Update SSL

[Peter Hoffmann]

Hallo an alle,

aufgeweckt durch den Thread "Abruf Yahoo E-Mails" ist mir eingefallen,
dass auch ich hier Bedarf habe.

Bisher läuft mein Hamster ohne Probleme mit der Version 0.98cz von
OpenSSL. Hamster Version ist 2.1.0.1538.

{421c} Initialisiere OpenSSL-Kryptographie-DLLs ...
{421c} OpenSSL: DLL does not support TLS1.1. TLS1.1 disabled.
{421c} OpenSSL: DLL does not support TLS1.2. TLS1.2 disabled
{421c} OpenSSL| OpenSSL 0.9.8zc 15 Oct 2014 (009081CF)
{421c} OpenSSL| built on: Wed Oct 15 14:33:52 2014 / platform: VC-WIN32
/ bug workaround options: before DLL-version 1.0.1 / compression: not
supported
{421c} Lese 256 Zufallswerte von C:\PGM\Hamster\RandSeed.!!!
{421c} Pseudo-Zufallszahlengenerator erfolgreich gestartet
{421c} OpenSSL-Kryptographie-DLLs erfolgreich initialisiert

Nun habe ich die dlls aktualisiert und prompt läuft mein Hamster nicht
mehr.

{c5c} Initialisiere OpenSSL-Kryptographie-DLLs ...
{c5c} OpenSSL: TLS1.1 enabled
{c5c} OpenSSL: TLS1.2 enabled
{c5c} OpenSSL| OpenSSL 1.0.2u 20 Dec 2019 (1000215F)
{c5c} OpenSSL| built on: reproducible build, date unspecified / VC-WIN32
/ bug workaround options: DLL-version 1.0.1b and later / compression:
not supported
{c5c} Lese 256 Zufallswerte von C:\PGM\Hamster\RandSeed.!!!
{c5c} Pseudo-Zufallszahlengenerator erfolgreich gestartet
{c5c} OpenSSL-Kryptographie-DLLs erfolgreich initialisiert

...

{256c} {fetchmail pop3.web.de/XXX,$3} Start
{256c} {fetchmail pop3.web.de/XXX,$3} Verbindung aufbauen...
{256c} TClientSocketPOP3.OnLookup vom Hamster nach pop3.web.de:995 über
pop3.web.de:995
{256c} TClientSocketPOP3.OnConnecting vom Hamster nach pop3.web.de:995
über pop3.web.de:995
{256c} TClientSocketPOP3.OnConnect vom Hamster nach pop3.web.de:995 über
pop3.web.de:995
{256c} TSSLContext.Create SSL_CTX_set_session_id_context Context:
000E8FE8 ID:<rd7sdo.9bc.2@xxx
{256c} Verify error: unable to get local issuer certificate depth=1
/C=DE/O=T-Systems International GmbH/OU=T-Systems Trust
Center/ST=Nordrhein Westfalen/postalCode=57250/L=Netphen/street=Untere
Industriestr. 20/CN=TeleSec ServerPass Extended Validation Class 3 CA
{256c} TSSLConnection.Connect verifyResult = 20
------------------------
{256c} OpenSSL error: SSL_connect: error:14090086:SSL
routines:ssl3_get_server_certificate:certificate verify failed
------------------------
{256c} SSL connection failed
{256c} Fehler beim Verbinden mit pop3.web.de:
{256c} Exception[Exception] Error starting SSL
{256c} Verbindungsversuch mit pop3.web.de gescheitert!
{256c} {fetchmail pop3.web.de/xxx,$3} Connecting Error: State in
[csERROR, csDISCONNECTED]
{256c} {fetchmail pop3.web.de/xxx,$3} Ende

Mir ist irgedwie ganz dunkel in Erinnerung dass beim Wechsel von
Versionen unter 1.x von OpenSSL alle Zertifikate neu erstellt werden
müssen. Liege ich da richtig? Oder habe ich etwas anderes "verbaselt"?

Falls ich die Zertifikat neu erstellen muss, habt ihr einen Tipp, wie
ich das automatisieren kann? derzeit mache ich das alles von Hand nach
einer (ur)alten pdf-Datei.

