SSL einrichten - Ungültiges Zertifikat. Mindestens ein "Intermediate"-Zertifikat ist falsch oder fehlt. ???

  • Hallo zusammen,
    ich habe Domains bei InternetX und die bieten seit neuestem kostenlose SSL Zertifikate an für Domains aus dem eigenen Bestand. Nun habe ich einen Reseller Account bei einem Hosting Provider, dessen Interface das mscp ist, konkret:
    i-MSCP 1.2.9
    Build: 20150703
    Codename: Andromeda


    Habe also alles soweit eingegeben im i-MSCP Kundenaccount, nur am Ende kommt dann immer dieser Fehler:


    Ungültiges Zertifikat.
    Mindestens ein "Intermediate"-Zertifikat ist falsch oder fehlt.


    Das Intermediate Zertifikat ist laut InternetX das hier:


    http://i74.photobucket.com/alb…e/2016-04-07_13-09-00.png
    (habe den Code an sich unsichtbar gemacht)


    Aber das scheint wohl nicht vollständig zu sein? Wie muss das "Intermediate"-Zertifikat denn aussehen? Wo / wie finde ich es??

  • Hi,


    1.) der Hoster soll das i-MSCP updaten (aber bitte nicht auf die 17er Version - da gibts derzeit SSL Probleme)
    2.) Um welches Zertifikat handelt es sich? (Anbieter des Cert, nicht die Firma, bei der du es bestellt hast)


    Das musst du dir meist "basteln"


    LG

  • 1.) der Hoster soll das i-MSCP updaten (aber bitte nicht auf die 17er Version - da gibts derzeit SSL Probleme)

    Da sagst du was. Ich wüsste gerade nicht aus dem Stegreif, welches Release keine kritischen Bugs hat. Irgendjemand meinte mal, das wäre i-MSCP 1.2.9 gewesen.

    Das Intermediate Zertifikat ist laut InternetX das hier:


    i74.photobucket.com/albums/i26…e/2016-04-07_13-09-00.png
    (habe den Code an sich unsichtbar gemacht)

    Auf dem Bild sehe ich genau: Gar nichts.


    i-MSCP will eventuell auch das root-Cert. Einfach in das Feld für das immediate-Cert beide Certs einfügen. InternetX sollte dir zumindest das Zwischenzertifikat direkt anbieten.


    Übrigens kannst du die Zertifikate ruhig posten, die bekommt eh jeder Browser der vorbeischaut, zugeschickt. Wenn du deinen Domain-Namen nicht öffentlich sehen willst, schick mir das Cert einfach per PN. (Das gilt natürlich nicht für den private key!).

  • Es handelt sich um diesen Zertifikat Anbieter (steht so bei InternetX im SSL Manager): Symantec / GeoTrust - Basic SSL


    "i-MSCP will eventuell auch das root-Cert. Einfach in das Feld für das immediate-Cert beide Certs einfügen. InternetX sollte dir zumindest das Zwischenzertifikat direkt anbieten."


    Ja mein Hoster meinte auch, dass man das root Cert einfügen soll. Aber das finde ich nirgendwo bei InternetX bzw. ich dachte es wäre das "CA CRT", ist es aber scheinbar nicht.


    Ich schicke es gleich via PN - danke für eure Hilfe schon mal!!

  • Also ich fahre mit der 15er Version derzeit wirklich zufrieden (und sooo buggy sind sie jetzt auch nicht - ist halt open source und da werden bugs wenigstens gefixt)


    Am besten vom root bis zum eigenen Zertifikat alles als intermediate betrachten. Da gibt es für Comodo Postive SSL Cert auch schon fertige Intermediate - ohne dem eigenen Zertifikat natürlich. Kann ich gerne senden.


    Aber die Wahl des Zertifikates sollte immer vom Anwendungsfall und den eigenen Befindlichkeiten abhängen.


    LG


    Nachtrag Geotrust SSLs: http://wiki.i-mscp.net/doku.ph…wto:problem_with_startssl (weiß aber nicht, ob das noch aktuell ist, da ich keine Geotrust Cert verwende)

  • Also ich fahre mit der 15er Version derzeit wirklich zufrieden (und sooo buggy sind sie jetzt auch nicht - ist halt open source und da werden bugs wenigstens gefixt)

    Die habe ich bei mir auch installiert. Nachdem ich sie gepatcht hatte. Ich fände es halt gut, wenn zumindest bei den kritischen Bugs ein Bugfix-Release rauskommt, das nur diese Patches enthält. Zur Zeit ist es ja eher so, dass jede Version neue Features bringt, die einen Bug haben und es dann (auch von offizieller Stelle) heißt: Bitte auf die nächste Version warten.

  • Ich kann leider selbst nix updaten, da ich nur bei einem Hosting Anbieter bin und keinen eigenen Server habe.

  • @f4Nm1Z9k2P das kann ich nur unterschreiben!


    @scream008 das sollte kein Vorwurf sein, nur ein Tipp.
    Du musst ja nicht einen eigenen Server haben, es ist (meist) auch besser keine eigenen Server zu haben, denn da muss man wirklich wissen was man macht ;-)


    Wegen dem Zertifikat: Schon was gefunden?


    LG

  • Wegen dem Zertifikat: Schon was gefunden?

    Wir sind grad am Testen. Eigentlich sollte das hier funktionieren:

    Kurzes Update: Mittels openssl verify habe ich überprüft, ob die Zertifikatskette passt. Das tut sie. Das oben stehende sollte eigentlich funktionieren. Oder muss das Root-Cert erst nach dem Intermediate-Cert kommen?


    Noch ein Update: Eventuell hat der Server sowieso ein Problem mit TLS: Firefox wirft beim Aufruf der IP-Adresse folgenden Fehler: SSL_ERROR_RX_RECORD_TOO_LONG

  • Habe ich womöglich den falschen privaten Schlüssel?



    Ich habe es jetzt so gemacht ...



    Also die Felder die Code enthalten bei InternetX' SSL Manager sind diese hier:



    - Server-CRT
    - CSR
    - CA CRT



    Und bei i-MSCP gibt es diese Felder:



    gemeinsamer Name: meineDomain.de
    Selbst-signiertes Zertifikat generieren: (kein Haken gesetzt)
    Privater Schlüssel-Passphrase wenn existent: (keines)




    Privater Schlüssel: is klar



    Zertifikat: hier habe ich den Code von Server-CRT eingefügt



    "Intermediate"-Zertifikat(e): hier habe ich deinen code eingefügt




    Ergebnis:
    "Der private Schlüssel gehört nicht zu dem angegebenen Zertifikat."




    Habe ich nen falschen Private Key? Muss ich jetzt nochmal neu anfangen?
    Also nochmal alle bereits bei InternetX angelegten Zertifikate löschen
    und komplett neu?
    Wenn ich bei InternetX ein neues SSL Zertifikat generieren möchte, muss ich einen CSR Code angeben. Den habe ich bislang über csr-generator.com/ generiert. Das müsste schon funktionieren, oder?