Let's Encrypt Zertifikat kommt nicht in der NC-ios App an

  • Hallo Leute,

    erneute das Zertifikat von Lets Encrypt als Problem.

    nach einer erneuerung des zertifikates und updat der nc ios app (wobei das schon bei der erstnutzung ein problem war) bekommt die ios App von NC kein gültiges Zertifikat.

    es wird ein altes zertifikat in der app angezeigt.

    Ich habe nach Franjo G anleitung alle schritte erfolgreich geschaft und der server ist von außen wie innen erreichbar und (fast) voll funktionsfähig.

    ich kann über meine ddns, über openvpn die nc erreichen. auch kann ich trotz des ungültigen zertifikates über die nc app daten hochladen. ich muss halt bestätigen dass ich trotz der ungültigkeit weitermachen möchte. im browser (ohne vpn) werde ich mit offenen port 443 von http zu https weitergeleitet.

    wie kann ich der app das richtige zertifikat unterjubeln?

    wo kann ich den status des zertifikates im pi einsehen (ich mache das immer über die https://www.ssllabs.com/ssltest/analyze.html?d=öasdhflaksjdfhlajshdfjha.myfritz.net)

    hier ist die serial number eine andere als die in der nc app auf dem handy.

  • Let's Encrypt Zertifikat kommt nicht in der NC-ios App an? Schau mal ob du hier fündig wirst!

  • wo kann ich den status des zertifikates im pi einsehen

    /usr/bin/echo | openssl s_client -servername <DEIN-NC-HOSTNAME> -connect <DEIN_NC_HOSTNAME>:443 2>/dev/null | openssl x509 -noout -subject -issuer -dates

    <DEIN_NC_HOSTNAME> = z.B. der myfritz-Name (keine URL!)

    Also z.B.

    /usr/bin/echo | openssl s_client -servername www.google.de -connect www.google.de:443 2>/dev/null | openssl x509 -noout -subject -issuer -dates

    Wenn du nichts zu sagen hast, sag einfach nichts.

    Einmal editiert, zuletzt von llutz (9. Juli 2021 um 10:01)

  • Den Cache kann man löschen aber dies löscht nicht das Zertifikat.

    Hast Du es denn den Cache geleert?


    Das wird Ja sicher vom Server bereitgestellt und von der App gezogen. Kann man das aus dem Ordner einfach löschen?

    Richtig, so stell ich mir das vor. Deshalb auch der Vorschlag den Cache zu leeren, ich vermute das Zertifikat liegt im Cache. Wenn man es löschen kann, dann lösch es auf dem Phone. Anschließend die App neu starten, dann sollte das Zertifikat neu gezogen werden.

    Kannst Du vom Phone aus das Webinterface der Nextcloud Installation aufrufen? Falls ja, dort sollte dann das neue Zertifikat angezeigt werden.

    Einmal editiert, zuletzt von hyle (9. Juli 2021 um 00:29) aus folgendem Grund: Ein Beitrag von WiSo mit diesem Beitrag zusammengefügt.

  • Hallo,

    danke für eure Antworten. Leider kam ich gestern nicht dazu den Statusbericht/ - Abfrage zu testen llutz und der Cache wurde schon dreimal gelöscht, auch die App zurückgesetzt WiSo

    Aber kann ich nicht mit

    certbot delete 

    und einem reboot das komplett Zertifikat löschen und ein neues vergeben? Dann werden sich ja die Programme das aktuelle ziehen, denke ich. Deswegen nochmal nen Grundsatzgedanke: ich erstelle ein Zertifikat, welches Letsencrypt auf den Server ablenkt und wer, wie, was Programme auch immer, holen sich dieses dann einfach? Ich denke das ist es ja sicher nicht?

  • Öffne deine nc-Seite im Browser (https://...) und schau dir dort die Informationen zum Zertifikat an. Stimmen die? Gibt der Browser auch eine Warnung?

    Wenn das alles passt, dann brauchst du kein neues Zertifikat erstellen lassen, denn der Fehler liegt dann in der ios-App.

    Wenn du nichts zu sagen hast, sag einfach nichts.

