PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : LetsEncrypt PEM-Dateien in CRT und KEY konvertieren - wie?



Kazuto
01.12.16, 20:56
Hallo,

ich stehe gerade etwas auf dem Schlau, weswegen ich nun hier schreiben muss...

Ich habe vor einiger Zeit mir mal die Mühe gemacht alle meine Geräte wo ein Webserver läuft mit einem gültigen HTTPS-Zertifikat zu versehen... LetsEncrypt bietet das ja kostenlos an und da meine DNS-Vergabe im Heimnetz auf einer de-Domain aufbaut funktioniert das recht gut...

Nun aber mein Problem: Ich habe 4 Dateien:

- Fullchain.pem
- Chain.pem
- Privkey.pem
- Cert.pem

Ich brauche für meinen OpenWRT und uHTTPd allerdings eine CRT und eine KEY-Datei... Nun fragt mich nicht wie ich das damals konvertiert habe, ich habe nun schon eine Stunde mit OpenSSL und irgendwelchen Konvertierungsbefehlen gesessen, überall kommt mir nun noch die Zertifikatsform DER unter die Augen, welche ich vorher noch nie gesehen habe...

Könnt ihr mir helfen wie ich das mit OpenSSL (oder sonst einem Tool) ins richtige Format bekomme?

BetterWorld
01.12.16, 21:16
Du kannst die .pem Dateien einfach nehmen. Das sind alles nur reine Textdateien.
Mach ich auch so.

Da konvertierst du schlicht gar nix, und wenn geht es garantiert nicht mehr.

Und wenn das deine Serversoftware partout nicht mag, dann benenn sie einfach um. (oder besser: mach nen Softlink)

Die .pems können halt mehr als nur Key, oder nur Cert haben.
Einzige Bedingung ist, dass der Key am Anfang steht.
Ist es ein Cert mit entsprechenden Vorläufern (samt revoked) dann müssen die auch noch vor dem gültigen Cert stehen. (Genauer gesagt: in zeitlich korrekter Reihenfolge)

fork
01.12.16, 21:44
Wie BW schon sagt: In diesen PEM-Dateien kann auch mehr als ein Zertifikat drin sein. Die Key Datei würde ich so übernehmen wie Privkey.pem. Die CRT Datei sollte den Rest enthalten. Sprich alle Zertifikate. Schau einfach, das keine Zertifikate doppelt drin sind. Das macht wahrscheinlich auch nix, aber der Ordnung halber.

Und ganz wichtig:

Auch die Anfangs- und Endemarker gehören zum Zertifikat:



-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----


Vergiss nur eins von den "-" und das Zertifikat bzw. der Key ist ungültig, weil er nicht der erwarteten Spezifikation entspricht.
Sollte vom

Kazuto
02.12.16, 22:19
Danke für eure Antworten!

Ich habe die umbenannten Dateien versucht, funktionierte nicht. Nachdem ich das Gerät mal erneut zurückgesetzt habe hat es dann funktioniert... #MyComputerIsDoingWeirdThings

BetterWorld
02.12.16, 23:22
Solche Dienste lesen ihre Certs beim Start.
Und solche Router, die ihre Dienste beim Booten startetn, lesen die halt dann logischerweise erst beim Booten.
Falls du nicht händisch dafür sorgst, dass die neustarten/Konfig neu einlesen.