Discussion:
SSL Zertifikat lässt nich nicht erstellen
Schnell Lutz
2015-06-08 09:14:24 UTC
Permalink
Hallo Zusammen!

Ich versuche schon seit geraumer Zeit, mir ein SSL Zertifikat fÌr meine Homepage zu erstellen, scheitere aber klÀglich bei dem Versuch. Wie so eine CSR aufgebaut ist, habe ich mir bei Wikipedia rausgesucht, und dann folgendes in das entsprechnde Feld eingetragen:

Country Name: DE
State or Province Name: Berlin
Locality Name : Berlin
Common Name []: www.lutz-schnell.de
Email Address []: ***@lutz-schnell.de

Dazu habe ich dann noch folgende Einstellungen angeklickt:

Signieren mit dem Stammzertifikat Klasse 1
SHA-256

und der Vereinbarung zugestimmt. Aber ich bekomme immer die Meldung:

Wir haben eine ungÃŒltige Zertifikats-Anfrage (CSR) erhalten. Klicken Sie auf ZurÃŒck und versuchen Sie es erneut.

SelbstverstÀndlich ist die Domain eingetragen und wird als ÌberprÌft gekennzeichnet.

Was mache ich falsch? Vielleicht kann mir ja jemand hier helfen.
--
Gruß
Lutz ------->Berlin
www.lutz-schnell.de
www.igagen.de

PGP ID: F59E612C0AB9E752

https://dl.dropboxusercontent.com/u/27722647/0AB9E752.asc

Um die Echtheit meines Zertifikats zu ÃŒberprÃŒfen
laden Sie sich bitte das Root-Zertifikat von
www.cacert.org/index.php?lang=de_DE
und installieren es.
Matthias Link
2015-06-08 09:26:52 UTC
Permalink
Hallo Lutz Schnell,

mit dem eigentlichen problem kann ich leider nicht weiter helfen, da
ich auch noch recht neu auf dem Gebiet bin. Allerdings ist mir gerade
aufgefallen, dass das Zertifikat heute mittag ablÀuft. Nur zur
Information.

WÃŒrde mich auch interessieren, ob meine Signatur in dieser Mail
einwandfrei lesbar ist und falls ja, noch gerne einen Versuch mit
VerschlÃŒsselung starten. O.K.?

Viele GrÌße

Matthias Link



am Montag, 8. Juni 2015 um 11:14 schrieben Sie:

SL> Hallo Zusammen!

SL> Ich versuche schon seit geraumer Zeit, mir ein SSL Zertifikat fÃŒr
SL> meine Homepage zu erstellen, scheitere aber klÀglich bei dem
SL> Versuch. Wie so eine CSR aufgebaut ist, habe ich mir bei Wikipedia
SL> rausgesucht, und dann folgendes in das entsprechnde Feld eingetragen:

SL> Country Name: DE
SL> State or Province Name: Berlin
SL> Locality Name : Berlin
SL> Common Name []: www.lutz-schnell.de
SL> Email Address []: ***@lutz-schnell.de

SL> Dazu habe ich dann noch folgende Einstellungen angeklickt:

SL> Signieren mit dem Stammzertifikat Klasse 1
SL> SHA-256

SL> und der Vereinbarung zugestimmt. Aber ich bekomme immer die Meldung:

SL> Wir haben eine ungÃŒltige Zertifikats-Anfrage (CSR) erhalten.
SL> Klicken Sie auf ZurÃŒck und versuchen Sie es erneut.

SL> SelbstverstÀndlich ist die Domain eingetragen und wird als ÌberprÌft gekennzeichnet.

SL> Was mache ich falsch? Vielleicht kann mir ja jemand hier helfen.
--
Mit freundlichen GrÌßen


Matthias Link
Sascha Ternes
2015-06-08 09:36:01 UTC
Permalink
Hallo Lutz,

Du findest im CAcert-Wiki einen CSR-Generator:
https://wiki.cacert.org/CSRGenerator
Damit funktioniert das Erstellen sehr einfach.

