Let's encrypt... opnieuw

Heb je problemen met het instellen van je netwerk, bedraad of draadloos, dan kan je hier altijd terecht!
Plaats reactie
DarkV
Elite Poster
Elite Poster
Berichten: 3724
Lid geworden op: 17 apr 2019, 11:47
Uitgedeelde bedankjes: 111 keer
Bedankt: 154 keer
Recent bedankt: 3 keer

Nadat ik verleden keer heel wat ellende had met een Let's Encrypt certificaat (zie dit) heb ik dit nu terug opnieuw. Het probleem is dat ik niet meer weet hoe ik dit opgelost heb toen :cry:

Probleem is dat normaal de nieuwe certificaten gesigned zouden moeten zijn door ISRG Root X1... echter ik krijg nieuwe certificaten van Let's Encrypt welke nog steeds het oude DST Root CA X3 als root hebben :?
Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 5250
Lid geworden op: 10 maa 2010, 12:30
Uitgedeelde bedankjes: 64 keer
Bedankt: 526 keer
Recent bedankt: 12 keer

zou normaal niet mogen kunnen als je tegen de juiste server verifieert ?
the usual (zoals met een recente client je certs vernieuwen) heb je al gedaan ?

edit: also, zijn de certs niet al ages cross-signed met beide, en de nieuwe enkel met ISRG X1 / R3 ?
DarkV
Elite Poster
Elite Poster
Berichten: 3724
Lid geworden op: 17 apr 2019, 11:47
Uitgedeelde bedankjes: 111 keer
Bedankt: 154 keer
Recent bedankt: 3 keer

Ik gebruik gewoon Certify the web... daar kan ik volgens mij niets aan doen.

Als ik via openssl een pkcs12 -in my.pfx -cacerts -nokeys -chain -out cacerts.cer doe dan krijg ik...
Bag Attributes: <Empty Attributes>
subject=C = US, O = Internet Security Research Group, CN = ISRG Root X1

issuer=O = Digital Signature Trust Co., CN = DST Root CA X3

-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
Bag Attributes: <Empty Attributes>
subject=C = US, O = Let's Encrypt, CN = R3

issuer=C = US, O = Internet Security Research Group, CN = ISRG Root X1

-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
Die mag er normaal dus niet staan want de nieuwe ISRG Root X1 is een self signed (en niet meer door de DST Root CA X3).

Het bizarre is dat ik m'n vorige pfx nog heb staan en die ziet er identiek hetzelfde uit (dus ook met DST Root CA X3)... toch heb ik die toen op één of andere manier in m'n keystore gekregen.

Edit1: Als ik de pfx bekijk in Certify dan is de root wel correct... waar gaat het dan fout ?
Edit2: Op de server waar m'n Certify the web staat een import als exportable gedaan in de local keystore (werkte) en daarna terug geexporteerd met paswoord (het probleem is namelijk dat CTW standaard geen paswoord op de pfx zet en ik dit wel nodig heb op het target platform). In CTW kan je trouwens ook aangeven dat de pfx een paswoord moet hebben maar daar lukte het ook niet mee.

Conclusie... het certificaat is geimporteerd maar ik snap het nog altijd niet waar het fout gaat... verleden keer wist ik dat perfect :bang:
Gebruikersavatar
on4bam
Moderator
Moderator
Berichten: 5341
Lid geworden op: 05 mei 2006, 16:05
Locatie: 127.0.0.1 of elders
Uitgedeelde bedankjes: 280 keer
Bedankt: 493 keer
Recent bedankt: 11 keer

Ik heb dat hier een paar weken terug ook proberen op te lossen voor iemand met een oude Win7 laptop.

Volgens wat ik op het net vond moest in Chrome het oude, vervallen, certificaat (DST Root X3) gewist worden en het nieuwe ISRG Root X1 geïnstalleerd worden. Ik had dit op mijn PC (Win 10 Pro) getest en dat werkte. Met de Win7 PC hebben we het opgegeven.
Omdat het om iemand ging die niet veel internet gebruikt op die laptop is hij overgestapt op Firefox en sindsdien heeft hij geen probleem meer.
Bye, Maurice
https://on4bam.com
Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 5250
Lid geworden op: 10 maa 2010, 12:30
Uitgedeelde bedankjes: 64 keer
Bedankt: 526 keer
Recent bedankt: 12 keer

probeer je het cert te importeren op een device dat de nieuwe root niet kent mss ?
beetje moeilijk te weten wat er misloopt als we niet weten wat je exact doet.

certify the web gebruik ik niet, ik gebruik op een aantal machines gewoon certbot en op andere machines zit het achter een opnsense waar die het regelt en rechtstreeks in haproxy steekt
Gebruikersavatar
mailracer
Elite Poster
Elite Poster
Berichten: 3872
Lid geworden op: 23 feb 2010, 21:03
Uitgedeelde bedankjes: 217 keer
Bedankt: 315 keer

Certificaten moet je in het register van Windows aanpassen. Mogelijk heb je een verouderd certificaat rondslingeren. Weet alleen niet meer hoe dat moet, Google mss ?

https://letsencrypt.org/docs/dst-root-c ... mber-2021/
DarkV
Elite Poster
Elite Poster
Berichten: 3724
Lid geworden op: 17 apr 2019, 11:47
Uitgedeelde bedankjes: 111 keer
Bedankt: 154 keer
Recent bedankt: 3 keer

Splitter schreef:probeer je het cert te importeren op een device dat de nieuwe root niet kent mss ?
Toch wel... het device heeft het oude niet meer en de nieuwe ISRG Root X1 is geinstalleerd. Ik merkte het probleem bij de import van de pfx aangezien het device een melding gaf dat de root niet gekend was, en weigerde te importeren.
mailracer schreef:Certificaten moet je in het register van Windows aanpassen. Mogelijk heb je een verouderd certificaat rondslingeren. Weet alleen niet meer hoe dat moet, Google mss ?
De server waarop CTW staat heeft enkel nog het nieuwe (zowel gedelete via Certificate Manager als een registry delete)... maar wat bizar is dat wanneer ik in CTW kijk naar het certificaat dat het correct is, echter als ik het daarna uitpak en terug inpak (om er een paswoord op te zetten) dan komt er op één of andere manier de foute root in ? (ongeacht of ik dit process doe op dezelfde server, of zelfs op het non Windows device).
Plaats reactie

Terug naar “Netwerken en Security”