Die Foren-SW läuft ohne erkennbare Probleme. Sollte doch etwas nicht funktionieren, bitte gerne hier jederzeit melden und wir kümmern uns zeitnah darum. Danke!

SSL Zertifikate

Alles zum Virtualisierungsmanagement und Servermanagement, was nicht direkt in ein festes Version-Schema paßt.

Moderatoren: irix, Dayworker

Member
Beiträge: 17
Registriert: 13.11.2013, 13:05

SSL Zertifikate

Beitragvon xris76 » 06.12.2018, 15:24

Hallo Zusammen,

wir haben noch VSphere bzw. Vcenter in der V 5.5 im Einsatz.
Es wurde ein SSl Zertifikat gekauft. Nun wollte ich dieses installieren. Leider ist das nicht so einfach. Habe jetzt diverses gestetet, ohne Erfolg.

Ich habe es mit dem "ssl-updater" versucht. Leider bekomme ich hier den Fehler das die Chain bzw. ein Codierungsfehler vorliegt.

Habe folgende Zertifikate:

Eine PEM Datei und den Key dazu. Desweiteren die Windows certificate.crt, 2 x intermediate.crt und ein root.crt

Getestet via SSL-Updater habe ich es so:

Main Menü:

Option 4. Update the vCenter Server SSL Certificate

Menü Punkt 4

Option 2. Update the vCenter Server SSL Certificate

The chosen service is: 2
[06.12.2018 - 15:15:22,59]: Services what will be restarted as part of this oper
ation are: VMware VirtualCenter Server, VMware VirtualCenter Management Webservi
ces and VMware vSphere Profile-Driven Storage Service.
Enter location to the new vCenter Server SSL chain: Pfad zur gekauften "pem" Datei

Enter location to the new vCenter Server private key: Pfad zur gekauften "key" Datei

Das andere überspringe ich jetzt...........

Fehler Ausgabe:

[.] ERROR: The certificate chain file cannot be decoded. The file is either corr
upt or contains an unsupported object type.
[.] ERROR: The supplied certificate chain is not valid.

[06.12.2018 - 14:14:56,44]: Last operation update vCenter Server SSL certificate
failed :
[06.12.2018 - 14:14:56,44]: The input parameters are missing or incorrect. Check
the logs for more details.

Was ich auch nicht verstehe, es wird immer von einer rui.key datei geschrieben. Muss ich die neu erstellen lassen? Warum habe ich dann die gekaufte key datei? Die wäre ja die richtige oder? Dort in den gekauften ist ja die richtige Domain hinterlegt.

VG


Xris

Guru
Beiträge: 2731
Registriert: 23.02.2012, 12:26

Re: SSL Zertifikate

Beitragvon ~thc » 06.12.2018, 17:22

Ein paar Vorbemerkungen zur Klärung:

- Zertifikate gibt es in zwei Formaten: PEM (Text, beginnt mit "-----BEGIN CERTIFICATE-----") und DER (binär)
- Zertifikate haben kein festes Dateisuffix und sind nicht an ein OS gebunden
- Bestimmte Dienste oder Software erfordern bestimmte Zertifikat-Formate. PEM ist am häufigsten.
- Eine Schlüsseldatei (key) sollte immer lokal erzeugt werden (und bleiben) - niemals "gekauft" werden.
- Eine "key"-Datei schließt nur ein Zertifikat auf und enthält keine Domain/-daten
- Mehrere PEM-Zertifikate kann man in einer Datei kombinieren

Fragen:

- Welches Format haben deine Dateien?
- Ist die gültige Kette root -> intermediate1 -> intermediate2 -> certificate?

Member
Beiträge: 17
Registriert: 13.11.2013, 13:05

Re: SSL Zertifikate

Beitragvon xris76 » 07.12.2018, 07:07

Guten Morgen,

Erstmal danke für Deine Antwort.

zu 1:

Format der Zertifikate ist denk ich Text basierend. ----Beginn Certificate ----



zu 2:

Erwähnte ich bereits:

" Habe folgende Zertifikate:

Eine PEM Datei und den Key dazu. Desweiteren die Windows certificate.crt, 2 x intermediate.crt und ein root.crt "

VG

Xris76

Guru
Beiträge: 2731
Registriert: 23.02.2012, 12:26

Re: SSL Zertifikate

Beitragvon ~thc » 07.12.2018, 08:21

Meinst du eine Datei namens "Windows certificate.crt"? Das ist missverständlich.

- Enthält die "PEM Datei" nur ein Zertifikat?
- Enthalten die anderen vier "crt"-Dateien auch jeweils ein PEM-Zertifikat?

Member
Beiträge: 17
Registriert: 13.11.2013, 13:05

Re: SSL Zertifikate

Beitragvon xris76 » 07.12.2018, 09:08

Hi,

anbei mal 2 Sceenshots.