Gruß
Sascha
Post by Matthias Link
Hallo Lutz Schnell,
mit dem eigentlichen problem kann ich leider nicht weiter helfen, da
ich auch noch recht neu auf dem Gebiet bin. Allerdings ist mir gerade
aufgefallen, dass das Zertifikat heute mittag ablÀuft. Nur zur
Information.
WÃŒrde mich auch interessieren, ob meine Signatur in dieser Mail
einwandfrei lesbar ist und falls ja, noch gerne einen Versuch mit
VerschlÃŒsselung starten. O.K.?
Viele GrÌße
Matthias Link
SL> Hallo Zusammen!
SL> Ich versuche schon seit geraumer Zeit, mir ein SSL Zertifikat fÃŒr
SL> meine Homepage zu erstellen, scheitere aber klÀglich bei dem
SL> Versuch. Wie so eine CSR aufgebaut ist, habe ich mir bei Wikipedia
SL> Country Name: DE
SL> State or Province Name: Berlin
SL> Locality Name : Berlin
SL> Common Name []: www.lutz-schnell.de
SL> Signieren mit dem Stammzertifikat Klasse 1
SL> SHA-256
SL> Wir haben eine ungÃŒltige Zertifikats-Anfrage (CSR) erhalten.
SL> Klicken Sie auf ZurÃŒck und versuchen Sie es erneut.
SL> SelbstverstÀndlich ist die Domain eingetragen und wird als ÌberprÌft gekennzeichnet.
SL> Was mache ich falsch? Vielleicht kann mir ja jemand hier helfen.
Schnell Lutz
2015-06-08 09:48:11 UTC
Permalink
Post by Sascha Ternes
Hallo Lutz,
https://wiki.cacert.org/CSRGenerator
Damit funktioniert das Erstellen sehr einfach.
Na ja, einfach
.

Verstehe ich das jetzt richtig, daß ich das Zertifikat selbst erstellen muß, und es dann von CaCert bestÀtigen lasse, indem ich es in das Feld paste?
--
Gruß
Lutz ------->Berlin
www.lutz-schnell.de
www.igagen.de

PGP ID: F59E612C0AB9E752

https://dl.dropboxusercontent.com/u/27722647/0AB9E752.asc

Um die Echtheit meines Zertifikats zu ÃŒberprÃŒfen
laden Sie sich bitte das Root-Zertifikat von
www.cacert.org/index.php?lang=de_DE
und installieren es.
Sascha Ternes
2015-06-08 09:52:34 UTC
Permalink
Du erstellst z.B. mittels des Generatorskripts eine CSR-Datei. Das
Skript nimmt die von Dir gemachten Angaben und packt alles in das
korrekte Format. Den Inhalt dieser Datei kopierst Du in das
Formularfeld. Dann erzeugt Dir CAcert das Zertifikat und Du musst es in
Deinem Account herunterladen.
Post by Schnell Lutz
Post by Sascha Ternes
Hallo Lutz,
https://wiki.cacert.org/CSRGenerator
Damit funktioniert das Erstellen sehr einfach.
Na ja, einfach
.
Verstehe ich das jetzt richtig, daß ich das Zertifikat selbst erstellen muß, und es dann von CaCert bestÀtigen lasse, indem ich es in das Feld paste?
Schnell Lutz
2015-06-08 12:08:33 UTC
Permalink
Post by Sascha Ternes
Du erstellst z.B. mittels des Generatorskripts eine CSR-Datei. Das
Skript nimmt die von Dir gemachten Angaben und packt alles in das
korrekte Format. Den Inhalt dieser Datei kopierst Du in das
Formularfeld. Dann erzeugt Dir CAcert das Zertifikat und Du musst es in
Deinem Account herunterladen.
Das hat dann doch relativ einfach funktioniert. Allerdings habe ich erst mal nur ein Klasse 1 Zertifikat genommen, da das einfacher schien. Nun habe ich bei meinem Provider (all-inkl.com) gesehen, daß man so ein „BrÃŒcken-Zertifikat“, das man fÃŒr die Klasse 3 braucht, ebenso einfach dort eingeben kann. Nur
 Was ist ein BrÃŒcken-Zertifikat, und wie komme ich an so was?
--
Gruß
Lutz ------->Berlin
www.lutz-schnell.de
www.igagen.de

