindung. (Zertifikat) [GELÖST]

[Mutti]

KeyHelp hat nur einen ungesicherte Verbindung. (Zertifkikat)

Ich bin sicher, dass die Ursache des Problems bei KeyHelp liegt

Server-Betriebssystem + Version
Ubuntu 22.04.3 LTS (GNU/Linux 5.15.0-83-generic x86_64)

Eingesetzte Server-Virtualisierung-Technologie
KVM

KeyHelp-Version + Build-Nummer
23.1.1 (Build 3016)

Problembeschreibung / Fehlermeldungen

KeyHelp hat nur eine ungesicherte Verbindung. (Zertifkikat)

Erwartetes Ergebnis
Eine gesicherte Verbindung mit Zertifikat

Tatsächliches Ergebnis
Kein Zertifikat

Schritte zur Reproduktion
Nicht möglich

Zusätzliche Informationen
Nicht vorhanden

[Tobi]

Ohne echten Domainnamen kann man dir leider nicht helfen. Es handelt sich aber definitiv NICHT um ein KeyHelp Problem.

Eventuell hilft dieser Link:
viewtopic.php?t=10456

[Mutti]

Ich kann zumindest berichten dass das Zertifikat (Letsencrypt) abrufbar ist aber es wird trotzdem als unsichere Verbindung angezeigt.
Die Konsole vom Browser gibt da leider auch nichts aus.

Trotzdem vielen Dank.

[Jolinar]

Ich kann zumindest berichten dass das Zertifikat (Letsencrypt) abrufbar ist aber es wird trotzdem als unsichere Verbindung angezeigt.
Die Konsole vom Browser gibt da leider auch nichts aus.

Wie wäre es denn mal mit einem Blick in die relevanten Logfiles...?

[Alexander]

Bzw. mal überprüfen, was der Browser denn in der Addresszeile anzeigt, und was angezeigt wird, wenn man dort auf das Schloss-Icon klickt.

Wenn es laut diesen Daten ein Let's Encrypt Zertifikat ist, aber als unsicher angezeigt wird, dann passt entweder der Domainname im Zertifikats nicht zur eigentlich aufgerufenen URL, oder es wird die Let's Encrypt Staging Umgebung, statt Produktiv-Umgebung verwendet.

[Mutti]

Vielen Dank.

Hier der Log.

Danke voraus.

Code: Select all

[Sun Sep 10 23:31:04.975844 2023] [ssl:warn] [pid 15319:tid 139963643385728] AH01906: v74084.example.de:443:0 server certificate is a CA certificate (BasicConstraints: CA == TRUE !?)
[Sun Sep 10 23:31:04.976000 2023] [ssl:error] [pid 15319:tid 139963643385728] AH02217: ssl_stapling_init_cert: can't retrieve issuer certificate! [subject: emailAddress=info@keyhelp.de,CN=v74084.example.de,OU=KeyHelp Control Panel,O=KeyHelp,L=Erfurt,ST=Thuringia,C=DE / issuer: emailAddress=info@keyhelp.de,CN=v74084.example.de,OU=KeyHelp Control Panel,O=KeyHelp,L=Erfurt,ST=Thuringia,C=DE / serial: 26C54564DAE0CE038532272CCDBCA66EAB1AE400 / notbefore: Sep 10 21:30:19 2023 GMT / notafter: Sep  7 21:30:19 2033 GMT]
[Sun Sep 10 23:31:04.976005 2023] [ssl:error] [pid 15319:tid 139963643385728] AH02604: Unable to configure certificate v74084.example.de:443:0 for stapling
[Sun Sep 10 23:31:04.998157 2023] [ssl:warn] [pid 15320:tid 139963643385728] AH01906: v74084.example.de:443:0 server certificate is a CA certificate (BasicConstraints: CA == TRUE !?)
[Sun Sep 10 23:31:04.998330 2023] [ssl:error] [pid 15320:tid 139963643385728] AH02217: ssl_stapling_init_cert: can't retrieve issuer certificate! [subject: emailAddress=info@keyhelp.de,CN=v74084.example.de,OU=KeyHelp Control Panel,O=KeyHelp,L=Erfurt,ST=Thuringia,C=DE / issuer: emailAddress=info@keyhelp.de,CN=v74084.example.de,OU=KeyHelp Control Panel,O=KeyHelp,L=Erfurt,ST=Thuringia,C=DE / serial: 26C54564DAE0CE038532272CCDBCA66EAB1AE400 / notbefore: Sep 10 21:30:19 2023 GMT / notafter: Sep  7 21:30:19 2033 GMT]
[Sun Sep 10 23:31:04.998338 2023] [ssl:error] [pid 15320:tid 139963643385728] AH02604: Unable to configure certificate v74084.example.de:443:0 for stapling
[Sun Sep 10 23:36:53.154696 2023] [ssl:warn] [pid 697:tid 139993182201728] AH01906: v74084.example.de:443:0 server certificate is a CA certificate (BasicConstraints: CA == TRUE !?)
[Sun Sep 10 23:36:53.155749 2023] [ssl:error] [pid 697:tid 139993182201728] AH02217: ssl_stapling_init_cert: can't retrieve issuer certificate! [subject: emailAddress=info@keyhelp.de,CN=v74084.example.de,OU=KeyHelp Control Panel,O=KeyHelp,L=Erfurt,ST=Thuringia,C=DE / issuer: emailAddress=info@keyhelp.de,CN=v74084.example.de,OU=KeyHelp Control Panel,O=KeyHelp,L=Erfurt,ST=Thuringia,C=DE / serial: 26C54564DAE0CE038532272CCDBCA66EAB1AE400 / notbefore: Sep 10 21:30:19 2023 GMT / notafter: Sep  7 21:30:19 2033 GMT]
[Sun Sep 10 23:36:53.155760 2023] [ssl:error] [pid 697:tid 139993182201728] AH02604: Unable to configure certificate v74084.example.de:443:0 for stapling
[Sun Sep 10 23:36:53.275324 2023] [ssl:warn] [pid 755:tid 139993182201728] AH01906: v74084.example.de:443:0 server certificate is a CA certificate (BasicConstraints: CA == TRUE !?)
[Sun Sep 10 23:36:53.275421 2023] [ssl:error] [pid 755:tid 139993182201728] AH02217: ssl_stapling_init_cert: can't retrieve issuer certificate! [subject: emailAddress=info@keyhelp.de,CN=v74084.example.de,OU=KeyHelp Control Panel,O=KeyHelp,L=Erfurt,ST=Thuringia,C=DE / issuer: emailAddress=info@keyhelp.de,CN=v74084.example.de,OU=KeyHelp Control Panel,O=KeyHelp,L=Erfurt,ST=Thuringia,C=DE / serial: 26C54564DAE0CE038532272CCDBCA66EAB1AE400 / notbefore: Sep 10 21:30:19 2023 GMT / notafter: Sep  7 21:30:19 2033 GMT]
[Sun Sep 10 23:36:53.275426 2023] [ssl:error] [pid 755:tid 139993182201728] AH02604: Unable to configure certificate v74084.example.de:443:0 for stapling

