Apache + SSL: Zertifikat in IE und FF fehlerhaft

[dtdesign]

Hallo,

ich hatte mittels OpenSSL ein SSL-Zertifikat für meinen Server (https://secure.argoedv.de) erzeugt, inklusive Root-CA-Zertifikat. Anschließend habe ich dies mittels Opera getestet und später eine erstaunliche Entdeckung gemacht.

Trotz angeblich erfolgreicher Generierung und Zertifizierung des Serverzertifikats durch die eigene Root-CA, zeigt nur Opera die hinterlegten Seiten an und befindet das Zertifikat als gültig.

Firefox v2.0.0.2 zeigt jeglich einen Zertifikatsfehler an (ungültige Signatur), während der Internet Explorer 7 (Windows XP SP2) nur eine nichtssagende Fehlermeldung ausspuckt, die keinen Hinweis auf mögliche Fehler anzeigt. Anbei die Ausgabe durch 'openssl s_client' von einem lokalen Debian Sarge 3.1 System.

Ich bin für jede Hilfe dankbar ;)

Mit freundlichen Grüßen
Alex aka. dtdesign

Edit: Wie untenstehend zu sehen, kommen offensichtlich mehrere Fehler, aus denen ich trotz intensiver Google-Recherche nicht schlau wurde...

--- 'openssl s_client -showcerts -connect secure.argoedv.de:443' ---

Code: Select all

alex@argo-srv-01:~$ openssl s_client -showcerts -connect secure.argoedv.de:443  CONNECTED(00000003)
depth=0 /C=DE/ST=NRW/L=Duesseldorf/O=ARGO EDV-Beratung GmbH/OU=Certificate Authority/CN=secure.argoedv.de/emailAddress=sysadmin@argoedv.de
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 /C=DE/ST=NRW/L=Duesseldorf/O=ARGO EDV-Beratung GmbH/OU=Certificate Authority/CN=secure.argoedv.de/emailAddress=sysadmin@argoedv.de
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
 0 s:/C=DE/ST=NRW/L=Duesseldorf/O=ARGO EDV-Beratung GmbH/OU=Certificate Authority/CN=secure.argoedv.de/emailAddress=sysadmin@argoedv.de
   i:/C=DE/ST=NRW/L=Duesseldorf/O=ARGO EDV-Beratung GmbH/OU=Certificate Authority/CN=secure.argoedv.de/emailAddress=sysadmin@argoedv.de
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
---
Server certificate
subject=/C=DE/ST=NRW/L=Duesseldorf/O=ARGO EDV-Beratung GmbH/OU=Certificate Authority/CN=secure.argoedv.de/emailAddress=sysadmin@argoedv.de
issuer=/C=DE/ST=NRW/L=Duesseldorf/O=ARGO EDV-Beratung GmbH/OU=Certificate Authority/CN=secure.argoedv.de/emailAddress=sysadmin@argoedv.de
---
No client certificate CA names sent
---
SSL handshake has read 1775 bytes and written 340 bytes
---
New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
Server public key is 2048 bit
SSL-Session:
    Protocol  : TLSv1
    Cipher    : DHE-RSA-AES256-SHA
    Session-ID: 26DD24B48F97A4658493C5E67013C340B9D5E2AEBF156BE10A8B64B1A829B0D5
    Session-ID-ctx:
    Master-Key: 1BDD86DD2ADCD5ED4E48452652B4E5D8AFC31352D74B062A5B95B9ADEA5D0C13D99E807F217131E260F35584B2637904
    Key-Arg   : None
    Start Time: 1173604963
    Timeout   : 300 (sec)
    Verify return code: 21 (unable to verify the first certificate)
---

[dtdesign]

Gibt es jemanden, der auch nur den Hauch einer Idee hat, momentan bin ich ziemlich ratslos und habe bereits alles was ich gefunden habe ausprobiert. Für einen Denkanstoss oder Vermutungen wäre ich euch sehr verbunden ;)

Mit freundlichen Grüßen
Alex aka. dtdesign

[rootsvr]

Ein kurzer Tip wie Du dein Zertifikat erzeugt hast wäre toll..

Ich hatte zumindest in der Vergangenheit nie Probleme (sofern das Zertifikat dann installiert/angenommen wurde), wenn ich die Daten per:
openssl req -new -x509 -keyout server.pem -out server.pem -days 3650 -nodes

Und dann entsprechend einbauen.. Ich bin allerdings nicht sich ob Du das Root Certifikat nicht im IE/FF importieren mußt.

[dtdesign]

Öhm, soweit ich mich entsinnen kann, hab ich genau diesen Befehl verwendet, allerdings ohne '-nodes'... das Root-CA muss ich nur importieren, damit der als vertrauenswürdig anerkannt wird oder? Ich meine, das ging vorher auch ;)

Gruß
Alex