Vielen Dank für jede Hilfe.

Peter

[Heiko Rost]

Peter Hoffmann schrieb:

> Mir ist irgedwie ganz dunkel in Erinnerung dass beim Wechsel von
> Versionen unter 1.x von OpenSSL alle Zertifikate neu erstellt werden
> müssen. Liege ich da richtig? Oder habe ich etwas anderes "verbaselt"?

Wahrscheinlich hast Du alle Zertifikate in einem eigenen
Unterverzeichnis, jeweils für jedes Zertifikat eine Datei mit einem
"seltsamen" Namen. Falls ja, ist das Problem der Dateiname, der aus dem
Inhalt des Zertifikates errechnet wird, und die Berechnung erfolgt ab
OpenSSL 1.x nach einem neuen Schema.

Die gute Nachricht: Es gibt im Quelltext von OpenSSL das Script
c_rehash, das die Umwandlung der Dateinamen durchführt.

Die schlechte Nachricht: Das ist ein Perlscript. Falls Du kein Perl
installiert hast, könntest Du von <https://www.activestate.com/>
ActivePerl installieren. Das Script sollte auch unter Windows lauffähig
sein (es ist entgegen der Dokumentation nicht auf symlinks angewiesen),
falls aber etwas nicht funktioniert, ist die Fehlersuche für einen
unerfahrenen Nutzer eher schwierig.

Eine andere Lösung, automatisch die Dateien umzubenennen, habe ich nicht
gefunden.

> Falls ich die Zertifikat neu erstellen muss, habt ihr einen Tipp, wie
> ich das automatisieren kann? derzeit mache ich das alles von Hand nach
> einer (ur)alten pdf-Datei.

Eine Automatik kann ich nicht vorschlagen, mein Umgang mit Zertifikaten
ist anders: Ich habe alle nötigen Zertifikate in einer einzigen
*.pem-Datei, die zu Beginn erst einmal leer war. Sollte der Hamster dann
bei irgendeinem Server ein fehlendes Stammzertifikat melden, suche ich
dieses auf der Webseite des Ausstellers (oder, falls der das zu gut
versteckt hat, exportiere es aus Firefox) und trage es dann manuell in
die Zertifikatsdatei ein. Das macht anfangs etwas Arbeit, später muß man
nur noch Hand anlegen, wenn der Serverbetreiber eine andere Root-CA
benutzt oder das Zertifikat abgelaufen ist.

Die Struktur der Datei ist relativ einfach:

-----BEGIN RSA PRIVATE KEY-----
Falls Dein Hamster eine eigenes Zertifikat hat, kommt das hier hinein
-----END RSA PRIVATE KEY-----
Issuer: C=DE, O=Deutsche Telekom AG, OU=T-TeleSec Trust Center, CN=Deutsche Telekom Root CA 2
Subject: C=DE, O=Deutsche Telekom AG, OU=T-TeleSec Trust Center, CN=Deutsche Telekom Root CA 2
Date: Jul 9 12:11:00 1999 GMT - Jul 9 23:59:00 2019 GMT
-----BEGIN CERTIFICATE-----
MIIDnzCCAoegAwIBAgIBJjANBgkqhkiG9w0BAQUFADBxMQswCQYDVQQGEwJERTEc
...
Cm26OWMohpLzGITY+9HPBVZkVw==
-----END CERTIFICATE-----
Issuer: O=Root CA, OU=http://www.cacert.org, CN=CA Cert Signing Authority, emailAddress=sup...@cacert.org
Subject: O=Root CA, OU=http://www.cacert.org, CN=CA Cert Signing Authority, emailAddress=sup...@cacert.org
Date: Mar 30 12:29:49 2003 GMT - Mar 29 12:29:49 2033 GMT
-----BEGIN CERTIFICATE-----
MIIHPTCCBSWgAwIBAgIBADANBgkqhkiG9w0BAQQFADB5MRAwDgYDVQQKEwdSb290
...
omTxJBzcoTWcFbLUvFUufQb1nA5V9FrWk9p2rSVzTMVD
-----END CERTIFICATE-----

