Linux Server Zertifikat erneuern via Commandline - how to?

Hallo zusammen

Habe folgendes Problem. Linux Web App und Web Service auf Azure gehostet.
Seit kurzem wirft mir der Web Service folgenden Fehler:

PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

So, nun ist das im Grund einfach erklärt. Der Server A verbindet via SSL / 443 auf Server B. und siehe da - das Zertifikat ist nicht auffindbar. Firewall gecheckt, alles Connections sind sauber eingerichtet. Ich habe herausgefunden, dass das auch ein Java Framework issue ist bzw. das Framework, auf dem die Software auf Server A aufgebaut ist diesen Issue begünstigt.

nun zur eigentlichen Frage: Wie zur Hölle kann ich auf der Linuxkonsole das Zertifikat Server B zeihen und sauber ablegen. Ich kann das NUR via SSL machen also 0 GUI!

meine Versuche:
openssl s_client -CApath /etc/ssl/certs -connection host:443 < /dev/null | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > hostname.crt

ich kriege das einfach nicht gebacken. Könnt ihr mal völlig unvoreingenommen vom gerade geposteten versuche mir einen Lösungsweg aufzugeigen den ihr gehen würdet?

danke im Voraus

1 Antwort

Vom Fragesteller als hilfreich ausgezeichnet

y0l0m4st3r

17.08.2023, 23:51

Hey ho,

so wie ich dich verstehe möchtest du das Zertifikat von Server B herunterladen und dann im CertStore / Truststore ablegen, oder?

Ist das Zertifikat von einer CA unterschrieben? Dann könntest du auch der CA vertrauen und dem Zertifikat würde vertraut werden. Entweder lädst du es per Browser runter und wirfst es mit scp oder einem Editor deiner Wahl hoch (ist ja nur Text). Oder eleganter mittels openssl wie du es bereits probiert hast, pack aber noch eine Umleitung von stdErr nach dev/null dazu, dann verschwinden die Zusatzinfos:

openssl s_client -CApath /etc/ssl/certs -connection host:443 < /dev/null 2>/dev/null | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > hostname.crt

Ich würde schauen, dass ich die CA Zertifikate in den Truststore werfe, allerdings kommt es darauf an welche Distribution und welche SSL Lib du verwendest. Wenn du einen JavaClient nutzt, musst du diesen vermutlich bei Java hinterlegen, ich erinnere mich dass Java seine Zertifikat selbst verwaltet und nicht von Openssl verwendet.

Eventuell kannst du aber auch bei deinem Javaclient den CApfad angeben, entweder im Framework oder bei der Java Ausführung.

Welches Java, Framework nutzt du denn? Dann kann man ggf. mal nachlesen.

Aber kurz zur Erklärung, der Openssl connect Befehl funktioniert, liefert dir auch das Zertifikat aus und der CA Chain ist trusty? Bei Lets Encrypt zum Beispiel würde es so aussehen:

depth=2 C = US, O = Internet Security Research Group, CN = ISRG Root X1
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = R3
verify return:1
depth=0 CN = xyz.tld
verify return:1
DONE

Woher ich das weiß:Berufserfahrung

DrClean

Fragesteller

18.08.2023, 07:26

Hallo und vielen lieben Dank - Problem ist, ich habe auf dem System sehr primitive Möglichkeiten. Wurde von meinem Vorgänger eingerichtet und die Dokumentation, du ahnst es, ist 0,0 zu gebrauchen. Was das heisst, ich muss alle von dir oben, zurecht erfragten Dinge selber auch ausfindig machen. Zum Framework. Der Hersteller der SW hat mir bestätigt, dass die das Problem schon bei einem Kunden hatten. Seine Anleitung zur Problemlösung kann ich nicht verwenden, weil er davon ausgeht, dass ich einen Windows Host verwende und da Zertifikate in den bekannten C: Strukturen von Win. herumschiebe. Geht nicht. Ins Framework tauche ich somit erst tiefer ein, wenn ich das mit dem Zert. Import heute nicht hinbekomme.

Danke für den Tipp. also ich führe zuerst den Befehlt oben von dir aus und dann mache ich noch sowas hier, was meinst du?

keytool -import -alias HOST -keystore PFAD ZUM KEYSTORE -file HOST.crt

was ich gestern noch bis spät nicht hinbekommen habe, ist ausfindig zu machen wie der Pfad zum Keystore lautet. Ich hab /etc/ssl/certs angenommen. aber irgendwie kriege ich dann den Error:

keystore error: java.io.FileNotFoundExeption: /etc/ssl/certs (is a directory)

Vielleicht verstehe ich die Befehle auch nicht wirklich, wollen wir die nochmals durchgehen, damit ich einen Sparringpartner habe. musste mir das alles zusammensuchen und bin schon seit Jahren nicht mehr als Sysadmin im Einsatz.