[Mutti]

Bzw. mal überprüfen, was der Browser denn in der Addresszeile anzeigt, und was angezeigt wird, wenn man dort auf das Schloss-Icon klickt.

Wenn es laut diesen Daten ein Let's Encrypt Zertifikat ist, aber als unsicher angezeigt wird, dann passt entweder der Domainname im Zertifikats nicht zur eigentlich aufgerufenen URL, oder es wird die Let's Encrypt Staging Umgebung, statt Produktiv-Umgebung verwendet.

Der Browser zeigt in der Adresszeile die Server-IP und das es keine gesicherte Verbindung ist.

Danke voraus.

[Alexander]

Dein KeyHelp verwendet das Standard - selbst-signierte Zertifikat, wahrscheinlich aus dem Grund, weil das Let's Encrypt Zertifikat nicht bezogen werden konnte.

Im Admin-Bereich unter "TLS/SSL-Zertifikate -> Serverdienste absichern" hast du Let's Encrypt angegeben?

Wenn ja sollte sich entsprechend eine Fehlermeldung im Systemstatus -> Ereignis-Protokolle / Protokolle (update.log) finden lassen.

[Mutti]

Vielen Dank.

Ich habe jetzt ein selbsigniertes Zertifikat erstellt. Leider hat das auch keine Lösung des Problems gebracht.

[mhagge]

Ist v74084.example.de der korrekte Hostname (nein, ist er nicht)? Nur aus "Verschleierungsgründen" dort gesetzt, oder steht das da wirklich so?

Aus dem Log geht recht eindeutig hervor, dass das LetsEncrypt-Zertifikat nicht bezogen werden konnte. Warum und wieso kann man ohne den richtigen Hostnamen nur raten. Stimmt die Namensauflösung? (sprich ist der A und ggf. AAAA-Record im Nameserver auf den Hostnamen korrekt gesetzt und zeigt dieser - wenn auch mit der https-Fehlermeldung - den Login zum Keyhelp an?)

Ansonsten wird Dir, fürchte ich, niemand ohne die korrekten Angaben helfen können.

[Florian]

Hallo,

ein selbstsigniertes Zertifikat bringt natürlich auch eine Warnung.

Prüfe, dass dein Hostname auf die korrekte IP bzw IPs auflöst. Sowohl von extern als auch auf dem Server selbst, Stichwort /etc/hosts
Häufig wird übersehen, dass für den Hostnamen ein AAAA-Record im Nameserver existiert, der Server aber gar keine IPv6 Adresse hat

Vorher kannst du kein LE Zertifikat bekommen.

[Tobi]

Der Browser zeigt in der Adresszeile die Server-IP und das es keine gesicherte Verbindung ist.

Danke voraus.

Beim Zugriff über die IP wird es immer einen Zertifikatsfehler geben weil Zertifikate für Hostnamen und nicht für IP Adressen ausgestellt werden.

[Mutti]

Hallo,

soweit ist alles korrekt gesetzt.

Code: Select all

# Generated by SolusVM
127.0.0.1	localhost localhost.localdomain
::1	localhost localhost.localdomain
x.xx.xxx.xxx	v74084.example.de

Auch eine Abfrage bei | https://www.heise.de/netze/tools/dns/

zeigt die korrekte IP4

[Mutti]

Nochmal Danke.

Ich denke das könnte es sein.

Abfrageergebnis für x.xx.xx.xx:
Typ Daten
PTR

name:
xx.xxx.xx.x.in-addr.arpa

ptrdname: ( Das könnte der Fehler sein. )
v71404.example.de

ttl:
2816

[Florian]

Hallo,

der PTR Record hat damit nichts zu tun.

Gib den realen Namen preis oder schick ihn per PM, damit wir aufhören können zu rätseln.

mit freundlichen Grüßen
Florian Cheno