Nadat ik verleden keer heel wat ellende had met een Let's Encrypt certificaat (zie dit) heb ik dit nu terug opnieuw. Het probleem is dat ik niet meer weet hoe ik dit opgelost heb toen
Probleem is dat normaal de nieuwe certificaten gesigned zouden moeten zijn door ISRG Root X1... echter ik krijg nieuwe certificaten van Let's Encrypt welke nog steeds het oude DST Root CA X3 als root hebben
Let's encrypt... opnieuw
- Splitter
- Elite Poster
- Berichten: 5250
- Lid geworden op: 10 maa 2010, 12:30
- Uitgedeelde bedankjes: 64 keer
- Bedankt: 526 keer
- Recent bedankt: 12 keer
zou normaal niet mogen kunnen als je tegen de juiste server verifieert ?
the usual (zoals met een recente client je certs vernieuwen) heb je al gedaan ?
edit: also, zijn de certs niet al ages cross-signed met beide, en de nieuwe enkel met ISRG X1 / R3 ?
the usual (zoals met een recente client je certs vernieuwen) heb je al gedaan ?
edit: also, zijn de certs niet al ages cross-signed met beide, en de nieuwe enkel met ISRG X1 / R3 ?
-
- Elite Poster
- Berichten: 3724
- Lid geworden op: 17 apr 2019, 11:47
- Uitgedeelde bedankjes: 111 keer
- Bedankt: 154 keer
- Recent bedankt: 3 keer
Ik gebruik gewoon Certify the web... daar kan ik volgens mij niets aan doen.
Als ik via openssl een pkcs12 -in my.pfx -cacerts -nokeys -chain -out cacerts.cer doe dan krijg ik...
Het bizarre is dat ik m'n vorige pfx nog heb staan en die ziet er identiek hetzelfde uit (dus ook met DST Root CA X3)... toch heb ik die toen op één of andere manier in m'n keystore gekregen.
Edit1: Als ik de pfx bekijk in Certify dan is de root wel correct... waar gaat het dan fout ?
Edit2: Op de server waar m'n Certify the web staat een import als exportable gedaan in de local keystore (werkte) en daarna terug geexporteerd met paswoord (het probleem is namelijk dat CTW standaard geen paswoord op de pfx zet en ik dit wel nodig heb op het target platform). In CTW kan je trouwens ook aangeven dat de pfx een paswoord moet hebben maar daar lukte het ook niet mee.
Conclusie... het certificaat is geimporteerd maar ik snap het nog altijd niet waar het fout gaat... verleden keer wist ik dat perfect
Als ik via openssl een pkcs12 -in my.pfx -cacerts -nokeys -chain -out cacerts.cer doe dan krijg ik...
Die mag er normaal dus niet staan want de nieuwe ISRG Root X1 is een self signed (en niet meer door de DST Root CA X3).Bag Attributes: <Empty Attributes>
subject=C = US, O = Internet Security Research Group, CN = ISRG Root X1
issuer=O = Digital Signature Trust Co., CN = DST Root CA X3
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
Bag Attributes: <Empty Attributes>
subject=C = US, O = Let's Encrypt, CN = R3
issuer=C = US, O = Internet Security Research Group, CN = ISRG Root X1
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
Het bizarre is dat ik m'n vorige pfx nog heb staan en die ziet er identiek hetzelfde uit (dus ook met DST Root CA X3)... toch heb ik die toen op één of andere manier in m'n keystore gekregen.
Edit1: Als ik de pfx bekijk in Certify dan is de root wel correct... waar gaat het dan fout ?
Edit2: Op de server waar m'n Certify the web staat een import als exportable gedaan in de local keystore (werkte) en daarna terug geexporteerd met paswoord (het probleem is namelijk dat CTW standaard geen paswoord op de pfx zet en ik dit wel nodig heb op het target platform). In CTW kan je trouwens ook aangeven dat de pfx een paswoord moet hebben maar daar lukte het ook niet mee.
