
<html>

  <head>


    <meta http-equiv="content-type" content="text/html; charset=ISO-8859-1">

  </head>

  <body text="#000000" bgcolor="#FFFFFF">

    Hoi zäme,<br>

    <br>

    Ich habe die Feiertage genutzt, um meine "Angstgegener" postfix und

    ssl/tls in die Schranken zu weisen.<br>

    Leider ist das neue Postfix Buch noch nicht einmal als ebook

    erhältlich (schade, schade) drum habe ich so ca 7000 tutorials

    durchgeackert ..<br>

    <br>

    Nun ein Problem, das ich nicht lösen konnte:<br>

    <br>

    Ich habe einen CSR generiert<br>

    <br>

    <b>openssl genrsa </b><b><span class="re5">-des3</span></b><b> </b><b><span

        class="re5">-out</span></b><b> webserverkey.pem </b><b><span

        class="nu0">2048</span></b><b><br>

    </b><b>openssl req </b><b><span class="re5">-new</span></b><b> </b><b><span

        class="re5">-key</span></b><b> webserverkey.pem </b><b><span

        class="re5">-out</span></b><b> webservercert.csr </b><b><span

        class="re5">-days</span></b><b> </b><b><span class="nu0">3650</span></b><br>

    <br>

    mit diesem habe ich bei startssl.org ein Zertifikat signieren lassen.<br>

    bekommen habe ich 3 Dateien:<br>

    Das signierte Zertifikat,<br>

        ssl.crt    <br>

    Das intermediate root Zertifikat<br>

        sub.class2.server.ca.pem  <br>

    Das Root Zertifikat<br>

        ca.pem<br>

    <br>

    nun versuche ich eine "certificate chain" server.pem zu basteln, die

    einerseits den <br>

    <b>openssl verify -purpose sslserver server.pem</b><br>

    test fehlerfrei übersteht und andernseits mit <br>

    <b>openssl s_server -key webserverkey_nokey.pem -cert server.pem</b><br>

    funktioniert.<br>

    <br>

    leider schaffe  ich nur eines von beiden.<br>

    wenn ich mit dem root zertifikat anfange:<br>

    <b>cat ca.pem sub.class2.server.ca.pem ssl.crt > server.pem</b><b><br>

    </b>gibt<br>

    <b>openssl verify -purpose sslserver server.pem </b><br>

    server.pem: OK<br>

    aus.<br>

    aber <br>

    <b>openssl s_server -key webserverkey_nokey.pem -cert server.pem</b><br>

    einen Fehler:<br>

    error setting private key<br>

    140194214442656:error:0B080074:x509 certificate

    routines:X509_check_private_key:key values mismatch:x509_cmp.c:331:<br>

    <br>

    wenn ich die Reihenfolge beim erstellen von server.pem kehre, also <br>

    <b>cat ssl.crt ca.pem sub.class2.server.ca.pem > server.pem</b><br>

    kann ich den openssl server starten, aber <br>

    reklamiert<br>

    <b>openssl verify -purpose sslserver server.pem </b><br>

    server.pem: description = 93G0vRVEt2p23lPS, C = CH, ST = Bern, L =

    Bern, O = Robert Rottermann, CN = mail.redcor.ch, emailAddress =

    <a class="moz-txt-link-abbreviated" href="mailto:postmaster@redcor.ch">postmaster@redcor.ch</a><br>

    error 20 at 0 depth lookup:unable to get local issuer certificate<br>

    <br>

    <br>

    kann mir jemand sagen, wie man das "richtig" macht.<br>

    <br>

    herzlichen dank<br>

    und än schöne räschte<br>

    robert<br>

  </body>

</html>