PGP ID: F59E612C0AB9E752

https://dl.dropboxusercontent.com/u/27722647/0AB9E752.asc

Um die Echtheit meines Zertifikats zu ÃŒberprÃŒfen
laden Sie sich bitte das Root-Zertifikat von
www.cacert.org/index.php?lang=de_DE
und installieren es.
Martin Schoenbeck
2015-06-08 12:32:42 UTC
Permalink
Hallo Lutz,
Post by Schnell Lutz
Das hat dann doch relativ einfach funktioniert. Allerdings habe ich erst mal nur ein Klasse 1 Zertifikat genommen, da das einfacher schien. Nun habe ich bei meinem Provider (all-inkl.com) gesehen, daß man so ein „BrÃŒcken-Zertifikat“, das man fÃŒr die Klasse 3 braucht, ebenso einfach dort eingeben kann. Nur
 Was ist ein BrÃŒcken-Zertifikat, und wie komme ich an so was?
Du lÀdst es Dir hier https://www.cacert.org/index.php?id=3 herunter
(dort Zwischenzertifikat genannt) und kopierst es in das entsprechende Feld.

Gruß Martin
Schnell Lutz
2015-06-08 16:07:12 UTC
Permalink
Du lÀdst es Dir hier https://www.cacert.org/index.php?id=3 herunter (dort Zwischenzertifikat genannt) und kopierst es in das entsprechende Feld.
Danke an alle! Ist ja doch nicht so kompliziert, wie es anfangs aussah.
--
Gruß
Lutz ------->Berlin
www.lutz-schnell.de
www.igagen.de

PGP ID: F59E612C0AB9E752

https://dl.dropboxusercontent.com/u/27722647/0AB9E752.asc

Um die Echtheit meines Zertifikats zu ÃŒberprÃŒfen
laden Sie sich bitte das Root-Zertifikat von
www.cacert.org/index.php?lang=de_DE
und installieren es.
Matthias Bergt
2015-06-08 09:53:16 UTC
Permalink
Verstehe ich das jetzt richtig, daß ich das Zertifikat selbst erstellen muß, und es dann von CaCert bestätigen lasse, indem ich es in das Feld paste?
Jain - das CSR in das Feld, nichts anderes. Es gibt bei vielen CAs
"Komfort-Lösungen", wo die CA dir auch den geheimen Schlüssel erstellt -
aus Sicherheits-Sicht nicht akzeptabel. Geheim heißt nicht umsonst geheim...

Gruß
Matthias
Seidel, Michael
2015-06-08 10:00:19 UTC
Permalink
Hallo Lutz,

du darfst nicht einfach nur deine Daten in das Signierungsfeld in Klartext eintragen, das wird _nicht_ funktionieren.

Vereinfacht gesagt:

So ein Zertifikat ist in zwei Teile aufgeteilt, ein Öffentliches und ein Privates.

Der Private Teil wird von dir erstellt. Dafür gibt es verschiedene Tools, am besten funktioniert dies mit dem openssl paket auf einer Linux Kiste, aber das ist Geschmackssache. Von einem Online Generierungstool über irgend eine Website rate ich ab!

Mit diesem Privaten Teil wird über das bereits genannte GenCSR script ein Certificate Signing Request generiert. Dieser ist Quer-Verschlüsselt mit deinem Privaten Teil. Dementsprechend kannst du diesen gar nicht auf der CAcert Seite generieren. Diese hat keine Möglichkeit deinen Privaten zu erstellen - Und darf diese Möglichkeit auch gar nicht haben.

Also: Normaler Weg: Privaten Teil erstellen, CSR Generieren, CSR auf CAcert Website in der entsprechenden Rubrik unterschreiben lassen, danach Erhältst du auf der nächsten Seite einen "neuen" Öffentlichen Teil angezeigt dem du jedem geben kannst. -> Dies ist dein von CAcert Unterschriebener Öffentlicher Teil.

Gruß,

Michael Seidel


-----Ursprüngliche Nachricht-----
Von: cacert-de-***@lists.cacert.org [mailto:cacert-de-***@lists.cacert.org] Im Auftrag von Schnell Lutz
Gesendet: Montag, 8. Juni 2015 11:48
An: cacert-***@lists.cacert.org
Betreff: Re: SSL Zertifikat lässt nich nicht erstellen
Post by Sascha Ternes
Hallo Lutz,
https://wiki.cacert.org/CSRGenerator
Damit funktioniert das Erstellen sehr einfach.
Na ja, einfach….

