Lösung: RSA server certificate is a CA certificate (BasicConstraints: CA == TRUE !?)

Wer zu Testzwecken oder in kontrollierten Umgebungen ein SSL Zertifikat erstellt um Verbindungen zwischen Client und Server zu verschlüsseln findet unter Umständen folgende Warnung im Apache Error Logfile.

RSA server certificate is a CA certificate (BasicConstraints: CA == TRUE !?)

Die Warnung besagt, dass das verwendete Zertifikat eigentlich zur Unterschrift anderer Zertifikate erstellt wurde, also ein CA (Certificate Authority) Zertifikat ist. Mit folgenden Schritten lässt sich ein Zertifikat erstellen, welches die Warnung verschwinden lässt.

Schritt 1: Private Key erstellen

openssl genrsa -des3 -passout pass:passwort -out /tmp/key.tmp 2048 && \
openssl rsa -passin pass:passwort -in /tmp/key.tmp -out /etc/apache2/ssl/apache.key && \
rm -rf /tmp/key.tmp

Schritt 2: Erstellung eines CSR (Certificate Signing Request)

openssl req -new -key /etc/apache2/ssl/apache.key -out /etc/apache2/ssl/apache.csr

Hinweis: OpenSSL wird nach einem „challenge password“ fragen. Dieses kann durch Enter übersprungen bzw. leer gelassen werden.

Schritt 3: Erstellung des Zertifikats

openssl x509 -req -days 365 -in /etc/apache2/ssl/apache.csr -signkey /etc/apache2/ssl/apache.key -out /etc/apache2/ssl/apache.crt

Verwendet Apache dieses neu erstellte Zertifikat, verschwindet die Warnung aus dem Logfile.

2 Gedanken zu „Lösung: RSA server certificate is a CA certificate (BasicConstraints: CA == TRUE !?)

  1. Andreas

    Yeah the same solution everybody gives…

    But what if that doesn’t work?

    What if the Apache did run using the certificate for months, doing several reboots, and suddenly this error comes up?
    Despite the certs being correct.

    Antworten
  2. Andreas

    Tja und was wenn die Warnung nicht verschwindet?

    Der alte WRT54GL wurde gegen eine Fritzbox getauscht, Seit diesem Tag taucht dieser Fehler auf und es geht halt nichts mehr mit SSL auf dem Apache.

    Der lief mit seinen Zertifikarten, Jahrelang.
    Auf einmal dieser Fehler.

    Das einzige was sich änderte, ist der Router.

    Zertifikate neu erstellen bringt auch keine Besserung.

    Es scheint also noch irgendwo eine weitere Fehlerquelle zu geben für dieses Problem

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.