Issuer: O=Digital Signature Trust Co., CN=DST Root CA X3
Subject: O=Digital Signature Trust Co., CN=DST Root CA X3
Date: Sep 30 21:12:19 2000 GMT - Sep 30 14:01:15 2021 GMT
-----BEGIN CERTIFICATE-----
MIIDSjCCAjKgAwIBAgIQRK+wgNajJ7qJMDmGLvhAazANBgkqhkiG9w0BAQUFADA/
...
Ob8VZRzI9neWagqNdwvYkQsEjgfbKbYK7p2CNTUQ
-----END CERTIFICATE-----
usw.

Wobei die Kommentare allerdings automatisch mit einem Perlskript
erstellt sind. Und da fällt mir gerade auf, daß mindestens ein
Zertifikat abgelaufen ist, muß ich gleich mal aufräumen.

Gruß Heiko
--
So mancher meint, ein gutes Herz zu haben, und hat nur schwache Nerven.
Marie Freifrau von Ebner-Eschenbach

[Peter Hoffmann]

Heiko Rost schrieb:

> Wahrscheinlich hast Du alle Zertifikate in einem eigenen
> Unterverzeichnis, jeweils für jedes Zertifikat eine Datei mit einem
> "seltsamen" Namen. Falls ja, ist das Problem der Dateiname, der aus dem
> Inhalt des Zertifikates errechnet wird, und die Berechnung erfolgt ab
> OpenSSL 1.x nach einem neuen Schema.

Richtig, das ist so.

> Die gute Nachricht: Es gibt im Quelltext von OpenSSL das Script
> c_rehash, das die Umwandlung der Dateinamen durchführt.
>
> Die schlechte Nachricht: Das ist ein Perlscript. Falls Du kein Perl
> installiert hast, könntest Du von <https://www.activestate.com/>
> ActivePerl installieren. Das Script sollte auch unter Windows lauffähig
> sein (es ist entgegen der Dokumentation nicht auf symlinks angewiesen),
> falls aber etwas nicht funktioniert, ist die Fehlersuche für einen
> unerfahrenen Nutzer eher schwierig.

Ich habe hier einen Rechner mit Linux Mint, falls noch nicht
installiert, kann ich das nachholen und dann dort laufen lassen. In
grauer Vorzeit habe ich auch mal ein bisschen mit perl experimentiert.
Werde ich schon hinkriegen.

> Eine andere Lösung, automatisch die Dateien umzubenennen, habe ich nicht
> gefunden.

Ist auch kein Beinbruch, nach einer Weile geht das mit den
Einzelaufrufen von OpenSSL einigermaßen von der Hand.

Wenn ich das richtig verstehe, sind die Zeilen Issuer, Subject und Date
aus der Datei, die bei mir zum Beispiel 0ed8c952.txt heißt und diese
Zeilen lässt du automatisch erstellen/extrahieren. Das zwischen BEGIN
und END CERTIFICATE habe ich in der Datei 0ed8c952.0. Ist das soweit
korrekt?

Wie machst du das mit der Pflege dieser PEM-Datei? Der häufigste Grund
einer Änderung bei mir war der Ablauf eines Zertifikates und dann geht
die Sucherei los...

Viele Grüße

Peter

[Heiko Rost]

Peter Hoffmann schrieb:

> Wenn ich das richtig verstehe, sind die Zeilen Issuer, Subject und Date
> aus der Datei, die bei mir zum Beispiel 0ed8c952.txt heißt und diese
> Zeilen lässt du automatisch erstellen/extrahieren. Das zwischen BEGIN
> und END CERTIFICATE habe ich in der Datei 0ed8c952.0. Ist das soweit
> korrekt?

Korrekt. Für OpenSSL wichtig ist die 0ed8c952.0, die zugehörige
Textdatei 0ed8c952.txt ist der Klartext für den Nutzer, damit dieser
einen besseren Überblick hat. Wobei das pem-Format so flexibel ist, daß
außerhalb der BEGIN - END - Blöcke noch beliebiger Text stehen kann. Das
Skript liest die einzelnen Zertifikatsblöcke ein, extrahiert die
entsprechenden Informationen (dafür gibt es in CPAN ein passenden Modul)
und schreibt sie vor den Block.