Verstehe ich das jetzt richtig, daß ich das Zertifikat selbst erstellen muß, und es dann von CaCert bestätigen lasse, indem ich es in das Feld paste?

--
Gruß
Lutz ------->Berlin
www.lutz-schnell.de
www.igagen.de

PGP ID: F59E612C0AB9E752

https://dl.dropboxusercontent.com/u/27722647/0AB9E752.asc

Um die Echtheit meines Zertifikats zu überprüfen
laden Sie sich bitte das Root-Zertifikat von
www.cacert.org/index.php?lang=de_DE
und installieren es.
reinhard
2015-06-08 11:50:01 UTC
Permalink
Hallo Lutz,

diese kleine Bastelanleitung funktioniert, sofern Du ein Linux System
hast, z.B. OpenSUSE, und diese Tools installierst:
openssl
gnutls

Dann klappt

zur besseren Übersicht ein neues Verzeichnis erzeugen mit
mkdir mydir
und wechseln in dieses Verzeichnis mit
cd mydir

Nun wird zuerst der private SchlÌsel mit einer LÀnge von 4096 Bytes gebaut
## create key rsa
openssl genrsa -out client.key 4096
Anschliessend einfach mal die Grafik zur Entropie betrachten
Falls das Ergebnis nicht gefÀllt, obigen Schritt einfach wiederholen!
## check entropy and continue or create new key
certtool --key-info < client.key
Jetzt den CSR generieren
## create certificate signing request
## all empty fields enter '.' a simple dot
openssl req -new -key client.key -out cert.csr
und das Ergebnis angucken.
certtool --crq-info < cert.csr
## enter cacert page and login
## create new certificate
## choose class1 or class 3 signer
Class 3 preferred!!!
## download certificate in format cer
## link together new certificate and keys
openssl pkcs12 -export -out XXX-sn.p12 -inkey client.key -in XXX-sn.cer
-name "XXX-sn"
Der Name XXX-sn ist frei wÀhlbar. Ich halte das fÌr meine Zertifikate
so, dass ich mit XXX einen Account und mit sn die Seriennummer des
Zertifikats bezeichne. Bei mehreren Servern und vielen Emailadressen
komme ich sonst viel zu leicht durcheinander :-(
Beim Abspeichern wird die Eingabe einer Passphrase verlangt. Die sollte
scharf sein. Es hÀngt davon ab, wo das Zertifikat letztlich aufbewahrt wird.
Es ist bestimmt eine gute Idee, das Endergebnis *p12 auf CD zu brennen,
dort zu prÃŒfen, dass man damit richtig arbeiten kann und das Vereichnis
mydir zu löschen, z.B. mit wipe.
## check certificate
certtool --inraw --p12-info < XXX-sn.p12

Man kann nun das erzeugte *p12 in den Browser sowie in das Emailprogramm
importieren. Mann kan es aber auch lassen und liest es bei Bedarf
jedesmal von der CD ein. Oder kopiert es auf eine Smartcard. Oder ....

Sollte der Import in Frage kommen, bitte zuerst ein Masterpasswort setzen.

VG Reinhard
Post by Sascha Ternes
Hallo Lutz,
du darfst nicht einfach nur deine Daten in das Signierungsfeld in Klartext eintragen, das wird _nicht_ funktionieren.
So ein Zertifikat ist in zwei Teile aufgeteilt, ein Öffentliches und ein Privates.
Der Private Teil wird von dir erstellt. DafÃŒr gibt es verschiedene Tools, am besten funktioniert dies mit dem openssl paket auf einer Linux Kiste, aber das ist Geschmackssache. Von einem Online Generierungstool ÃŒber irgend eine Website rate ich ab!
Mit diesem Privaten Teil wird Ìber das bereits genannte GenCSR script ein Certificate Signing Request generiert. Dieser ist Quer-VerschlÌsselt mit deinem Privaten Teil. Dementsprechend kannst du diesen gar nicht auf der CAcert Seite generieren. Diese hat keine Möglichkeit deinen Privaten zu erstellen - Und darf diese Möglichkeit auch gar nicht haben.
Also: Normaler Weg: Privaten Teil erstellen, CSR Generieren, CSR auf CAcert Website in der entsprechenden Rubrik unterschreiben lassen, danach ErhÀltst du auf der nÀchsten Seite einen "neuen" Öffentlichen Teil angezeigt dem du jedem geben kannst. -> Dies ist dein von CAcert Unterschriebener Öffentlicher Teil.
Gruß,
Michael Seidel
-----UrsprÃŒngliche Nachricht-----
Gesendet: Montag, 8. Juni 2015 11:48
Betreff: Re: SSL Zertifikat lÀsst nich nicht erstellen
Post by Sascha Ternes
Hallo Lutz,
https://wiki.cacert.org/CSRGenerator
Damit funktioniert das Erstellen sehr einfach.
Na ja, einfach
.
Verstehe ich das jetzt richtig, daß ich das Zertifikat selbst erstellen muß, und es dann von CaCert bestÀtigen lasse, indem ich es in das Feld paste?
Mathias Mahnke
2015-06-09 05:31:10 UTC
Permalink
Post by Sascha Ternes
Hallo Lutz,
diese kleine Bastelanleitung funktioniert,
Eine freie Alternative für GUI Fans:
http://sourceforge.net/projects/xca/