  • Code
    root@raspberrypi:/home/XXXXXX# /usr/bin/echo | openssl s_client -servername www.öalkfjöawef.myfritz.net -connect www.aöklsjföajef.myfritz.net:443 2>/dev/null | openssl x509 -noout -subject -issuer -dates
    bash: /usr/bin/echo: Datei oder Verzeichnis nicht gefunden
    unable to load certificate
    3069759504:error:0909006C:PEM routines:get_name:no start line:../crypto/pem/pem_lib.c:745:Expecting: TRUSTED CERTIFICATE

    .... Datei nicht gefunden aber dem Zertifikat wird vertraut???????


    Nichts desto trotz, die Webseite gibt keine Warnung aus. aber in den infos ist meine firewall firma mit aufgeführt, warum das denn?

    Ich finde auf dem server unter

    Code
    /etc/letsencrypt/live/asdfhlajsdfhlasdf.myfritz.net/fullchain.pem

    auch nur eine wirre zeichenfolge. keine erstelldaten oder seriennummern. ist das richtig?

  • Es ist bei dir dann wohl /bin/echo

    Alternativ lokal auf dem Webserver:

    cat /etc/letsencrypt/live/asdfhlajsdfhlasdf.myfritz.net/fullchain.pem | openssl x509 -noout -dates -subject -issuer

    Dann musst du aber auch sicherstellen, dass genau dieses Zeritfikat im Webserver konfiguriert ist.

    Wenn du nichts zu sagen hast, sag einfach nichts.

    2 Mal editiert, zuletzt von llutz (9. Juli 2021 um 13:36)

  • Kannst Du vom Phone aus das Webinterface der Nextcloud Installation aufrufen? Falls ja, dort sollte dann das neue Zertifikat angezeigt werden.

    Hast Du das denn schon mal ausprobiert?

    Auf dem RaspiPI kann ich diesen Befehl ausführen und es wird das aktuelle Zertifikat angezeigt:

    sudo certbot certificates

  • cat /etc/letsencrypt/live/http://asdfhlajsdfhlasdf.myfritz.net/fullchain.pem | openssl x509 -noout -dates -subject -issuer

    oder auch mit /bin/echo bekomme ich die gleiche ausgabe wie in #8

    ...

    Code
    unable to load certificate 

    ....

    mit

    sudo certbot certificates

    bekomme ich die gleichen Daten (askdjfaö.myfritz.net,/ erstelldatum/ restdauer) wie auf:

    - dem handy über mobilfunk (hier bekomme ich aber nur den hinweis, dass es sicher für: jaöslkdjföa,myfritz.net ist)

    - auf der nc-app

    - am PC Browser über aösldkfjöask.myfritz.net

    und warum ist bei der

    Öffne deine nc-Seite im Browser (https://...) und schau dir dort die

    unter ausstellername meine friewall angeführt??? also ich schaue mir das auf dem pc und browser an.

    ich habe das nach Franjo G anleitung mit offenen Ports 443, 80 genamcht.

    Warum meine Firewall???????????


    ich kann aber nur über die nc-app und den pc browser weitere Details wie seriennummer etc. angucken.

    und bei der seriennummer unterscheiden sich die beiden ja schon und die nc-app hat das zertifikat. jedoch bekomme ich bei einer neuinstallation der app immer noch die nachricht von einem ungülitgen zertifikat.

    Einmal editiert, zuletzt von TomKlaus (12. Juli 2021 um 22:09)

  • bekomme ich die gleiche ausgabe wie in #8

    Dann ist /etc/letsencrypt/live/http://asdfhlajsdfhlasdf.myfritz.net/fullchain.pem evtl. defekt.

    Warum meine Firewall???????????

    Konfigurationsfehler? Brichst du https auf, zwecks dpi oder so?

    Da niemand dein Setup kennt, musst du das selbst wissen.

    Ich finde auf dem Server ...

    auch nur eine wirre zeichenfolge. keine erstelldaten oder seriennummern. ist das richtig?

    Ja, 2 Blöcke mit jeweils

    Code
    -----BEGIN CERTIFICATE-----
    klsajdfsakjdfsa......
    adlfaslökfd.....
     -----END CERTIFICATE-----

    Wenn du nichts zu sagen hast, sag einfach nichts.

    Einmal editiert, zuletzt von llutz (13. Juli 2021 um 08:34)

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!