Selber benutze ich das nur mit einer einzigen Datei für alle
Zertifikate. IIRC hatte ich das auch mit Einzeldateien probiert, und
dort funktionierte diese Art der Kommentierung auch.

> Wie machst du das mit der Pflege dieser PEM-Datei? Der häufigste Grund
> einer Änderung bei mir war der Ablauf eines Zertifikates und dann geht
> die Sucherei los...

Wie bereits geschrieben, auf der Seite der Root-CA suchen oder aus dem
Firefox exportieren. Du könntest auch eine Seite wie
<https://wiki.mozilla.org/CA/Included_Certificates> nutzen, um gleich
alle Zertifikate zu bekommen (die CSV with PEM benötigt nur wenig
Nacharbeit), den Weg habe ich selber aber noch nie ausprobiert.

[Alfred Peters]

Es schrieb einmal Peter Hoffmann:

> Heiko Rost schrieb:
>
>> Wahrscheinlich hast Du alle Zertifikate in einem eigenen
>> Unterverzeichnis, jeweils für jedes Zertifikat eine Datei mit einem
>> "seltsamen" Namen. Falls ja, ist das Problem der Dateiname, der aus dem
>> Inhalt des Zertifikates errechnet wird, und die Berechnung erfolgt ab
>> OpenSSL 1.x nach einem neuen Schema.
>
> Richtig, das ist so.

Nun, die /seltsamen Namen/ hast du vermutlich mit dem Hamster-Skript
SSL-Cert-Hash anlegen lassen. Das Verzeichnis leeren, und das Skript mit
der aktuellen OpenSSL.exe wieder laufen lassen.

Alfred
--
20490.1

[Heiko Rost]

Alfred Peters schrieb:

> Es schrieb einmal Peter Hoffmann:
>> Heiko Rost schrieb:
>>
>>> Wahrscheinlich hast Du alle Zertifikate in einem eigenen
>>> Unterverzeichnis, jeweils für jedes Zertifikat eine Datei mit einem
>>> "seltsamen" Namen. Falls ja, ist das Problem der Dateiname, der aus dem
>>> Inhalt des Zertifikates errechnet wird, und die Berechnung erfolgt ab
>>> OpenSSL 1.x nach einem neuen Schema.
>>
>> Richtig, das ist so.
>
> Nun, die /seltsamen Namen/ hast du vermutlich mit dem Hamster-Skript
> SSL-Cert-Hash anlegen lassen.

Stimmt, da gab es mal was. Mit dem Namen läßt es sich sogar noch im
Webarchiv finden:

<https://web.archive.org/web/20070608214504if_/http://sites.inka.de:80/ximera/hamster/SSL-Cert-Hash.hsc>

> Das Verzeichnis leeren, und das Skript mit
> der aktuellen OpenSSL.exe wieder laufen lassen.

Das Verzeichnis einfach leeren ist nicht unbedingt empfehlenswert. Das
Skript braucht noch ein Verzeichnis, aus dem die Zertifikate importiert
werden können. Meine certificates.pem hat das Skript in einzelne Dateien
gesplittet, so daß man wahrscheinlich auch die alten Zertifikate in das
Importverzeichnis verschieben und diese als Quelle für die neuen Dateien
benutzen kann.

Einziger Schönheitsfehler bisher ist, daß die *.txt-Dateien komplett
leer sind.

Gruß Heiko
--
Es gibt ein Auge der Seele, mit ihm allein kann man die Wahrheit sehen.
Platon

[Heiko Rost]

Heiko "Ingrid" Rost schrieb:

> Einziger Schönheitsfehler bisher ist, daß die *.txt-Dateien komplett
> leer sind.