In jedem Fall (egal ob CLI oder GUI) ist etwas Basiswissen gefragt. XCA
erspart aber eine Menge Tipparbeit und ist gut geeignet und mehrere
Zertifikate/-anfragen sowie Zertifikate und Privatekeys (gesichert) zu
verwalten.

Wir auch nach wie vor gut gepflegt, neuste Ausgabe:
http://sourceforge.net/projects/xca/files/xca/1.2.0/

Doku:
http://xca.sourceforge.net

Video (zwar nicht in Deutsch/Englisch, aber für den ersten Eindruck):


Ahoi
-mathias

reinhard
2015-06-08 09:40:02 UTC
Permalink
Hi,

ja klar ist die "Signatur in dieser Email" lesbar und das Zertifikat
wird auch als gÃŒltig angezeigt.
Damit ist es mir und vielen anderen möglkich, Dir bereits jetzt völlig
verschlÃŒsselt zu antworten.

Dennoch eine Bitte: Fragen auf der allgemeinen Mailingliste sollten auch
auf dieser beantwortet werden, also unverschlÃŒsselt. Auch andere User
sind an den Themen und Lösungsmöglichkeiten interessiert.

FÌr den Fall, dass persönliche Daten oder Àhnliche Informationen
ausgetauscht werden mÃŒssen, bitte unbedingt Support einschalten. Dann
lÀuft das in geregelten Bahnen ab und mögliche Fehlfunktionen landen
direkt dort, wo sie auch hingehören.

Ich schicke das jetzt auch unverschlÃŒsselt ÃŒber die Mailingliste.

VG Reinhard
Post by Matthias Link
Hallo Lutz Schnell,
mit dem eigentlichen problem kann ich leider nicht weiter helfen, da
ich auch noch recht neu auf dem Gebiet bin. Allerdings ist mir gerade
aufgefallen, dass das Zertifikat heute mittag ablÀuft. Nur zur
Information.
WÃŒrde mich auch interessieren, ob meine Signatur in dieser Mail
einwandfrei lesbar ist und falls ja, noch gerne einen Versuch mit
VerschlÃŒsselung starten. O.K.?
Viele GrÌße
Matthias Link
SL> Hallo Zusammen!
SL> Ich versuche schon seit geraumer Zeit, mir ein SSL Zertifikat fÃŒr
SL> meine Homepage zu erstellen, scheitere aber klÀglich bei dem
SL> Versuch. Wie so eine CSR aufgebaut ist, habe ich mir bei Wikipedia
SL> Country Name: DE
SL> State or Province Name: Berlin
SL> Locality Name : Berlin
SL> Common Name []: www.lutz-schnell.de
SL> Signieren mit dem Stammzertifikat Klasse 1
SL> SHA-256
SL> Wir haben eine ungÃŒltige Zertifikats-Anfrage (CSR) erhalten.
SL> Klicken Sie auf ZurÃŒck und versuchen Sie es erneut.
SL> SelbstverstÀndlich ist die Domain eingetragen und wird als ÌberprÌft gekennzeichnet.
SL> Was mache ich falsch? Vielleicht kann mir ja jemand hier helfen.
Eva Stöwe
2015-06-08 11:40:31 UTC
Permalink
Hallo,

nur damit keine Konfusion entsteht:

Die Frage hat sich auf ein Server-Zertifikat bezogen. Bei den
Zertifikaten zum signieren und verschlÃŒsseln von Mails handelt es sich
aber um Client-Zertifikate. Die CSR fÃŒr Client-Zertifikate kann man
einfach im Browser generieren, so dass der public-Teil gleich an CAcert
weiter gegeben werden kann, da muss man sich nicht mit der manuellen
CSR-Generierung "herumschlagen".

