Univention-letsencrypt in pkcs12 umwandeln

german

#1

Hallo Zusammen,

ich betreibe meinen UCS Server hinter einer Sophos UTM Firewall.
Auf dem UCS habe ich mittels letsencrypt ein eigenes Zertifiakt erstellt (wiki.univention.de/index.php?tit … 7s_Encrypt) klappt auch super.

Damit ich den UCS “hinter” die Firewall stellen kann und mittels der Webserver-Protection Funktion absichern kann, muss ich das erstellte Zertifikat (/etc/univention/letsencrypt) in ein pkcs12 Format umwandeln.

Auf einem anderen Ubuntu System habe ich auch mittels letsencrypt ein Zertifikat erstell und die folgenden Dateien erhalten:

[ul]cert.pem
chain.pem
fullchain.pem
privkey.pem[/ul]

Im Netz habe ich ein paar gute Anleitungen gefunden: z.B.: community.letsencrypt.org/t/com … le/21113/2
Damit hat die Umwandlung super funktioniert.

Aber unter univention-letsencrypt erhalte ich die folgenden Dateien

[ul]account.key
domain.key
chained.pem
intermediate.pem
signed.crt[/ul]

Kann mir jemand bei der Zuordnung helfen?
Wo ist der privkey auf dem UCS?

Oder kennt jemand einen anderen Lösungsansatz?

Danke

Frank


UCS Let's Encrypt with Kopano IMAP
#2

Hallo Frank,

Genau, die Umwandlung kann am besten wie im verlinkten Beitrag mit dem CLI-Tool von OpenSSL gemacht werden.

Der Unterschied kommt vermutlich daher, dass unterschiedliche Let’s Encrypt Clients verwendet werden. Da gibt’s ja einen bunten Strauß an verschiedenen Implementierungen.

Ohne jetzt in den Code geschaut zu haben, gehe ich davon aus, dass “domain.key” der Private-Key für das eigentliche Zertifikat ist. Der “account.key” wird afaik verwendet, um eine Art Benutzerkonto bei Let’s Encrypt zu erstellen. Das sieht das verwendete ACME-Protokoll auch so vor:

D.h. es die Zuordnung müsste so aussehen:
[ul]
[li]account.key → Private-Key für das Let’s Encrypt Konto (Account)[/li]
[li]domain.key → Private-Key für das eigentliche SSL/TLS-Zertifikat[/li]
[li]chained.pem → Zertifikatskette (inkl. Root- und Indermediate-Zertifikat)[/li]
[li]intermediate.pem → Das Indermediate-Zertifikat[/li]
[li]signed.crt → Das eigentliche SSL/TLS-Zertifikat[/li][/ul]

Ich habe gerade kein Testsystem zur Hand, aber der OpenSSL-Befehl von oben zur Erstellung einer PKCS12-Datei sollte dann wie folgt aussehen:

openssl pkcs12 -export -out signed.pfx -inkey domain.key -in signed.crt -certfile chained.pem

Schönen Gruß,
Michael Grandjean


#3

Wow - super…

Vielen Dank - klappt perfekt.