Danke dir vielmals. komm gut in den Freitag...

y0l0m4st3r

20.08.2023, 22:47

@DrClean

Hey ho,

ja das typische Problem bei Linux, zu wissen wo die Zertifikate hin müssen. Ubuntu und Debian haben unter /etc/ssl/certs/ eine Ansammlung von Zertifikaten. Wenn du die dort hinterlegst, musst du meine ich mit update-ca-certs noch einmal in den globalen Store kopieren lassen.

https://ubuntu.com/server/docs/security-trust-store

Da steht beschrieben wie es funktioniert. Bei Java sieht es aber glaube ich noch anders aus, da würde ich mal probieren ohne keystore die Datei hinzuzufügen, denn vllt nimmt das Tool den Standardpfad. Du musst auf jeden Fall bei keystore eine Datei angeben, wenn du -keystore verwendest, keinen Ordner (siehe Fehlermeldung).

Aber deswegen fragte ich nach dem Framework oder der Java Version. Vielleicht wirst du darüber schlau, führe java -version oder --version aus und les dich mal ein, wie du bei der jeweiligen Java Version CA Certs hinzufügst. Könnte sein, dass OpenJDK, Oracle JDK und Konsorten es anders handhaben, da bin ich nicht ganz im Thema.

Hoffe ich konnte trotzdem bisschen helfen :)

DrClean

Fragesteller

21.08.2023, 13:34

@y0l0m4st3r

du hast mir sehr geholfen. der KeyStore ist unter /opt/java/openjdk/lib/security/cacerts

ich habe es dann so hinbekommen:

ins Verzeichnis /usr/local/tomcat/webapp gewechelt
openssl s_client -connect HOST:443 </dev/null | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > HOST.crt ausführen
which java ausführen
in Folder /opt/java/openjdk/lib/security/ wechseln für check
zurück zu /usr/local/tomcat/webapp
keytool -import -alias "ALIASNAME bei mir gleich HOSTNAME" -keystore /opt/java/openjdk/lib/security/cacerts -file HOST.crt ausführen
Passwort changeit (ist Standard so in Linux) eingeben

=> keine Fehlermeldung bei der Ausführung

Lustig ist;
offenbar ist die Firewall doch Teils zu (aus welchem Grund auch immer) und deswegen geht das Ganze nicht. Versuche diesen Lösungsansatz aktuell noch mit dem Firewallteam. Lustig ist auch; selbst wenn die Firewall nicht das Problem wäre, nach dem Reboot des WebApp wären alle oben erwähnten Einstellungen 1-6 wieder überschrieben. Azure ist so konfiguriert. Offenbar gibt es da in Azure Virtual Server oder Azure DevOps ein Share. Da muss alles konfiguriert werden weil nach jedem Reboot die Einstellungen die auf dem Share (Host / Client) angezogen werden. Und jetzt habe ich das Problem, dass ich den Share nicht finde. Ich liebe es, nach Ressourcenabgängen deren Arbeit zu übernehmen... ;-)

danke dir auf alle Fälle und hoffe, oben beschriebenes hilft dem einen oder anderen. viele Grüsse...

Hallo, Ich habe ein SSL Zertifikat bei "AWS Certificate Manager" angefordert für meine Domain und die Verifikation abgeschlossen. Ich sehe kein Botton wo man dann das Zertifikat bekommen kann und den Private-Key. Kann mir jemand sagen wo ich das nun bekomme? Was muss ich nun machen?

...zur Frage

SSL Zertifikat für Domain und anderen Server?

Guten Abend zusammen,

ich komme grade nicht weiter und sowohl Google als auch ChatGPT hilft mir grade nicht wirklich.

Es geht darum, dass ich vor kurzem einen Windows Server bei Contabo gebucht habe, an welchen ich Daten per Webhook senden will. Jetzt brauche ich noch eine Domain + sichere Verbindung, also SSL-Schutz.
Das Ganze wollte ich mit der Anpassung von meinen DNS Einstellungen einer Domain, die bei All-inkl liegt, machen. Diese habe ich bereits gemacht und die Zieladresse der Domain ist jetzt die IPv4 Adresse von meinem Contabo Server (welcher keine Domain hat).

Jetzt geht es um das SSL-Zertifkat. Die Domain seitens All-inkl ist bereits geschützt. Muss ich für den Server bei Contabo jetzt ein weiteres Zertifkat erwerben oder kann ich irgendwie das Gleiche von All-inkl werden?

Vielen Dank im Voraus für die Hilfe. Gerne beantworte ich auch noch Fragen, falls etwas vergessen wurde.
LG

...zur Frage

Domain bei Strato wird kein SSL Zertifikat angezeigt?