Das funktioniert so aber nicht fÃŒr die Server-Zertifikate. Hier muss man
das CSR außerhalb vom Browser generieren und dann den public-Part per
Copy&Paste an CAcert ÃŒbergeben, wie hier ja auch schon gut beschrieben
wurde.

Hier schließe ich mich auch Michale an, dass man möglichst ein Tool auf
dem eigenen Rechner dafÃŒr benutzen sollte. Das ist auch einer der
GrÃŒnde, warum CAcert, im Gegensatz zu manchen anderen CAs NICHT anbietet
das fÃŒr den Benutzer zu tun. Denn wer auch immer dies erzeugt bekommt
den private-Key ebenfalls "in die Hand".

Auch wenn es umstÀndlicher ist, so sollte der Key immer auf einem
vertrauenswÃŒrdigen Rechner und nicht "irgendwo im Netz" erzeugt werden.

Die Tatsache, dass man ein Client-Zertifikat nutzt hilft daher wenig
weiter, wenn man ein Server-Zertifikat erstellen möchte.

Viel Erfolg dabei, ich hoffe Du hast hier hilfreiche Antworten bekommen. :)
Post by reinhard
Hi,
ja klar ist die "Signatur in dieser Email" lesbar und das Zertifikat
wird auch als gÃŒltig angezeigt.
Damit ist es mir und vielen anderen möglkich, Dir bereits jetzt völlig
verschlÃŒsselt zu antworten.
Dennoch eine Bitte: Fragen auf der allgemeinen Mailingliste sollten auch
auf dieser beantwortet werden, also unverschlÃŒsselt. Auch andere User
sind an den Themen und Lösungsmöglichkeiten interessiert.
FÌr den Fall, dass persönliche Daten oder Àhnliche Informationen
ausgetauscht werden mÃŒssen, bitte unbedingt Support einschalten. Dann
lÀuft das in geregelten Bahnen ab und mögliche Fehlfunktionen landen
direkt dort, wo sie auch hingehören.
Ich schicke das jetzt auch unverschlÃŒsselt ÃŒber die Mailingliste.
VG Reinhard
Post by Matthias Link
Hallo Lutz Schnell,
mit dem eigentlichen problem kann ich leider nicht weiter helfen, da
ich auch noch recht neu auf dem Gebiet bin. Allerdings ist mir gerade
aufgefallen, dass das Zertifikat heute mittag ablÀuft. Nur zur
Information.
WÃŒrde mich auch interessieren, ob meine Signatur in dieser Mail
einwandfrei lesbar ist und falls ja, noch gerne einen Versuch mit
VerschlÃŒsselung starten. O.K.?
Viele GrÌße
Matthias Link
SL> Hallo Zusammen!
SL> Ich versuche schon seit geraumer Zeit, mir ein SSL Zertifikat fÃŒr
SL> meine Homepage zu erstellen, scheitere aber klÀglich bei dem
SL> Versuch. Wie so eine CSR aufgebaut ist, habe ich mir bei Wikipedia
SL> Country Name: DE
SL> State or Province Name: Berlin
SL> Locality Name : Berlin
SL> Common Name []: www.lutz-schnell.de
SL> Signieren mit dem Stammzertifikat Klasse 1
SL> SHA-256
SL> Wir haben eine ungÃŒltige Zertifikats-Anfrage (CSR) erhalten.
SL> Klicken Sie auf ZurÃŒck und versuchen Sie es erneut.
SL> SelbstverstÀndlich ist die Domain eingetragen und wird als ÌberprÌft gekennzeichnet.
SL> Was mache ich falsch? Vielleicht kann mir ja jemand hier helfen.
--
mit freundlichen GrÌßen / best regards
Eva Stöwe
CAcert Assurer
CAcert Arbitrator & Case Manager
CAcert.org - Free Certificates
E-Mail: ***@cacert.org
Lesen Sie weiter auf narkive:
Loading...