Sorry, im Bereich Zertifikate bin ich nicht so fit. Nur das nötigste.
In den Zertifikaten ist immer nur eins hinterlegt denk ich

Beginn und End Certificate

VG
Dateianhänge
ce2.PNG
CE.PNG
CE.PNG (13.74 KiB) 3216 mal betrachtet

Guru
Beiträge: 2731
Registriert: 23.02.2012, 12:26

Re: SSL Zertifikate

Beitragvon ~thc » 07.12.2018, 10:24

Veröffentliche mal bitte hier beide "Intermediate"-Zertifikate, damit ich die Reihenfolge bestimmen kann.

Member
Beiträge: 17
Registriert: 13.11.2013, 13:05

Re: SSL Zertifikate

Beitragvon xris76 » 07.12.2018, 10:50

1.PNG
Dateianhänge
2.PNG

Guru
Beiträge: 2731
Registriert: 23.02.2012, 12:26

Re: SSL Zertifikate

Beitragvon ~thc » 07.12.2018, 11:36

Was man auf keinen Fall Dritten zugänglich machen darf: Schlüsseldateien (key) und Requests (csr).
Was man eventuell lokal halten will: Nicht öffentliche, eigene Zertifikate.
Was man bedenkenlos weitergeben kann: Öffentliche Intermediate-Zertifikate und öffentliche Root-Zertifikate.

Wenn du also ein Zertifikat einer öffentlichen CA (DigiCert, VeriSign und Co.) gekauft hast, dann sollten die beiden Intermediate-Zertifikate und das Root-Zertifikat auch öffentlich sein, und du kannst die Dateien hier verlinken, damit ich sie analysieren kann.

Member
Beiträge: 17
Registriert: 13.11.2013, 13:05

Re: SSL Zertifikate

Beitragvon xris76 » 07.12.2018, 12:49

Hallo,

hmmm...... :?:

bin mir etwas unsicher ob ich diese rausgeben sollte. Auch wenn es ok ist. Ist nix persönliches, nur gesundes Misstrauen gegenüber Dingen, die nicht so mit Erfahrungen strotzen.

Kann ich das auch selber irgenwie prüfen? Was wäre dann von interesse?

In sämtlichen Anleitungen bezüglich des Austausches der Zertifikate stand nie etwas von diesen Zwischenzertifikaten. Deshalb frage ich mich welche rolle die in der Chain sprechen.

Guru
Beiträge: 2731
Registriert: 23.02.2012, 12:26

Re: SSL Zertifikate

Beitragvon ~thc » 07.12.2018, 14:19

Ich mache das unter Linux mit

Code: Alles auswählen

openssl x509 -in certificate.crt -noout -text


Dann werden alle relevanten Infos ausgegeben. Interessant sind dabei die "Issuer" deiner Zertifikate und wie sie aufeinander aufbauen.

Mal angenommen, du hast folgende Kette: root -> intermediate1 -> intermediate2 -> certificate

Dann musst du alle drei in umgekehrter Reihenfolge in eine Datei kopieren:

Code: Alles auswählen

cat certificate.crt intermediate2.crt intermediate1.crt > combined.crt


Das kombinierte Zertifikat sollte dann angenommen werden.

Member
Beiträge: 17
Registriert: 13.11.2013, 13:05

Re: SSL Zertifikate

Beitragvon xris76 » 10.12.2018, 15:24

Hallo,


ok ...danke dafür.

Problem ist, diese Kette bringt mir so nichts denk ich. Das SSL Updater Tool möchte ja folgende Zertifikate:

Ein PEM .pem File und eine RUI rui.cert Datei.

Er nimmt nicht das bestehende oder ein neu erstelltes RUI Zertifikat in Kombination mit der kekauften PEM Datei.

Ich habe auch versucht die -----BEGIN CERTIFICATE---- und ----BEGINN RSA .....__ Header in den Files anzupassen ohne erfolg.


VG

Xris76

Guru
Beiträge: 2731
Registriert: 23.02.2012, 12:26

Re: SSL Zertifikate

Beitragvon ~thc » 10.12.2018, 22:36

Zitat von ganz oben:
xris76 hat geschrieben:Enter location to the new vCenter Server SSL chain: Pfad zur gekauften "pem" Datei

Enter location to the new vCenter Server private key: Pfad zur gekauften "key" Datei

Das andere überspringe ich jetzt...........

Eine PEM-Datei - die laut meinem Vorschlag die kombinierte CRT-Datei (aus Zertifikat und beiden Intermediates) sein sollte - und die KEY-Datei.

Die Zertifikate selbst zu editieren ist nicht sinnvoll.

Member
Beiträge: 17
Registriert: 13.11.2013, 13:05

Re: SSL Zertifikate

Beitragvon xris76 » 12.12.2018, 13:16

Hallo,

ich habe es nochmal versucht. Hab eine Chain in umgekehrter Reihenfolge gebildet. Leider hat es damit auch nicht geklappt.

Ich habe mich dazu entschieden unsere Infrastruktur auf 6.5 zu ziehen. Leider ist dann der Client nur noch in der Webversion möglich, aber ist halt dann so.


Ich danke Dir für deine Geduld und Hilfe.


VG

Xris76


Zurück zu „vCenter / VMware VirtualCenter“

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 6 Gäste