Soweit ich die Dokumentation der 0.9.6c verstehe, schreibt die Option
"-out" die gesamte Ausgabe in die Datei, während 1.x nur noch das
Zertifikat schreibt. Deshalb als Lösungsansatz den Befehl aus dem
Originalskript

execute( $OpenSSL + " x509 -text -in Cert.tmp -noout -out Text.tmp",_
$Import_Dir, 2, True, $ExitCode )

ändern in

execute( $Shell + " /C " + $OpenSSL + " x509 -text -in Cert.tmp -noout >Text.tmp",_
$Import_Dir, 2, True, $ExitCode )

Gruß Heiko
--
Wo ein Wille ist, ist auch ein Weg.
Sprichwort

[Peter Hoffmann]

Heiko Rost schrieb:

>> Wie machst du das mit der Pflege dieser PEM-Datei? Der häufigste Grund
>> einer Änderung bei mir war der Ablauf eines Zertifikates und dann geht
>> die Sucherei los...
>
> Wie bereits geschrieben, auf der Seite der Root-CA suchen oder aus dem
> Firefox exportieren. Du könntest auch eine Seite wie
> <https://wiki.mozilla.org/CA/Included_Certificates> nutzen, um gleich
> alle Zertifikate zu bekommen (die CSV with PEM benötigt nur wenig
> Nacharbeit), den Weg habe ich selber aber noch nie ausprobiert.

OK, da habe ich mich ungenau ausgedrückt. Nehmen wir mal an, die
Gültigkeit eines Zertifikates ist abgelaufen. Dann holst du dir das Neue
und pflegst das händisch in deine PEM-Datei ein? Du änderst das
Gültigkeitsdatum und ersetzt den BEGIN-/END-Block? Oder geht das auch
per Script indem du "einfach" die gesamte PEM-Datei neu erstellst?

Viele Grüße

Peter

[Peter Hoffmann]

Alfred Peters schrieb:

> Nun, die /seltsamen Namen/ hast du vermutlich mit dem Hamster-Skript
> SSL-Cert-Hash anlegen lassen. Das Verzeichnis leeren, und das Skript mit
> der aktuellen OpenSSL.exe wieder laufen lassen.

Nee, viel schlimmer :-) Ich mache das per Hand in einer
Eingabeaufforderung nach Anleitung von
http://www.remo-web.de/tricks/s38.htm anno 2005/2006 von Remo Müller,
die es mittlerweile nicht mehr gibt.

Aber ich werde dem Script mal eine Chance geben.

Viele Grüße

Peter

[Heiko Rost]

Peter Hoffmann schrieb:

> OK, da habe ich mich ungenau ausgedrückt. Nehmen wir mal an, die
> Gültigkeit eines Zertifikates ist abgelaufen. Dann holst du dir das Neue
> und pflegst das händisch in deine PEM-Datei ein? Du änderst das
> Gültigkeitsdatum und ersetzt den BEGIN-/END-Block? Oder geht das auch
> per Script indem du "einfach" die gesamte PEM-Datei neu erstellst?

Das neue Zertifikat (also einschließlich des BEGIN - END) wird an das
Ende meiner bestehenden certificate.pem angefügt und dann das
Kommentierskript ausgeführt, das die gesamte Datei abarbeitet. Die
aktuelle Version des Skriptes testet auch gleich noch, ob dabei
abgelaufene gefunden wurden und schreibt dann einen entsprechenden
Hinweis mit in den Kommentar. Anschließend lösche ich diese Zertifikate
manuell aus der Datei.

Gruß Heiko
--
Faule Engel taugen weniger als fleißige Teufel.
Emil Gött

[Alfred Peters]

Es schrieb einmal Heiko Rost:
> Alfred Peters schrieb:

>> Das Verzeichnis leeren, und das Skript mit
>> der aktuellen OpenSSL.exe wieder laufen lassen.
>
> Das Verzeichnis einfach leeren ist nicht unbedingt empfehlenswert. Das
> Skript braucht noch ein Verzeichnis, aus dem die Zertifikate importiert
> werden können.

Wenn man die originalen .PEMs nicht mehr hat, ja.

> Meine certificates.pem hat das Skript in einzelne Dateien
> gesplittet, so daß man wahrscheinlich auch die alten Zertifikate in das
> Importverzeichnis verschieben und diese als Quelle für die neuen Dateien
> benutzen kann.
>
> Einziger Schönheitsfehler bisher ist, daß die *.txt-Dateien komplett
> leer sind.

