Certificate Chains aktualisieren

ksmx · 21. August 2012

Hi,

aktuell laeuft Liveconfig in Version 1.5.1-r1754. Ich wuerde gerne ein Certificate Chain aktualisieren. Die Aenderung wird angenommen und ist daraufhin auch per "CA anzeigen" sichtbar, jedoch schlaegt sich die Aktualisierung nicht im Dateisystem nieder. Beobachte ich /etc/ssl/certs/*-ca.crt, so erfahren die Dateien keine Aenderung.

In aller "Verzweifelung" habe ich schonmal einen Thawte Chain gegen den von Geotrust getauscht. Mein eigentliches Ziel ist die Reihenfolge von den zwei Zertifikaten im Thawte Chain zu drehen, um Anwendungen zufrieden zu stellen, die gegen eine TLS-Implementierung gebaut wurden und nicht auf OpenSSL setzen.

off-topic: Dieses Problem wird damit geloest.

Code

git clone https://gitserver/git/test.git
Cloning into 'test'...
error: server certificate verification failed. CAfile: /etc/ssl/certs/ca-certificates.crt CRLfile: none while accessing https://gitserver/git/test.git/info/refs
fatal: HTTP request failed

kk · 21. August 2012

Hallo,

so wie es aussieht werden nach Änderungen an den SSL-Zertifikaten die entsprechenden Dateien nicht automatisch auf dem Server aktualisiert (werden wir mal im Code prüfen).
Kurzfristiges Workaround: öffnen Sie einfach die Domaineinstellungen der mit SSL konfigurierten (Sub-)Domain und klicken dort einfach noch mal auf "speichern" (ohne irgendeine Einstellung zu ändern). Dabei wird automatisch die SSL-Zertifikatsdatei neu geschrieben.

Der o.g. Fehler hängt aber vielleicht nicht mit der Reihenfolge im CA-Cert zusammen, sondern eher an fehlenden CA-Zertifikaten auf dem "Client"-Server (also dort wo Sie den git-Befehl eingeben). Führen Sie dort bitte einfach mal "aptitude install ca-certificates" aus.

Viele Grüße

-Klaus Keppler

ksmx · 21. August 2012

Sollte man glauben, ja. Aber leider hat GnuTLS ein Problem mit Intermediate certificate chain files, was zu so manchem Kopfzerbrechen fuehren kann. Hier ein Beispiel:

Code

$ gnutls-cli -p 443 gitserver
Processed 152 CA certificate(s).
Resolving 'gitserver'...
Connecting to '...:443'...
|<1>| Note that the security level of the Diffie-Hellman key exchange has been lowered to 512 bits and this may allow decryption of the session data
- Peer's certificate is trusted
- The hostname in the certificate matches 'gitserver'.
- Session ID: F6:B5:98:55:44:62:75:63:35:8A:68:0D:78:25:A5:C3:FB:ED:8F:43:71:12:20:F1:A8:59:D1:09:00:05:F3:97
- Certificate type: X.509
- Got a certificate list of 3 certificates.
- Certificate[0] info:
...
$ grep -A2 BEGIN /etc/ssl/certs/9a152b29e9b1e6f6-ca.crt
-----BEGIN CERTIFICATE-----
MIIEjzCCA3egAwIBAgIQdhASihe2grs6H50amjXAkjANBgkqhkiG9w0BAQUFADCB
qTELMAkGA1UEBhMCVVMxFTATBgNVBAoTDHRoYXd0ZSwgSW5jLjEoMCYGA1UECxMf
--
-----BEGIN CERTIFICATE-----
MIIERTCCA66gAwIBAgIQM2VQCHmtc+IwueAdDX+skTANBgkqhkiG9w0BAQUFADCB
zjELMAkGA1UEBhMCWkExFTATBgNVBAgTDFdlc3Rlcm4gQ2FwZTESMBAGA1UEBxMJ

Alles anzeigen

funktioniert also. Dann einmal drehen:

Code

$ grep -A2 BEGIN 9a152b29e9b1e6f6-ca.crt 
-----BEGIN CERTIFICATE-----
MIIERTCCA66gAwIBAgIQM2VQCHmtc+IwueAdDX+skTANBgkqhk
iG9w0BAQUFADCBzjELMAkGA1UEBhMCWkExFTATBgNVBAgTDFdl
--
-----BEGIN CERTIFICATE-----
MIIEjzCCA3egAwIBAgIQdhASihe2grs6H50amjXAkjANBgkqhk
iG9w0BAQUFADCBqTELMAkGA1UEBhMCVVMxFTATBgNVBAoTDHRo
$ 
$ gnutls-cli -p 443 gitserver
Processed 152 CA certificate(s).
Resolving 'gitserver'...
Connecting to '...:443'...
|<1>| Note that the security level of the Diffie-Hellman key exchange has been lowered to 512 bits and this may allow decryption of the session data
- Peer's certificate issuer is unknown
- Peer's certificate is NOT trusted
- The hostname in the certificate matches 'gitserver'.
*** Verifying server certificate failed...
*** Fatal error: Error in the certificate.
- Certificate type: X.509
- Got a certificate list of 3 certificates.
- Certificate[0] info:
...

Alles anzeigen

Git verweigert an diese Stelle seinen Dienst. Der GnuTLS-Client beendet an dieser Stelle auch die Verbindung. Anfangs hatte ich Angst, dass LiveConfig automatisch die Zertifikate sortiert - dies ist gluecklicherweise nicht der Fall.

Gruss ksmx

Jetzt mitmachen!