schneerunzel
Goto Top

Wildcard-Zertifikat p12 für Apache verwenden - Onlyoffice und Nextcloud curl: (60) SSL certificate problem: unable to get local issuer certificate

Moin zusammen,

folgende Situation:
Ich habe eine Wildcard-Zertifikat ausgestellt von GlobalSign
unbenannt

Dieses Zertifikat liegt mir in einer .p12 Datei vor.

Wie kann ich dieses Zertifikat jetzt in meinen Apache Server einbinden auf dem Nextcloud und Onlyoffice.

Beim Googlen habe ich folgendes gefunden:
openssl pkcs12 -in domain.p12 -nocerts -nodes -out private.key
openssl rsa -in private.key -out domain.key
openssl pkcs12 -in domain.p12 -clcerts -nokeys -out domain.pem

Dann habe ich aus der domain.pem die ersten Zeilen rausgelöscht, so das die Datei mit -----BEGIN CERTIFICATE----- beginnt.
in der Apache Conf habe ich folgende 3 Zeilen:
SSLEngine on
SSLCertificateFile /etc/ssl/certs/domain.pem
SSLCertificateKeyFile /etc/ssl/private/domain.key

(Jeweils Nextcloud und Onlyoffice habe eigene Subdomains)

Wenn ich die Seiten per Firefox aufrufe, erhalte ich die Meldung dass das Zertifikat gültig ist.
Sowohl bei Onlyoffice als auch bei Nextcloud erhalte ich im FF die Meldung, dass das Zertifikat gültig ist.

Wenn ich jetzt versuche die Onlyoffice Domain in Nextcloud einzubinden erhalte ich aber folgende Meldung:
HealthcheckRequest on check error: cURL error 60: SSL certificate problem: unable to get local issuer certificate (see http://curl.haxx.se/libcurl/c/libcurl-errors.html)

Ein "curl -vvI https://onlyoffice.domain.de;
liefert ebenfalls den selben Fehler zurück:
* Rebuilt URL to: https://onlyoffice.domain.de/
*   Trying 10.66.32.250...
* TCP_NODELAY set
* Connected to onlyoffice.domain.de (*******) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
*   CAfile: /etc/ssl/certs/ca-certificates.crt
  CApath: /etc/ssl/certs
* (304) (OUT), TLS handshake, Client hello (1):
* (304) (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (OUT), TLS alert, Server hello (2):
* SSL certificate problem: unable to get local issuer certificate
* stopped the pause stream!
* Closing connection 0
curl: (60) SSL certificate problem: unable to get local issuer certificate
More details here: https://curl.haxx.se/docs/sslcerts.html

curl failed to verify the legitimacy of the server and therefore could not
establish a secure connection to it. To learn more about this situation and
how to fix it, please visit the web page mentioned above

Hat jemand eine Idee, was das Problem sein könnte?

Vielen Dank für die Hilfe

Content-Key: 492401

Url: https://administrator.de/contentid/492401

Ausgedruckt am: 28.03.2024 um 18:03 Uhr

Mitglied: LordGurke
LordGurke 06.09.2019 um 21:23:32 Uhr
Goto Top
Teste die Seite am Besten einmal bei Qualys - die listen dir dann auf, welche Intermediate-Zertifikate genau fehlen.
Diese musst du dann in Form eines Chain-Files beim Apache einbinden.
Falls du vom SSL-Anbieter die Intermediates/Zwischenzertifikate/Chainfiles bekommen hast, dann kannst du auch einfach die einbinden.
Mitglied: schneerunzel
schneerunzel 06.09.2019 um 22:33:55 Uhr
Goto Top
Hi,

Da bekomme ich diese Meldung:
unbenannt

Eine Idee, wie ich an das Chainfile komme. Vom Anbieter habe ich nicht bekommen. Laut Wiki von Global Sign, lassen die sich online runterladen.
https://support.globalsign.com/customer/portal/topics/538410-root-certif ...

Aber welches?

Vielen Dank schon einmal für die Hilfe ;)
Mitglied: cykes
cykes 07.09.2019 um 08:21:53 Uhr
Goto Top
Hi,


Siehst Du doch oben in Deinem Screenshot von Wildcard-Zertifikat (Unter "Ausgestellt von"): CN: AlphaSSL CA [usw.]
Also von obiger Seite die "AlphaSSL Intermediate Certificates" herunterladen und einbinden.

Gruß

cykes
Mitglied: Dani
Lösung Dani 07.09.2019 um 13:32:39 Uhr
Goto Top
Moin,
öffen das Wildcard-Zertfikat domain.pem auf einem Windows Rechner. Im Reiter Zertifizierungspfad kannst du schließlich das Zertifikat der Sub- und RootCA herunterladen.


Gruß,
Dani
Mitglied: schneerunzel
schneerunzel 09.09.2019 um 11:24:42 Uhr
Goto Top
Moin,

Vielen Dank.
Hat funktioniert....