ISPConfig mit eigener CA

M

Militades

New Member
Hi,

ich hab grade gefunden, dass es in den Settings was zum hinterlegen der eigenen CA gibt (die ich schon erstellt habe) aber was macht ISPConfig damit dann? Das Handbuch sagt auch nix weiter, beim konfigurieren von SSL für die Webseite seh ich auch nix neues ... stellt sich mir die frage ob die settings noch nicht passen. Gibts da wo ein how-to dazu? Ich hab nix gefunden ...
 
T

Till

Administrator
Hier der vefehl den ISPConfig verwendet:

openssl ca -batch -out $crt_file -config ".$web_config['CA_path']."/openssl.cnf -passin pass:".$web_config['CA_pass']." -in $csr_file

wenn Du eine eigene ca hast.
 
B

Benedict

Member
Hallo und Guten Tag! Ich führe dies mal hier fort...

Ich arbeite mit einer eigenen CA um Zertifikat ausstellen zu können und um hier insbesondere das Root-Zertifikat auf Clients zu importieren (Testumgebung). Das geht auch manuell recht gut.

Der Aufbau der CA-Struktur erfolgte über das zur Verfügung stehende Script
"/usr/lib/ssl/misc/CA.sh -newca" unter Debian Wheezy. Allerdings habe ich die Konfigurationsdatei /etc/ssl/openssl.cnf zuvor etwas angepasst (dir, countryName_default usw.)

Nun wie gesagt geht es manuell. d.h. die Aufrufe CA.sh -newreq-nodes, CA.sh -sign, CA.sh -verify newcert.pem erzeugen Schlüssel und Zertifikat, die dann über das Interface zur Site einfach abgespeichert werden können. Einfacher ist es ja jetzt, wenn man alles ISPConfig übergibt, d.h. CA Pfad und Passphrase über die Server Config einträgt. Die System-Log verzeichnet aber dann immer ein "CA-Certificate signing failed." Sind hier irgendwelche Fehler bekannt? Sollte doch eigentlich klappen - oder? Geht aber so nicht. Oder gibt es beim Aufbau der CA Struktur etwas bzgl. ispconfig zu bachten?

Dann habe ich schon eine Vermutung: Irgendwas stimmt da nicht mit den Pfaden bzgl. openssl.cnf bzw. der CA. Manuell wechsel ich ja erst in /etc/ssl und rufe dann besagtes Script auf.

Hat jemand eine Idee was man so noch checken sollte?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Werbung

Top