DSM 6.x und darunter Import SSL-Zertifkat von Thawte unter DSM 4.2

[swetzlar]

Hallo,

ich habe ein SSL-Zertifikat von Thawte erfolgreich importiert.
Der Aufruf der Domain erscheint nun zertifiziert von Thawte.
So weit ein Erfolg.
Aber...

Ich habe die Möglichkeit von Thwate den SSL-Domain-Checker zu nutzen, ob auch wirklich alles zu 100% funktioniert.
Er meckert an, dass ich das zweite Zwischenzertifikat nicht installiert habe.
Tja - das kann ich auch nicht, wenn mir das Auswahlfeld beim Zertifikatsimport fehlt.

Was kann ich tun, um das zweite Zwischenzertifikat erfolgreich zu installieren, damit der SSL-Domain-Checker ruhe hält?

 

[Frogman]

Importiere doch mal das Intermediate, was Du herunterladen kannst (zB. hier: http://pohle.de/psag/neue-ssl-zerti...hen-ein-zusatzliches-zertifikat-auf-dem-host/)

 

[swetzlar]

bringt nix

 

[swetzlar]

ach ja...
Das Zertifikat kann beim Aufruf der Domain ohne Weiteres verifiziert werden. Der Browser meckert beim Aufruf nicht.
Lediglich der Zertifkatschecker von Thawte meckert.
Habt Ihr sonst noch Vorschläge, wie man das zweite Zwischenzertifikat installiert?

 

[Frogman]

Was meinst Du denn mit "zweitem Zwischenzertifikat"? Du installierst doch den private Key, das Zwischenzertifikat und Dein SSL-Zertifikat. Welches Zwischenzertifikat hast Du denn genommen? Da gibt's auch nur eines für die schlüssige Zertifikatskette, nicht zwei oder gar noch mehr.

 

[swetzlar]

ich wundere mich auch - ABER - Thawte stellt mir nunmal zwei Zwischenzertifikate zur Verfügung. Als Installationshinweis wird hier dringend darauf hingewiesen, dass beide Zwischenzertitikate installiert werden müssen...

Und jetzt frage ich mich halt - WIE DAS GEHT

 

[Frogman]

Dann lösch doch mal die erste Zertifikatinstallation und installiere alles neu mit dem aktuellen Intermediate, welches man dort auch offiziell bekommt (kannst ja auch mal mit dem vergleichen, welches sie Dir jetzt gegeben haben). Ich weiß nur, dass die vor 'ner Zeit umgezogen sind und dafür die Intermediates neu generiert wurden.

 

[swetzlar]

es bleibt dabei...
Dieser Checker meckert immer noch

hier mal die Meldung:

