Server-Client Authentifizierung mit Key und Zertifikat

patrick_1e0f47 · 8. Oktober 2019 um 11:31

Hi,

ich hab einen Server an dem sich Clients über SSH anmelden sollen per Privatkey und Zertifikat. Die Anmeldung erfolgt über das Internet. Der Server selbst besitzt den jeweiligen Public-key des Clients und ein Server-Zertifikat als auch das Zertifikat einer selbst erstellten Root-CA.

Sowohl das Client-Zertifikat als auch das Server-Zertifikat wurde von der Root-CA erstellt.

Wenn der Client das Root-CA-Zertifikat und den Privatkey besitzt, kann sich dieser ohne Probleme mit dem Server verbinden. Tauscht man das Root-CA-Zertifikat mit dem Client-Zertifikat, kann sich der Client nicht mehr authentifizieren. Meiner Meinung nach müsste doch die Authentifizierung trotzdem funktionieren, da das Client-Zertifikat vom Root-CA ausgestellt worden ist.

Der SSH Error ist: error: certificate verify failed (self signed certificate in certificate chain)

Ist mein aufgezeigter Weg mit den Zertifikaten grundsätzlich richtig oder sind gravierende technische Fehler enthalten; bzw. verwendet man die verschiedenen Zertifikate normalerweise auf eine ganze andere Art und Weise?

VG
patrick

Sebastian · 8. Oktober 2019 um 11:41

Wirklich?

Oder meinst du SSL?

Sebastian · 8. Oktober 2019 um 11:43

Hast du ssh mal mit -v aufgerufen? Dann bitte Mal den kompletten Output Posten.

patrick_1e0f47 · 8. Oktober 2019 um 14:40

Ich meine SSL.

ERROR: SSL Validation failure connecting to host: myTestserver.com - SSL_connect returned=1 errno=0 state=error: certificate verify failed (self signed certificate in certificate chain)

Mehr Information liefert der Fehler selbst auch mit -V nicht.

Sebastian · 8. Oktober 2019 um 15:23

Dann fehlt es wohl dem Client. showcerts kann eine hilfreiche Option sein

patrick_1e0f47 · 9. Oktober 2019 um 06:23

Interessant; den Parameter „showcerts“ kannte ich noch nicht.

openssl s_client -showcerts -connect myTestserver.com:443
CONNECTED(00000003)
depth=1 CN = my-CA-Bude
verify error:num=19:self signed certificate in certificate chain

Certificate chain
0 s:/CN=myTestserver.com
i:/CN=my-CA-Bude
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
1 s:/CN=my-CA-Bude
i:/CN=my-CA-Bude
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
---
Server certificate
subject=/CN=myTestserver.com
issuer=/CN=my-CA-Bude
---
No client certificate CA names sent
Peer signing digest: SHA512
Server Temp Key: ECDH, P-256, 256 bits
---
SSL handshake has read 2150 bytes and written 415 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 2048 bit 
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
----
closed

Die Zertifikate und die SSL Session hab ich mal herausgelassen. Ist mein Problem, dass es keine Client-CAs gibt?