CA-Root-Installationsproblem auf Ubuntu 16.04 LTS Server

CA-Root-Installationsproblem auf Ubuntu 16.04 LTS Server

Ich richte einen Nginx-Reverse-Proxy auf einem Ubuntu 16.04 LTS-Server für den Webserver ein.

Auf Ubuntu laufen drei verschiedene Dienste. Die Dienste kommunizieren über API-Aufrufe miteinander. Ebenso kommunizieren Clients (Browser/Mobil) über API-Aufrufe mit den Diensten.

Um Client-SSL-Anfragen zu validieren, muss ich Zertifikate auf dem Server-PC installieren. Nach der Authentifizierung werden nur Anfragen verarbeitet oder zur weiteren Verarbeitung weitergeleitet.

Für jeden Dienst habe ich Zertifikate in den folgenden Formatdateien: Ser1_cert.crt, Ser1_key-decryp.key, Ser1_keyfile.key, Ser1_exported.pfx

lly Ser2_..., Ser3_... files are available

Für CA habe ich CA_50EA.crt, CA_50EA.pfx-Dateien sind verfügbar

Ich bin mir nicht sicher, welches Zertifikatsdateiformat ich für die Zertifikatsinstallation verwenden soll.

Um Zertifikate auf dem System zu installieren, habe ich die folgenden Schritte befolgt. 1. Ich habe Dateien mit der Erweiterung .crt (einschließlich der CA-Datei) kopiert und /usr/share/ca-certificatesdann den folgenden Befehl ausgeführt. 2.sudo dpkg-reconfigure ca-certificates

Es wurde die Benutzeroberfläche zur Auswahl von Zertifikaten angezeigt. Ich habe alle ausgewählt. Am Ende wurde die Anzahl der hinzugefügten Zertifikate angezeigt.

Ich habe den Zertifikatspfad ordnungsgemäß in die Datei nginx.conf eingetragen. Ich habe .crtdie .keyDateien nach /etc/ssl/certs/bzw. kopiert /etc/ssl/private/.

ssl_certificate "/etc/pki/certs/XServer_certificate.crt"; ssl_certificate_key "/etc/ssl/private/XServer_decryp.key";

Jetzt habe ich versucht, mich vom Browser-Client aus beim Server anzumelden, aber die Validierung des Anmeldezertifikats ist mit der folgenden Server-Protokollmeldung fehlgeschlagen.

info: LoginController[0]

Certification Error :unable to get local issuer certificate

Zur erneuten Bestätigung habe ich alle Zertifikatsdateien in /usr/share/ca-certificatesdas Verzeichnis kopiert (insgesamt 14 Dateien) und dann erneut ausgeführt sudo dpkg-reconfigure ca-certificates. Auch dieses Mal erhalte ich den gleichen Fehler.

Als ich sudo update-ca-certificates --freshden Befehl das nächste Mal ausführte, wurde die Anzahl der installierten Zertifikate mit einer Warnung für die Datei ca.pem wie unten angezeigt.

WARNING: CA_50EA.pem does not contain a certificate or CRL: skipping 152 added, 0 removed; done.

Die PEM-Datei wird im /etc/ssl/certsOrdner erstellt, aber ich habe nur die CRT-Datei eingegeben./usr/share/ca-certificates

Ich habe versucht, dies mit dem folgenden Befehl zu überprüfen. Auch dort tritt dasselbe Problem auf wie unten.

openssl s_client -connect [server name]:443 -showcerts -CAfile /etc/ssl/certs/ca-certificates.crt
................. ................. Verify return code: 21 (unable to verify the first certificate)

Es zeigt sehr deutlich, dass die Überprüfung fehlgeschlagen ist.

Mir fehlt ein Schritt. Was ist der richtige Ansatz dafür? Als der Fehler angezeigt wurde, dachte ich, CA sei nicht richtig installiert.

Ich habe viele Blogs gelesen, die meisten erklären dasselbe, aber es funktioniert bei mir nicht.

Einige Zeit zuvor habe ich an CentOS7 gearbeitet. Dort habe ich die folgenden Befehle verwendet, um Zertifikate auf dem System zu installieren: update-ca-trust force-enable, update-ca-trust extract. In CentOS-Clients funktioniert die Zertifikatsüberprüfung mit den obigen Befehlen problemlos.

Wir freuen uns über jedes Feedback.

Danke

Antwort1

Erstmal vielen Dank an euch alle,

Mein Problem ist: Das CA-Zertifikat, das in CentOS erfolgreich installiert wurde, lässt sich in Ubuntu 16 Server nicht installieren und gibt die folgende Warnmeldung aus. WARNUNG: CA_50EA.pem enthält kein Zertifikat oder CRL: 152 hinzugefügt, 0 entfernt, übersprungen; fertig.

Lösung: Nach verschiedenen Ansätzen konnte die genaue Ursache dieses Problems nicht ermittelt werden. Plötzlich kam mir eine Idee, die mein Problem löste.

Mithilfe der folgenden URL-Schritte wurde eine neue Stammzertifizierungsstelle aus der Datei CA.pfx erstellt. Die Installation auf dem Ubuntu 16-Server war ohne Warnungen erfolgreich und meine Client-Anfragen wurden erfolgreich verifiziert. https://www.itsupportmiami.com/wie-konvertiert-man-eine-pfx-datei-in-eine-seperate-key-crt-datei/

Vielen Dank an alle, die meine Anfrage verfolgt und versucht haben, sie zu beantworten.

verwandte Informationen