Hi.
Ok, ich habe den cat
Befehl ausprobiert. Das bundle ist jetzt 7175 groß.
Danach systemctl restart linuxmuster-webui
– der Zugriff auf die WebUI über https://server…:443 liefert weiterhin ein gültiges LE-Zertifikat aber die Verbindung via openssl
liefert weiterhin den gleichen Fehler.
Das LE-Plugin erstellt die Zertifitkate für den Server im grünen Netz.
Das funktioniert und liefert:
subject=C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
Merkwürdig finde ich aber trotzdem, dass ich trotz des neuen bundles immernoch dies erhalte:
openssl s_client -showcerts -connect server:443
CONNECTED(00000005)
depth=0 CN = server.linuxmuster.meine-domain.de
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 CN = server.linuxmuster.meine-domain.de
verify error:num=21:unable to verify the first certificate
verify return:1
---
vgl auch hier: Five Essential OpenSSL Troubleshooting Commands - MovingPackets.net
---> This can be fixed by adding the -CAfile option ...
Vielleicht ist es das?
Immerhin Licht am Ende des Tunnels:
openssl verify -CAfile ./cacert.pem server.cert.pem
server.cert.pem: OK
aber ohne die Option -CAfile
bekomme ich:
error server.cert.pem: verification failed
Kann es sein, dass das cacert.pem
global bekannt gemacht werden muss? Sowas hatten wir doch schon mal diskutiert – und zwar hier?!
(Ich denke, dass das Verhalten auch mit dem HAProxy (reverse Proxy) zusamenhängen könnte – bin aber nicht ganz sicher…)
Schönen Gruß,
Michael