Da Let’s encrypt noch nicht so weit ist, ich aber trotzdem immer mal wieder HTTPS Zertifikate haben möchte die von den bekannten Webbrowsern ohne Rückfrage akzeptiert werden hab ich mir schon mal das ein oder andere günstige gekauft. Den Großteil verwalte ich aber noch mit CAcert.
Für die Zertifikate zu bezahlen war mir aber schon immer ein Dorn im Auge. Schon früh hatte ich mir StartSSL angeschaut aber das war mir alles deutlich zu umständlich. Über Twitter wurde ich dann auf einen neuen chinesischen Anbieter hingewiesen:
Chinese CA WoSign offers free TLS certificates and now also has a sha256 intermediate and an English interface https://t.co/G02XZlLEi5
— hanno (@hanno) February 13, 2015
Lange Rede kurzer Sinn. Das ganze ist sehr simpel und funktioniert super:
- Key + CSR erzeugen:
openssl req -new -nodes -newkey rsa:4096 -sha256 -keyout host.example.net.key -out host.example.net.csr
- URL öffnen: https://buy.wosign.com/free/
- Formular ausfüllen, Domain bestätigen, Zertifikat beantragen, auf Email warten
- Nach Erhalt der ZIP Datei mit Zertifikat und Intermediates die Bundle-Datei öffnen und den letzten Eintrag entfernen
- Im Webserver einbinden und SSL Server Test machen um zu prüfen ob alles korrekt ist
Und die werden dann auch vom Browser akzeptiert? Und man bekommt keinen unknown CA Fehler?
guck selbst unter: https://tracks.pregos.info/
:-)
ja, der Chrome zeigt das Ganze als grün an. Na, dann muss ich mir da wohl auch noch eines holen.
Funktioniert hervorragend. Keine Probleme in IE10, Firefox ESR, Firefox 35, Chromium 40. Generierung funktioniert wie beschrieben. 100 Domänen können eingebaut werden. Mit und ohne wwww. Kein MD5 in der Zert Kette. Ich bleib dabei.
Hallo,
ich habe jetzt schon mehrmals versucht meine Domain verifizieren zu lassen, ich habe bisher versucht einen Veri.Code an postmaster@example.tld und admin@example.tld zu senden, jedoch blieben meine versuche erfolglos. Ich bekomme einfach keine Email.
Output mit tail -f /var/log/mail.log:
Feb 27 21:36:04 marcel-dev postfix/smtpd[685]: connect from mta1.wosign.com[220.181.55.47]
Feb 27 21:36:06 marcel-dev postfix/smtpd[685]: disconnect from mta1.wosign.com[220.181.55.47]
Ich empfange einfach keine Emails von WoSign
Komisch… ich habe inzwischen vier Zertifikate von denen und das war überhaupt kein Problem.
Feb 22 09:56:57 mail01 postfix/smtpd[28315]: connect from mta1.wosign.com[220.181.55.47], size=2258, nrcpt=1 (queue active), size=2989, nrcpt=1 (queue active) -> , Queue-ID: C5FB754065C, Message-ID: <20150222085655.605179E80A4@mta1.wosign.com>, mail_id: 8Cu1-CPVgRxz, Hits: 0.591, size: 2220, queued_as: E7451545A48, 1568 ms, relay=127.0.0.1[127.0.0.1]:10024, delay=3.3, delays=1.7/0/0.01/1.6, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as E7451545A48), orig_to=, relay=dovecot, delay=0.17, delays=0.07/0/0/0.1, dsn=2.0.0, status=sent (delivered via dovecot service)
Feb 22 09:56:58 mail01 postfix/policy-spf[28325]: Policy action=PREPEND Received-SPF: pass (wosign.com: 220.181.55.47 is authorized to use ‚cmsmaster@wosign.com‘ in ‚mfrom‘ identity (mechanism ‚ip4:220.181.55.47‘ matched)) receiver=mail01.pregos.info; identity=mailfrom; envelope-from=“cmsmaster@wosign.com“; helo=mta1.wosign.com; client-ip=220.181.55.47
Feb 22 09:56:58 mail01 postfix/smtpd[28315]: C5FB754065C: client=mta1.wosign.com[220.181.55.47]
Feb 22 09:56:58 mail01 postfix/cleanup[28327]: C5FB754065C: message-id=<20150222085655.605179E80A4@mta1.wosign.com>
Feb 22 09:56:59 mail01 postfix/qmgr[10405]: C5FB754065C: from=
Feb 22 09:56:59 mail01 postfix/smtpd[28315]: disconnect from mta1.wosign.com[220.181.55.47]
Feb 22 09:57:00 mail01 postfix/smtpd[28332]: connect from localhost[127.0.0.1]
Feb 22 09:57:00 mail01 postfix/smtpd[28332]: E7451545A48: client=localhost[127.0.0.1]
Feb 22 09:57:00 mail01 postfix/cleanup[28327]: E7451545A48: message-id=<20150222085655.605179E80A4@mta1.wosign.com>
Feb 22 09:57:01 mail01 postfix/qmgr[10405]: E7451545A48: from=
Feb 22 09:57:01 mail01 postfix/smtpd[28332]: disconnect from localhost[127.0.0.1]
Feb 22 09:57:01 mail01 amavis[12956]: (12956-05) Passed CLEAN {RelayedInbound}, [220.181.55.47]:36284 [211.151.122.3]
Feb 22 09:57:01 mail01 postfix/smtp[28328]: C5FB754065C: to=
Feb 22 09:57:01 mail01 postfix/qmgr[10405]: C5FB754065C: removed
Feb 22 09:57:01 mail01 dovecot: lda(mail@jan-von.de): sieve: msgid=<20150222085655.605179E80A4@mta1.wosign.com>: stored mail into mailbox ‚INBOX‘
Feb 22 09:57:01 mail01 postfix/pipe[28334]: E7451545A48: to=
Feb 22 09:57:01 mail01 postfix/qmgr[10405]: E7451545A48: removed
Hast du das denn irgendiwe mit dem OCSP-Stapling für das WoSign-Zertifikat hinbekommen? Ist ja nicht ganz unbedeutend bei der miesen Latenz zum OCSP-Dienst von WoSign.