www.xxxxxxxx.de failed for the following reasons: The intermediate CA certificate cannot be found for the following certificate chain. ------Certificate 1------ --Issued To-- Organizational Unit: Domain Validated Organizational Unit 2: Thawte SSL123 certificate Organizational Unit 3: Go to https://www.thawte.com/repository/index.html Common Name: www.xxxxxxx.de --Issued By-- Organization: Thawte, Inc. Organizational Unit: Domain Validated SSL Common Name: Thawte DV SSL CA Country: US Valid from Thu Mar 07 01:00:00 CET 2013 to Sun Mar 02 00:59:59 CET 2014 Serial Number (hex): 46ce1f87cfe946936b795752857b0a0c Signature Algorithm: SHA1withRSA Key Size: 2048 bits SANs: www.xxxxxxx.de ------------------------- ------Certificate 2------ --Issued To-- Organization: Thawte, Inc. Organizational Unit: Domain Validated SSL Common Name: Thawte DV SSL CA Country: US --Issued By-- Organization: thawte, Inc. Organizational Unit: (c) 2006 thawte, Inc. - For authorized use only Organizational Unit 2: Certification Services Division Common Name: thawte Primary Root CA Country: US Valid from Thu Feb 18 01:00:00 CET 2010 to Tue Feb 18 00:59:59 CET 2020 Serial Number (hex): 7610128a17b682bb3a1f9d1a9a35c092 Signature Algorithm: SHA1withRSA Key Size: 2048 bits ------------------------- Please install or replace the following intermediate CA certificate on your Web or Application server and perform this test again. ------Certificate 3------ --Issued To-- Organization: thawte, Inc. Organizational Unit: (c) 2006 thawte, Inc. - For authorized use only Organizational Unit 2: Certification Services Division Common Name: thawte Primary Root CA Country: US --Issued By-- Organization: Thawte Consulting cc Organizational Unit: Certification Services Division Common Name: Thawte Premium Server CA Locale: Cape Town, Western Cape Country: ZA Valid from Fri Nov 17 01:00:00 CET 2006 to Thu Dec 31 00:59:59 CET 2020 Serial Number (hex): 3365500879ad73e230b9e01d0d7fac91 Signature Algorithm: SHA1withRSA Key Size: 2048 bits ------------------------- -----BEGIN CERTIFICATE----- MIIERTCCA66gAwIBAgIQM2VQCHmtc+IwueAdDX+skTANBgkqhkiG9w0BAQUFADCB zjELMAkGA1UEBhMCWkExFTATBgNVBAgTDFdlc3Rlcm4gQ2FwZTESMBAGA1UEBxMJ Q2FwZSBUb3duMR0wGwYDVQQKExRUaGF3dGUgQ29uc3VsdGluZyBjYzEoMCYGA1UE CxMfQ2VydGlmaWNhdGlvbiBTZXJ2aWNlcyBEaXZpc2lvbjEhMB8GA1UEAxMYVGhh d3RlIFByZW1pdW0gU2VydmVyIENBMSgwJgYJKoZIhvcNAQkBFhlwcmVtaXVtLXNl cnZlckB0aGF3dGUuY29tMB4XDTA2MTExNzAwMDAwMFoXDTIwMTIzMDIzNTk1OVow gakxCzAJBgNVBAYTAlVTMRUwEwYDVQQKEwx0aGF3dGUsIEluYy4xKDAmBgNVBAsT H0NlcnRpZmljYXRpb24gU2VydmljZXMgRGl2aXNpb24xODA2BgNVBAsTLyhjKSAy MDA2IHRoYXd0ZSwgSW5jLiAtIEZvciBhdXRob3JpemVkIHVzZSBvbmx5MR8wHQYD VQQDExZ0aGF3dGUgUHJpbWFyeSBSb290IENBMIIBIjANBgkqhkiG9w0BAQEFAAOC AQ8AMIIBCgKCAQEArKDw+4BZ1JzHpM+doVlzCRBFDA0sbmjxbFtIaElZN/wLMxnC d3/MEC2VNBzm600JpxzSuMmXNgK3idQkXwbAzESUlI0CYm/rWt0RjSiaXISQEHoN vXRmL2o4oOLVVETrHQefB7pv7un9Tgsp9T6EoAHxnKv4HH6JpOih2HFlDaNRe+68 0iJgDblbnd+6/FFbC6+Ysuku6QToYofeK8jXTsFMZB7dz4dYukpPymgHHRydSsbV L5HMfHFyHMXAZ+sy/cmSXJTahcCbv1N9Kwn0jJ2RH5dqUsveCTakd9h7h1BE1T5u KWn7OUkmHgmlgHtALevoJ4XJ/mH9fuZ8lx3VnQIDAQABo4HCMIG/MA8GA1UdEwEB /wQFMAMBAf8wOwYDVR0gBDQwMjAwBgRVHSAAMCgwJgYIKwYBBQUHAgEWGmh0dHBz Oi8vd3d3LnRoYXd0ZS5jb20vY3BzMA4GA1UdDwEB/wQEAwIBBjAdBgNVHQ4EFgQU e1tFz6/Oy3r9MZIaarbzRutXSFAwQAYDVR0fBDkwNzA1oDOgMYYvaHR0cDovL2Ny bC50aGF3dGUuY29tL1RoYXd0ZVByZW1pdW1TZXJ2ZXJDQS5jcmwwDQYJKoZIhvcN AQEFBQADgYEAhKhMyT4qvJrizI8LsiV3xGGJiWNa1KMVQNT7Xj+0Q+pjFytrmXSe Cajd1FYVLnp5MV9jllMbNNkV6k9tcMq+9oKp7dqFd8x2HGqBCiHYQZl/Xi6Cweiq 95OBBaqStB+3msAHF/XLxrRMDtdW3HEgdDjWdMbWj2uvi42gbCkLYeA= -----END CERTIFICATE-----

 

[swetzlar]

hat noch jemand eine Idee?

 

[Frogman]

Schreib dem Aussteller das mal - die sollten dafür sorgen, dass sie eine saubere Kette hinbekommen (erst Recht, wenn Leute dafür Geld bezahlen), und zwar mit einem Intermediate für ein entsprechendes Root-CA.

 

[swetzlar]

Bei dem Zertifikatsaussteller handelt es sich um Thawte.
Ich glaube nicht, dass so ein globales Unternehmen fehler in der Zertifikatskette macht.
Hier handelt es sich nunmal um eine klare Vorgabe, beide Zwischenzertifikate zu installieren.
So wie es aussieht, ist die Syn einfach nicht in der Lage das zweite Zwischenzertifikat zu importieren. Das scheint wohl nicht vorgesehen zu sein.

 

[Frogman]

Hast Du den verlinkten Artikel oben gelesen? Dort ist ja die Rede davon, dass Thawte offenbar SSL-Zertifikate ausstellt, die nicht zu den bisher offiziellen Root- und Intermediate-ZErtifikaten passen, wie sie in gängigen Betriebssystem- und Browserinstallationen verwendet werden - ein wenig schusselig ist das schon. Auf welche Daten der SSL-Domain-Checker zurückgreift, ist mir auch nicht klar.
Wie auch immer - wenn Du wissen willst, warum der Checker Fehler schmeißt, frag am besten denjenigen, der das Ding anbietet.