Domain bei Strato wird kein SSL Zertifikat angezeigt? Ich habe nur eine DNS Einstellungen, drinnen, nämlich für den A-Record, mehr aber nicht! Und die Domain, die auf den v-Server führt wird in allen Browsern als Unsicher angezeigt. Cloudflare geht, habe ich schon ausprobiert, aber wenn Cloudflare aktiv ist funktioniert über die Domain der TeamSpeak und der MC-Server nicht mehr? Was soll ich machen?

Ich brauche Hilfe!

...zur Frage

Wie kann ich ein SSL Zertifikat auf einem Apache2 Server aktivieren (Docker)?

Ich versuche schon über mehrere Tage es irgendwie hinzubekommen, dass der Webserver mit "https" erreichbar ist. Das gültige Zertifikat/ die Dateien habe ich schon:

cert.pem  chain.pem  fullchain.pem  privkey.pem

Jedoch läuft der Apache-Webserver als Docker Image. Ich weiß jedoch nicht, wie ich das SSL Zertifikat hinzufüge, da keine "normale" Apache2 Config vorliegt.

<VirtualHost *:443>
  SSLEngine on
  SSLCertificateChainFile "path to fullchain.pem"
  SSLCertificateKeyFile "path to privkey.pem"
</VirtualHost>

Dies habe ich ich dann via in den Apache2 Server-config importiert. (Wichtig zu wissen ist, dass der Pfad "sites-available" nicht exsestiert.

./configfile.conf:/etc/apache2/sites-available/000-default.conf

Port 80, also http funktioniert auch noch weiter... (80 und 443 sind freigegeben)

Weiß jemand, wie ich ein SSL Zertifikat auf einem Apache2 Server aktiviere, welcher auf Docker läuft / Wie ich die Config Datei richtig lade (denke nämlich nicht, dass diese richtig geladen wird)

Hier nochmal meine docker-compose.yml (unvollständing) :

   web:
    build:
        context: ./php
        dockerfile: Dockerfile
    container_name: php73
    depends_on:
      - db
    volumes:
      - /home/pi/web_dev/uploads.ini:/usr/local/etc/php/conf.d/uploads.ini
      - ./php:/var/www/html/
      - ./my_vhost.conf:/vhosts/myapp.conf:ro
      - ./certs:/certs
    ports:
      - 443:443
      - 80:80

Und meine Dockerfile:

FROM php:7.3.3-apache

RUN a2enmod ssl && a2enmod rewrite
RUN mkdir -p /etc/apache2/ssl

COPY /etc/letsencrypt/live/MYIP/*.pem /etc/apache2/ssl/
COPY ../config/000-default.conf /etc/apache2/sites-available/000-default.conf


RUN apt-get update && apt-get upgrade -y
RUN docker-php-ext-install mysqli
RUN mv "$PHP_INI_DIR/php.ini-production" "$PHP_INI_DIR/php.ini"
ADD php.ini /home/pi/web_dev
EXPOSE 80
EXPOSE 443

...zur Frage

Bester Web Hosting Anbieter?

Hallo, ich bräuchte Unterstützung bei der Suche nach einem Web Hosting Plan

Ich weiß nicht ob ein dedicated Server in dem Fall die beste Idee ist...

Ich möchte mehrere Webseiten für Kunden bauen und möchte nicht für jede Webseite einen eigenen Hosting Plan kaufen weil es bestimmt kombiniert günstiger ist.

I schätzte Platz für ca 50 Webseiten sollte fürs erste Reichen

Brauche ich einen Dedicated Server oder reichen einzelne grade für den Anfang wenn ich mit nur 5-10 Starte.

Welcher Anbieter würde passen (komme aus Österreich) ?

Auch brauche ich natürlich für jede Webseite eine eigene Domain und ein SSL Zertifikat.

Ich bedanke mich im voraus für die Hilfe

...zur Frage

SSL Zertifikat auf Ubuntu Webserver installieren?

Moin,

Ich bin grade dabei Nextcloud auf einem Ubuntu 22.04 Webserver zu installieren. Das hat alles soweit geklappt, und die Domain ist auch erreichbar und man kommt auf die Nextcloud Seite. Nur leider funktioniert Certbot irgendwie nicht. Wenn ich auf dem Server folgenden befehl eingebe;

certbot --apache -m "Email" -d "Domain"

Dann kommt nur eine fehlermeldung das die Verbindung nicht funktioniert hat. Da steht dann immer ich soll sichergehen das die Domain auch auf den Webserver zeigt und das sie aus dem Internet erreichbar ist.

Kann mir jemand helfen?

...zur Frage

PHP Server findet die PHPMailer dateien nicht?

require 'path/to/PHPMailer/src/Exception.php';

require 'mail/to/PHPMailer/src/PHPMailer.php';

require 'mail/to/PHPMailer/src/SMTP.php';

Woran liegt das?

...zur Frage

Was enthält eine .pkcs12 Datei?

