Apache, CentOS 7, gestacktes Zertifikat

Mal wie­der einer aus der Ecke #sel­flart:

Ein Kauf­zer­ti­fi­kat läuft aus und soll durch ein LE-Zer­ti­fi­kat ersetzt wer­den. Kein Ding. Tau­send­mal berührt, tau­send­mal ist nichts pas­siert.
Alt:

  SSLCertificateFile /path/to/certificate.crt
  SSLCertificatekeyFile /path/to/privkey.key
  SSLCertificateChainFile /path/to/chain.crt

SSLCer­ti­fi­ca­teChain­File ist aller­dings depre­ca­ted, man soll Zer­ti­fi­kat und Chain stacken.
Kein Problem!

  SSLCertificateFile /path/to/le/fullchain.pem
  SSLCertificatekeyFile /path/to/le/privkey.pem

Web­ser­ver rel­oa­ded, mit openssl s_client … | openssl x509… gegen­ge­scheckt, alles fein.

Ein Tag spä­ter fällt auf: Builds gehen nicht mehr, Java mault mit kryp­ti­schen Stack­traces über kaput­tes SSL. Pha­se eins Arsch­kar­ten­rou­ting (da bin ich ein eben­bür­ti­ger Mit­spie­ler): Fixt euer gamm­li­ges Java, daß es auch mit LE zuran­de kommt!. Jira-Tickets ent­ste­hen. Man glaubt gar nicht, wie groß ein Jira-Ticket wer­den kann, bevor über­haupt jemand an dem Pro­blem arbeitet!
Jeden­falls, um es abzu­kür­zen: Nach Pha­se n Arsch­kar­ten­rou­ting stellt sich raus: Der Web­ser­ver sen­det nur sein eige­nes Zer­ti­fi­kat, nicht aber das Inter­me­dia­te aus fullchain.pem.
Die Lösung ist damit klar:

  SSLCertificateFile /path/to/le/cert.pem
  SSLCertificateChainFile /path/to/le/chain.pem
  SSLCertificatekeyFile /path/to/le/privkey.pem

Argh!

0

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.