Herzblutfolgen

Meine beiden Schuldomains kvfg.net und kvfg.org hatten COMODO Zertifikate, die ich bei PSW aus der Kategorie Lite kaufte und die sich austauschen ließen. Bisher erfolgte die Lieferung derselben zusammen mit allen nötigen Dateien für den Aufbau einer passenden Zertifizierungskette. Dieses mal war dem nicht so.

Ich erhielt von PSW zwar wieder die cert.cabundle Datei – ein Austausch derselben gegen die vorhandene cert.cabundle reichte für Firefox aber nicht aus. Firefox meldete

sec_error_unknown_issuer

Chromium zickte nicht rum, dafür aber auch Rekonq und Konqueror. Nach der Lektüre von gefühlt 100 falschen Anleitungen im Netz und nach etwas herumprobieren, wie ich mir selbst die richtigen Teile einer Zertifizierungskette zusammenkleben könnte, weiß ich nun endlich, wie es geht:

Man besorgt sich hier bei Comodo die nötigen Dateien

  • COMODORSAAddTrustCA.crt
  • COMODORSADomainValidationSecureServerCA.crt
  • ComodoSSL.ca-bundle

und klebt diese mit cat in der folgenden Reihenfolge zusammen:

cat COMODORSAAddTrustCA.crt COMODORSADomainValidationSecureServerCA.crt ComodoSSL.ca-bundle > mydomain.bundle

DIese Bundle Datei kommt zur Direktive SSLCertificateChainFile:

SSLEngine On
SSLCertificateKeyFile /etc/apache2/ssl/mydomain/mydomain.key
SSLCertificateFile /etc/apache2/ssl/mydomain/certificate.crt
SSLCertificateChainFile /etc/apache2/ssl/mydomain/mydomain.bundle

Dann den Apachen neu starten, mit Firefox probieren und zur Sicherheit auch noch hiermit überprüfen: http://www.sslshopper.com/ssl-checker.html

Jetzt fehlt noch der Austausch meiner StartSSL Zertifikate, dann die große Passwortänderungsaktion und das Herzbluten wäre überstanden.