Guten Abend,

ich hab vom Thema Verschlüsselung, speziell SSL, nicht viel Ahnung.
Hab hier eine .pkcs12 Datei, wenn ich diese mit dem dazugehörigen Passwort öffne, sehe ich drei verschiedene Zertifikate.

Ich brauche diese um meinen Nodejs-Server mit SSL auszustatten.
Kein Self Signed Cert, sondern über eine CA.

Das Problem an der Sache ist, dass ich nicht weiß welches Zertifikat welches ist.

CA
Private Key
Cert Key

Wie finde ich das heraus?

...zur Frage

Forbidden. You don't have permission to access this resource.Server unable to read htaccess file, denying access to be safe?

Wenn ich meinen Ubuntu phpMyaAmin-Server erreichen möchte, erhalte ich diese Meldung:

Forbidden

You don't have permission to access this resource.Server unable to read htaccess file, denying access to be safe

Obwohl ich ihn vor Kurzem erreichen konnte.

Wie behebe ich es? Neustarten bringt nichts und neu installieren darf ich nicht.

Apache/2.4.52 (Ubuntu) Server at www.silverkonik.com Port 443

...zur Frage

hat die Verbindung abgelehnt, was tun?

Guten Abend und zwar habe ich eine Domain von MCHost24 und einen Root Server von Living Bots, auf dem Root Server läuft meine Website wenn ich über die IP Adresse von meinen Root Server meine Website aufrufe funktioniert alles aber wenn ich über meine Domain von MCHost24 die seite aufrufen will kommt immer die meldung "0.0.0.0 hat die Verbindung abgelehnt." kann das daran liegen das ich kein SSL Zertifikat habe? Wenn ja wie installiert man das?

...zur Frage

CloudFlare Error 525 SSL handshake failed?

Hallo liebe Community:), gestern habe ich meine Website mit CloudFlare verbunden, und alle Records eingestellt ^^ funkst auch alles. Jetzt hab ich mir bei CloudFlare das "Dedicated SSL Certificate" gekauft, nur dieses kann man nicht downloaden, und der Key wird auch nicht angezeigt ^^. Dann hab ich gelesen das man einfach SSL dort auf Full stellen muss damit es klappt, hab ich getan aber jetzt wenn ich auf mein Server mit https:// gehen möchte bekomm ich folgene Meldung: Error 525 SSL handshake failed Danach hab ich das Problem gegooglet als Ergäbnis kamm raus : - "The origin server does not support or is not configured properly for SNI. - The cipher suites that Cloudflare accepts and the cipher suites that the origin server uses do not match. - The origin server is not configured to use SSL and Full SSL is enabled in the Cloudflare settings." (Ich schätze mal das letztere mal Probleme). Meine Frage ist jetzt wie ich Apache 2 auf SSL Konfiguriere, sodass es ohne Zertifikat funkst^^ Ich gebe jeder Informativen Antwort nen Stern ;)

...zur Frage

Strato Wildcard SSL Zertifikat in Nginx Proxy?

Hallo,

ich habe einen Proxmox Server und auf diesem einige Container laufen, die außerhalb des Netzwerks erreichbar sind. Da ich nicht für jede Subdomain ein eigenes Let's encrypt Zertifikat generieren möchte, kam mir der Gedanke ein Wildcard Zertifikat zu generieren, das ich dann für alle Subdomains nutzen kann.

Im Nginx Proxy Manager, über den die Subdomains verteilt werden, braucht man eine DNS Challenge. Da gibt es aber leider nicht Srato zur Auswahl. Gibt es eine andere Möglichkeit, dieses zu generieren?

...zur Frage

wie kann ich SSL deaktivieren?

Hallo, ich habe einen Server, aber leider nicht allzuviel erfahrung.

Ich habe versucht Mastodon zu Installieren und dabei auf Apache2 SSL Aktiviert, wohl ohne die richtigen zertifikate zu haben, und nun springt die website nicht mehr an

PHP = Funktioniert

HTML= funktioniert nicht

jemand eine idee wie ich das beheben kann, oder ist das zu kompliziert für GuteFrage?

MfG

...zur Frage

Homelab Server mit SSL Zertifikat?

Hi, ich möchte mir zuhause ein Homelab mit Nextcloud und diversen anderen Server einrichten, kennt jemand eine möglichkeit oder weis wie ich da ein SSL Zertifikat kostenlos oder kostenpflichtig erhalte, das auch von den Browsern anständig akzeptiert wird? In der vergangenheit habe ich immer ein selbst ausgestelltes Zertifikat verwendet, dabei besteht aber das Problem, das wenn jemand die Seite aufruft, immer eine Warnung auftaucht, das der Server nicht sicher sei, das möchte ich vermeiden.

...zur Frage

Was möchtest Du wissen?

Deine Frage stellen