OS X Server Domain / Root Zertifikat

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • OS X Server Domain / Root Zertifikat

    Hallo zusammen,

    ich suche gerade nach einem günstigen Root Zertifikat für meinen OS X Server. Bei meiner Suche bin ich auf RapidSSL aufmerksam geworden.

    Hat jemand Erfahrung mit RapidSSL? Die Kosten für ein Domain validiertes Zertifikat belaufen sich dort auf (ab) 1,39€ pro Monat.

  • Ein root-cert kannst du dir selbst erstellen, signieren wird dir das aber niemand.

    Wenn du ein cert für eine domain willst, dann verwende LetsEncrypt wenn das auto-renew für dich ok ist, ansonsten gibt es den manuellen weg dass du jedes jahr das cert renewest und manuell installierst. Certs gibts inzwischen vierlorts bei domains kostenlos dazu (zb bei InternetX: internetx.com/internetx/presse…der-domain-bei-internetx/ )

  • Ich hatte noch kein Zertifikat von RapidSSL. Aber welche Erfahrungen soll man mit einer CA haben? Ich weiss, dass es RapidSSL schon recht lange am Markt gibt, und dass die ein paar Mal den Eigentümer gewechselt haben. Bei dem Preis würde ich mal keinen Support erwarten, es sei denn Du kaufst das über einen Wiederverkäufer. Das Prinzip ist aber bei allen Anbietern das gleiche. Insbesondere bei Klasse-1-Zertifikaten. Du schickst einen CSR für deinen Schlüssel hin und bekommst ein Cert zurück. Fertig.

    Wichtig ist, dass deren Root- und ggfs. Intermediate-Certs in den Clients, die Du bedienen möchtest, installiert sind. Das kannst Du vorab selbst prüfen, denn fast alle seriösen Anbieter bieten hierfür Testzertifikate mit ca. 30-Tage Gültigkeit. Probiere es damit aus.

    P.S.: Wie gritsch anmerkte, stellt keiner Root-Certs aus. Dafür müsstest Du ja selbst eine Zertifizierungsstelle sein. ^^
    * Kann Spuren von Erdnüssen enthalten.

    Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von NSObject ()

  • Für was brauchst Du das "Root Zertifikat" bzw. ein Zertifikat? - Ist das nur für Testzwecke oder weil dein OS X Server ins Internet und Webseiten hosten soll oder für andere Services, die im Internet oder nur im lokalen Netzwerk erreichbar sein sollen? - Unter Umständen brauchst Du kein Zertifikat von einer CA.

  • NSObject schrieb:

    Ich hatte noch kein Zertifikat von RapidSSL. Aber welche Erfahrungen soll man mit einer CA haben? Ich weiss, dass es RapidSSL schon recht lange am Markt gibt, und dass die ein paar Mal den Eigentümer gewechselt haben. Bei dem Preis würde ich mal keinen Support erwarten, es sei denn Du kaufst das über einen Wiederverkäufer. Das Prinzip ist aber bei allen Anbietern das gleiche. Insbesondere bei Klasse-1-Zertifikaten. Du schickst einen CSR für deinen Schlüssel hin und bekommst ein Cert zurück. Fertig.

    Wichtig ist, dass deren Root- und ggfs. Intermediate-Certs in den Clients, die Du bedienen möchtest, installiert sind. Das kannst Du vorab selbst prüfen, denn fast alle seriösen Anbieter bieten hierfür Testzertifikate mit ca. 30-Tage Gültigkeit. Probiere es damit aus.

    P.S.: Wie gritsch anmerkte, stellt keiner Root-Certs aus. Dafür müsstest Du ja selbst eine Zertifizierungsstelle sein. ^^
    Danke. Habe zu diesem Thema nun fast alles gelesen und mich daraufhin für Letsencrypt entschieden.

    Bei Installation taucht nun aber ein Problem auf. Hat wohl etwas mit der Reihenfolge der vorhanden Zertifikate zu tun.

    Nachdem ich den Befehl zur Zertifikatserstellung im Terminal (certbot --apache certonly) bestätigt habe, erhalte ich hinsichtlich der Validierung folgenden Hinweis:



    certbot --apache certonly schrieb:

    ""IMPORTANT NOTES:

    - The following errors were reported by the server:
    Domain: DOMAINNAME
    Type: unauthorized
    Detail: Incorrect validation certificate for TLS-SNI-01 challenge.
    Requested
    .......de99.acme.invalid
    from IP-ADRESSE:443. Received 4 certificate(s), first
    certificate had names "DOMAINNAME"
    To fix these errors, please make sure that your domain name was
    entered correctly and the DNS A record(s) for that domain
    contain(s) the right IP address.""

    DNS wird richtig aufgelöst. Dies habe ich bereits überprüft.

    Kann mir jemand mitteilen wie ich die Zertifikatsreihenfolge ändern bzw. diese Problem lösen kann?

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von NSObject ()

  • Woher kommt der zitierte Hinweis?
    Hast Du die Zertifikatskette geprüft?
    Wie kommst Du anhand dieses Hinweises darauf, dass die Reihenfolge falsch sein könnte?

    Die Zertifikatsreihenfolge kannst Du im Texteditor ändern.
    * Kann Spuren von Erdnüssen enthalten.

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von NSObject ()

  • NSObject schrieb:

    Woher kommt der zitierte Hinweis?
    Hast Du die Zertifikatskette geprüft?
    Wie kommst Du anhand dieses Hinweises darauf, dass die Reihenfolge falsch sein könnte?