Ich weiß nicht, ob sich da was geändert hat. Hier eine aktualisiert
Version von mir:

<https://www.dropbox.com/s/gcdbei9ygnc1cu1/SSL-Cert-Hash.hsc>

Die kann auch mit doppelten Hashes umgehen und sortiert doppelte und
abgelaufene Zertifikate automatisch aus.

Es wird eine aktuelle htime.hsm benötigt. Die sollte bei den letzten
Hamster-Versionen dabei gewesen sein.

Alfred
--
20490.4

[Alfred Peters]

Es schrieb einmal Heiko Rost:

> Heiko "Ingrid" Rost schrieb:
>
>> Einziger Schönheitsfehler bisher ist, daß die *.txt-Dateien komplett
>> leer sind.
>
> Soweit ich die Dokumentation der 0.9.6c verstehe, schreibt die Option
> "-out" die gesamte Ausgabe in die Datei, während 1.x nur noch das
> Zertifikat schreibt. Deshalb als Lösungsansatz den Befehl aus dem
> Originalskript
>
> execute( $OpenSSL + " x509 -text -in Cert.tmp -noout -out Text.tmp",_
> $Import_Dir, 2, True, $ExitCode )
>
> ändern in
>
> execute( $Shell + " /C " + $OpenSSL + " x509 -text -in Cert.tmp -noout >Text.tmp",_
> $Import_Dir, 2, True, $ExitCode )

| if( resExecute( $OpenSSL + " x509 -text -in " + $Import_Dir + "Cert.tmp -noout ",_
| $Import_Dir, $TextFile ) != 0 )


| sub resExecute( $aProg, $aDir, $aResList )
[...]
| execute( $Shell + " /C " + $aProg + " > Hash.tmp", $aDir, 2, True, $ExitCode )

Ja, so ähnlich hab ich das damals auch gelöst... ;-)

Alfred
--
20490.6

[Heiko Rost]

Alfred Peters schrieb:

> Ich weiß nicht, ob sich da was geändert hat. Hier eine aktualisiert
> Version von mir:
>
> <https://www.dropbox.com/s/gcdbei9ygnc1cu1/SSL-Cert-Hash.hsc>
>
> Die kann auch mit doppelten Hashes umgehen und sortiert doppelte und
> abgelaufene Zertifikate automatisch aus.
>
> Es wird eine aktuelle htime.hsm benötigt. Die sollte bei den letzten
> Hamster-Versionen dabei gewesen sein.

Irgendwo gibt es dabei ein Jahr2038-Problem, Zertifikate mit längerer
Laufzeit werden als abgelaufen aussortiert.

Gruß Heiko
--
Wer unter Menschen nur einen Engel sucht, der findet kaum Menschen.
Wer aber unter Menschen nur Menschen sucht, der findet gewiß seinen Engel.
Moritz Gottlieb Saphir

[Alfred Peters]

Es schrieb einmal Heiko Rost:

> Alfred Peters schrieb:
>
>> Ich weiß nicht, ob sich da was geändert hat. Hier eine aktualisiert
>> Version von mir:
>>
>> <https://www.dropbox.com/s/gcdbei9ygnc1cu1/SSL-Cert-Hash.hsc>
>>
>> Die kann auch mit doppelten Hashes umgehen und sortiert doppelte und
>> abgelaufene Zertifikate automatisch aus.
>>
>> Es wird eine aktuelle htime.hsm benötigt. Die sollte bei den letzten
>> Hamster-Versionen dabei gewesen sein.
>
> Irgendwo gibt es dabei ein Jahr2038-Problem, Zertifikate mit längerer
> Laufzeit werden als abgelaufen aussortiert.

Kannst du mir bitte so eins zusenden?

Alfred
--
20490.9

[Peter Hoffmann]

Alfred Peters schrieb:

>
> Ich weiß nicht, ob sich da was geändert hat. Hier eine aktualisiert
> Version von mir:
>
> <https://www.dropbox.com/s/gcdbei9ygnc1cu1/SSL-Cert-Hash.hsc>
>
> Die kann auch mit doppelten Hashes umgehen und sortiert doppelte und
> abgelaufene Zertifikate automatisch aus.
>
> Es wird eine aktuelle htime.hsm benötigt. Die sollte bei den letzten
> Hamster-Versionen dabei gewesen sein.

