Hi,

weiß zufällig jemand, wie das SSL-Zertifikat, welches ich bei Let's Encrypt erstellt habe für den TIdServerIOHandlerSSLOpenSSL nutzbar machen kann?
Von Let's Encrypt habe ich .PFX erhalten.
In TIdServerIOHandlerSSLOpenSSL benötige ich aber .CRT, .KEY und .PEM-File. Kann man .PFX in diese umwandeln, oder sich auf anderem Wege von Let's Encrypt besorgen?

Mir ein Self-Signed-Zertifikat mittels OpenSSL zu erzeugen klappt, aber ich möchte gerne ein offizielles verwenden. (Ich + Zertifikat = Kriegsfuß)

.pfx to .pem openssl
https://blogs.adobe.com/connectsuppo...to-pem-format/
https://www.xolphin.com/support/Cert...le_to_pem_file
https://stackoverflow.com/questions/...-using-openssl
...

Danke.

Jetzt habe ich mit folgenden Befehlen:

markieren

Code:

C:\AppService\cert>openssl pkcs12 -in letsencrypt.pfx -out root.pem -cacerts
Enter Import Password:
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:

C:\AppService\cert>openssl pkcs12 -in letsencrypt.pfx -nocerts -out key.pem
Enter Import Password:
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:

C:\AppService\cert>openssl pkcs12 -in letsencrypt.pfx -clcerts -nokeys -out cert.pem
Enter Import Password:

C:\AppService\cert>openssl rsa -in key.pem -out server.key
Enter pass phrase for key.pem:
writing RSA key

die Dateien:
cert.pem
root.pem
key.pem
erzeugt.

Wenn ich jetzt in Delphi in den SSLOptions als CertFile die cert.pem, als Keyfile die key.pem und als RootCertFile die root.pem verwende bekomme ich folgenden Fehler:

"Exception EIdOSSLLoadingRootCertError in Modul xxxx.exe....
Stammzertifikat konnte nicht geladen werden.
error:0B084002: X509 certificat routines: X509_load_cert_crt_file:system lib."

Hallo,
vielleicht hilft hier was

https://de.switch-case.com/54889766

Nach Stammzert suchen

Danke für den Link.
Leider hilft mir das nicht wirklich. So wie ich den Text verstanden habe, sollte, sofern das Rootzertifikat als File übergeben wird, dieses immer als gültig anerkannt werden. Aber scheinbar wird mein, mit obigem OpennSSL-Befehl extrahiertes, Root-Zertifikat von OpenSSL nicht anerkannt zu werden.
So jedenfalls verstehe ich das mit meinem eingeschränkten SSL-Wissen.

Mache ich da vielleicht beim Extrahieren etwas falsch? Oder kann ich ein anderes Root-Zertifikat verwenden?

Über den Web-Client (https://zerossl.com/) habe ich mir nun ein Let's Encrypt Zertifikat erstellt, und wie man im Screenshot (erster Anhang) sieht, umfasst die Zertifikatskette zwei Zertifikate, ein Intermediate Zertifikat von Let's Encrypt und ein Root-Zertifikat von DST.

Das Intermediate muss man als PEM Datei Indy bekannt machen - das Root-Zertifikat sollte der Browser bereits 'kennen' (es ist mitgeliefert, oder im Betriebssystem installiert).

Aktuelle Intermediate Certificate kann man laut Information auf https://letsencrypt.org/certificates/ downloaden. Für das zuvor bei zerossl erzeugte Zertifikat benötigt man dieses:

https://letsencrypt.org/certs/lets-e...signed.pem.txt (siehe zweites Bild im Anhang)

Dieses Intermediate Certificate ist cross-signiert von IdenTrust. Dadurch sollte es in allen gängigen Browsern akzeptiert werden ("In order to be broadly trusted right away, our intermediate is also cross-signed by another certificate authority, IdenTrust, whose root is already trusted in all major browsers.")