Conclusie... het certificaat is geimporteerd maar ik snap het nog altijd niet waar het fout gaat... verleden keer wist ik dat perfect
- on4bam
- Moderator
- Berichten: 5341
- Lid geworden op: 05 mei 2006, 16:05
- Locatie: 127.0.0.1 of elders
- Uitgedeelde bedankjes: 280 keer
- Bedankt: 493 keer
- Recent bedankt: 11 keer
Ik heb dat hier een paar weken terug ook proberen op te lossen voor iemand met een oude Win7 laptop.
Volgens wat ik op het net vond moest in Chrome het oude, vervallen, certificaat (DST Root X3) gewist worden en het nieuwe ISRG Root X1 geïnstalleerd worden. Ik had dit op mijn PC (Win 10 Pro) getest en dat werkte. Met de Win7 PC hebben we het opgegeven.
Omdat het om iemand ging die niet veel internet gebruikt op die laptop is hij overgestapt op Firefox en sindsdien heeft hij geen probleem meer.
Volgens wat ik op het net vond moest in Chrome het oude, vervallen, certificaat (DST Root X3) gewist worden en het nieuwe ISRG Root X1 geïnstalleerd worden. Ik had dit op mijn PC (Win 10 Pro) getest en dat werkte. Met de Win7 PC hebben we het opgegeven.
Omdat het om iemand ging die niet veel internet gebruikt op die laptop is hij overgestapt op Firefox en sindsdien heeft hij geen probleem meer.
Bye, Maurice
https://on4bam.com
https://on4bam.com
- Splitter
- Elite Poster
- Berichten: 5250
- Lid geworden op: 10 maa 2010, 12:30
- Uitgedeelde bedankjes: 64 keer
- Bedankt: 526 keer
- Recent bedankt: 12 keer
probeer je het cert te importeren op een device dat de nieuwe root niet kent mss ?
beetje moeilijk te weten wat er misloopt als we niet weten wat je exact doet.
certify the web gebruik ik niet, ik gebruik op een aantal machines gewoon certbot en op andere machines zit het achter een opnsense waar die het regelt en rechtstreeks in haproxy steekt
beetje moeilijk te weten wat er misloopt als we niet weten wat je exact doet.
certify the web gebruik ik niet, ik gebruik op een aantal machines gewoon certbot en op andere machines zit het achter een opnsense waar die het regelt en rechtstreeks in haproxy steekt
- mailracer
- Elite Poster
- Berichten: 3872
- Lid geworden op: 23 feb 2010, 21:03
- Uitgedeelde bedankjes: 217 keer
- Bedankt: 315 keer
Certificaten moet je in het register van Windows aanpassen. Mogelijk heb je een verouderd certificaat rondslingeren. Weet alleen niet meer hoe dat moet, Google mss ?
https://letsencrypt.org/docs/dst-root-c ... mber-2021/
https://letsencrypt.org/docs/dst-root-c ... mber-2021/
-
- Elite Poster
- Berichten: 3724
- Lid geworden op: 17 apr 2019, 11:47
- Uitgedeelde bedankjes: 111 keer
- Bedankt: 154 keer
- Recent bedankt: 3 keer
Toch wel... het device heeft het oude niet meer en de nieuwe ISRG Root X1 is geinstalleerd. Ik merkte het probleem bij de import van de pfx aangezien het device een melding gaf dat de root niet gekend was, en weigerde te importeren.Splitter schreef:probeer je het cert te importeren op een device dat de nieuwe root niet kent mss ?
De server waarop CTW staat heeft enkel nog het nieuwe (zowel gedelete via Certificate Manager als een registry delete)... maar wat bizar is dat wanneer ik in CTW kijk naar het certificaat dat het correct is, echter als ik het daarna uitpak en terug inpak (om er een paswoord op te zetten) dan komt er op één of andere manier de foute root in ? (ongeacht of ik dit process doe op dezelfde server, of zelfs op het non Windows device).mailracer schreef:Certificaten moet je in het register van Windows aanpassen. Mogelijk heb je een verouderd certificaat rondslingeren. Weet alleen niet meer hoe dat moet, Google mss ?