Abschlussbericht:
- Hamster Version 2.1 (Build 2.1.0.1540) installiert
- OpenSSL Version 1.0.2u 20 Dec 2019 installiert
- SSL-Cert-Hash von Alfred installiert
- Unmengen aktuelle pem-Dateien gesucht
- Alfred's Script gestartet (läuft ;-))
- die erstellte Datei allCerts.list ins Hamster Verzeichnis kopiert
- den bisherigen Ordner mit den Einzel-Zertifikaten umbenannt
- im Hamster/Grundeinstellungen/SSL von Ordner auf Datei umgestellt
*** läuft ***

Die Suche nach den "richtigen" pem-Dateien ist eigentlich das mühsamste
Geschäft. Manchmal, zum Beispiel
"TeleSec_ServerPass_Extended_Validation_Class_3_CA" gibt es kein pem
oder cer, sondern nur ein .der. Bewährt hat sich der Aufruf von OpenSSL
in der Eingabeauforderung:

openssl.exe s_client -connect pop3.web.de:995 > OpenSSL.log

Aus der log-Datei den BEGIN/END-Block herauskopieren und als .cer
speichern. Dann kann man sich den Zertifizierungspfad ansehen und die
notwendigen pem-Dateien suchen.

Vielen Dank an euch und wenn es etwas Neues zu dem von Heiko
angesprochenen 2038-Problem wäre ich dankbar, wenn das publiziert würde.

Viele Grüße

Peter

[Heiko Rost]

Peter Hoffmann schrieb:

> Die Suche nach den "richtigen" pem-Dateien ist eigentlich das mühsamste
> Geschäft. Manchmal, zum Beispiel
> "TeleSec_ServerPass_Extended_Validation_Class_3_CA" gibt es kein pem
> oder cer, sondern nur ein .der.

Das Problem läßt sich mit

openssl x509 -inform der -outform pem -in cert.der -out cert.pem

lösen.

Gruß Heiko
--
Der Mensch ist gut, nur die Nerven sind schlecht.
Mose Ya'aqob Ben-Gavriêl

[Alfred Peters]

Es schrieb einmal Heiko Rost:
> Alfred Peters schrieb:

>> <https://www.dropbox.com/s/gcdbei9ygnc1cu1/SSL-Cert-Hash.hsc>

> Irgendwo gibt es dabei ein Jahr2038-Problem, Zertifikate mit längerer
> Laufzeit werden als abgelaufen aussortiert.

Ja, ist logisch, wenn man bedenkt, dass encodetime() vom Hamster einen
int zurück liefert.

| # Version : 1.1d - 2020-06-28
| # Changes : - Umgehung des Unix-Jahr2038-Problems bei Zertifikaten
| # : mit laengerer Laufzeit

Bitte neu herunterladen und probieren. Bis 2038 sollte das funktionieren. 😇

Alfred
--
20491.0

[Peter Hoffmann]

Heiko Rost schrieb:

>> Die Suche nach den "richtigen" pem-Dateien ist eigentlich das mühsamste
>> Geschäft. Manchmal, zum Beispiel
>> "TeleSec_ServerPass_Extended_Validation_Class_3_CA" gibt es kein pem
>> oder cer, sondern nur ein .der.
>
> Das Problem läßt sich mit
>
> openssl x509 -inform der -outform pem -in cert.der -out cert.pem
>
> lösen.

Auch dafür noch einmal vielen Dank. Ich hatte es mir einfach gemacht und
bei https://www.leaderssl.de/tools/ssl_converter umwandeln lassen.

Viele Grüße

Peter

[Heiko Rost]

Alfred Peters schrieb:

> Bitte neu herunterladen und probieren.

Funktioniert, es wird nichts mehr nach alt\ verschoben.

Gruß Heiko
--
Besser ein freier Teufel als ein gebundener Engel.
Peter Hille