    Die Zertifikatsreihenfolge kannst Du im Texteditor ändern.
    wie bereits zuvor mitgeteilt - nach Eingabe des Befehls: cerbot --apache certonly

    Würdest Du mir bitte noch die Datei nennen die ich hierzu via Texteditor anpassen müsste. Vielen Dank.

  • NSObject schrieb:

    OSXDev schrieb:

    wie bereits zuvor mitgeteilt - nach Eingabe des Befehls: cerbot --apache certonly
    Die Fehlermeldung sagt mMn. was anderes.

    OSXDev schrieb:

    Würdest Du mir bitte noch die Datei nennen die ich hierzu via Texteditor anpassen müsste. Vielen Dank.
    Die Datei mit den Zertifikaten.
    Analyse-Webseiten bestätigen, dass die Reihenfolge nicht stimmt. Ist mein nächster Anhaltspunkt welchen ich ausprobiere, sollte dies auch nicht helfen - geht es weiter mit der Suche.

  • gritsch schrieb:

    Die fehlermeldung lautet doch:

    Incorrect validation certificate for TLS-SNI-01 challenge.
    Requested
    Wenn du nicht alles so geheim halten würdest und einfach die hostnames, IPadressen etc dabei stehen lassen würdest, könnte man dir vielleicht besser helfen.
    Da könntest Du wohl richtig liegen. Aber mir ist es wichtig, selbst laufen zu lernen. ^^ Bin ja sehr dankbar für die Unterstützung. Wenn mir jedoch jemand gleich die Lösung nennt - da kenne ich mich zu gut - diese würde ich übernehmen und vergessen. 8)

  • OSXDev schrieb:

    Da könntest Du wohl richtig liegen. Aber mir ist es wichtig, selbst laufen zu lernen. ^^ Bin ja sehr dankbar für die Unterstützung. Wenn mir jedoch jemand gleich die Lösung nennt - da kenne ich mich zu gut - diese würde ich übernehmen und vergessen. 8)
    Der Vorsatz etwas lernen zu wollen ist prinzipiell gut und unterstützenswert.

    Aber wenn Du die Informationen die zur Ermittlung der Ursache nötig sind verheimlichst oder nur unvollständig veröffentlichst, kann man Dir nicht helfen. Und folglich kannst Du daraus auch nichts lernen.
    * Kann Spuren von Erdnüssen enthalten.

  • gritsch schrieb:

    wir können hier aber nur im halbdunkeln stochern.
    wir sehen viele fehler nicht die wir erkennen könnten wenn wir konkrete daten hätten.
    ist alles viel mühseliger so - und vielleicht auch nicht zielführend.
    Je mehr Informationen desto besser lässt sich die Fehlerquelle lokalisieren. Dem stimme ich zu. Bzgl. zielführend - muss dies jeder für sich beantworten und für mich ist es definitiv so, da der Umfang des Sachgebietes umrissen wird und mir so das "große Ganze" offenbart wird.

  • NSObject schrieb:

    OSXDev schrieb:

    Da könntest Du wohl richtig liegen. Aber mir ist es wichtig, selbst laufen zu lernen. ^^ Bin ja sehr dankbar für die Unterstützung. Wenn mir jedoch jemand gleich die Lösung nennt - da kenne ich mich zu gut - diese würde ich übernehmen und vergessen. 8)
    Der Vorsatz etwas lernen zu wollen ist prinzipiell gut und unterstützenswert.
    Aber wenn Du die Informationen die zur Ermittlung der Ursache nötig sind verheimlichst oder nur unvollständig veröffentlichst, kann man Dir nicht helfen. Und folglich kannst Du daraus auch nichts lernen.
    Dies möchte ich eigentlich nicht kommentieren. Da Du mich aber persönlich ansprichst und Du mich wohl m.V. sehr gut kennen musst - sonst würdest Du Dir nicht anmassen ein Fazit hinsichtlich meiner Lernfähigkeit kund zu tun - möchte ich Dich ganz höflich bitten zukünftig nicht mehr auf meine Fragen einzugehen, wenn Dir die Informationen nicht ausreichen. Vielen DANK.

    Es sollte doch wohl eine Selbstverständlichkeit sein und dies unausgesprochen Gültigkeit besitzen - gerade in Foren - niemanden "anzugreifen" nur weil ihm die Art und Weise der Informationsgewinnung nicht entgegenkommt. Sorry so etwas finde ich völlig deplatziert und ist auch nicht zielführend.

  • OSXDev schrieb:

    Es sollte doch wohl eine Selbstverständlichkeit sein und dies unausgesprochen Gültigkeit besitzen - gerade in Foren - niemanden "anzugreifen" nur weil ihm die Art und Weise der Informationsgewinnung nicht entgegenkommt. Sorry so etwas finde ich völlig deplatziert und ist auch nicht zielführend.
    Vielleicht tappst Du hier nur in die Falle des Mediums "Web-Forum": Ich zumindest kann in @NSObject's Beitrag keinen Angriff erkennen, nicht einmal einen verdeckten. Die Sache ist doch nur die, dass durch Weglassen wichtiger Informationen die Hilfestellung durch Forumsteilnehmer schwer fällt. Somit sind Hinweise weniger aussagekräftig und somit für den Fragenden wenig lehrreich. QED.

    Ich finde es toll, dass sich hier Leute immer wieder mit den Problemen anderer auseinander setzen und zu helfen versuchen. Die ein oder andere kritische Nachfrage oder Bemerkung sollte dabei erlaubt sein.

    Locker bleiben, Mattes :)
    Diese Seite bleibt aus technischen Gründen unbedruckt.