Damit sollte Indy funktionieren:

zusammenfalten · markieren

Delphi-Quellcode:

program IndyHttpsTest;

{$APPTYPE CONSOLE}

uses
  IdSSLOpenSSL,
  IdGlobal, IdHTTPServer,
  SysUtils, Classes, ShellAPI;

procedure Start;
var
  IOHandler: TIdServerIOHandlerSSLOpenSSL;
  Server: TIdHTTPServer;
begin
  // OpenSSL Handler erzeugen
  IOHandler := TIdServerIOHandlerSSLOpenSSL.Create;
  IOHandler.SSLOptions.CertFile := 'cert.pem'; // umbenanntes Domänen-Zertifikat von Let's Encrypt
  IOHandler.SSLOptions.KeyFile := 'key.pem'; // umbenannt, war domain-key.txt (von zerossl)
  IOHandler.SSLOptions.RootCertFile := 'cacert.pem'; // umbenannt, war lets-encrypt-x3-cross-signed.pem.txt
  IOHandler.SSLOptions.Mode := sslmServer;

  Server := TIdHTTPServer.Create;
  try
    Server.DefaultPort := 443;
    Server.IOHandler := IOHandler;
    Server.Active := True;

    // start the server
    WriteLn(Format('Server is listening on port %d', [Server.DefaultPort]));

    // launch browser
    ShellExecute(0, 'open', PChar('https://127.0.0.1'), '', '', 0);

    // terminate
    WriteLn('Hit any key to terminate.');

    ReadLn;
  finally
    Server.Active := False;
    Server.Free;
  end;
end;

begin
  try
    Start;
  except
    on E:Exception do
      Writeln(E.Classname, ': ', E.Message);
  end;
end.

Wenn man diese Anwendung startet, sollte sich der Standardbrowser öffnen und eine Warnung anzeigen. Da mein Beispiel-Zertifikat auf die Domäne "habarisoft.com" ausgestellt wird, und nicht für "127.0.0.1".

Chrome zeigt dann eine Warnung an (siehe Anlage 3):

Zitat:

This server could not prove that it is 127.0.0.1; its security certificate is from habarisoft.com. This may be caused by a misconfiguration or an attacker intercepting your connection.

In Chrome kann man sich das Zertifikat anzeigen lassen (Klicken auf das Warndreieck links vor dem Adress-Eingabefeld). Das Zertifikat und seine certificate chain sind gültig (Anlage 4 und 5). Nach diesem Test könnte man die drei Dateien nun auf den Produktivserver hochladen und dort im Webserver installieren.

Zitat von Hobbycoder:

"Exception EIdOSSLLoadingRootCertError in Modul xxxx.exe....
Stammzertifikat konnte nicht geladen werden.
error:0B084002: X509 certificat routines: X509_load_cert_crt_file:system lib."

Das deutet auf eine nicht gefundene Zertifikatsdatei hin. (gefunden in https://forums.embarcadero.com/messa...=873928#873928)

Werden die Dateinamen relativ angegeben, kann es sein, dass zur Laufzeit das Arbeitsverzeichnis nicht das Verzeichnis in dem die ausführbare Datei liegt ist. Lösung: absolute Pfade verwenden und prüfen (FileExists) ob die Dateien am gesuchten Ort existieren.

Zitat von mjustin:

Das deutet auf eine nicht gefundene Zertifikatsdatei hin.

Danke für den Hinweis. Zwar habe ich die Existenz schon per Fileexists geprüft, aber dummerweise habe ich meinen IdHttpServer noch vor der Zuweisung connected, was natürlich dazu geführt hat, dass die per OI gesetzten Pfade noch drin standen

Was jetzt aber leider zu einem anderen Fehler führt:
"EIdOSSLLoadingCertError…..Zertifikat konnte nicht geladen werden. error:140DC002:SSL routines:SSL_CTX_use_certificate_chain_file:system lib."

Als Root-Zertifikat verwende ich das

Zitat von mjustin:

https://letsencrypt.org/certs/lets-e...signed.pem.txt (siehe zweites Bild im Anhang)

Als Zertifikat und Key-File die mittels openSSL aus dem PFX extrahierten Dateien.
Aber scheinbar scheint es noch Probleme in der certificate-chain zu geben.

Zitat von Hobbycoder:

Als Zertifikat und Key-File die mittels openSSL aus dem PFX extrahierten Dateien.
Aber scheinbar scheint es noch Probleme in der certificate-chain zu geben.

Sieht das Zertifikat und seine Chain denn gut aus, wenn man es in cert.crt umbenennt und das dann öffnet?