pfx naar pem

De wondere wereld van de Windows-SSL-certificaten. Converteren van pfx naar pem is een proces in twee stappen (sleutel en certificaat bevinden zich in hetzelfde bestand).

Certificaat

openssl pkcs12 -in <pfx> -clcerts -nokeys -out <certificaat>

Sleutel

openssl pkcs12 -in <pfx> -nocerts -nodes -out – | openssl rsa -in – -out <sleutel>

mod_rewrite, Let’s Encrypt en een vervelend probleem

Ik ben een fervent aanhanger van Let’s Encrypt, en van het versleutelen van verkeer in het algemeen. Al mijn publieke en private sites hebben dus een certificaat, dat bij voorkeur automatisch vernieuwd wordt.

Maar al een tijdje is er een probleem met één van die sites (een Mattermostserver achter een Apache reverse proxy), waarbij het hernieuwen van het certificaat (via cron) om de één of andere reden faalt. Op zich was er met DNS en de configuratie van de webserver niets mis: die was identiek aan alle andere systemen.

“mod_rewrite, Let’s Encrypt en een vervelend probleem” verder lezen

Dovecot & certificaten

Zoals ik al vertelde, was het nodig om het SSL-certificaat van mijn e-mailserver (post.helptux.be) te vernieuwen.

En natuurlijk moet je dan ook alle applicaties aanpassen. Postfix was mooi aangepast, maar toen weigerde Thunderbird plots mijn e-mails op te halen. En wat vond ik in het logbestand?

May 12 18:01:52 post dovecot: imap-login: Disconnected (no auth attempts in 0 secs): user=<>, rip=<>, lip=<>, TLS: SSL_read() failed: error:SSL routines:SSL3_READ_BYTES:sslv3 alert certificate revoked: SSL alert number 44, session=<>

Oeps! Gelukkig snel gefixt.

ssl_cert = </etc/ssl/private/ssl-chain.2017.pem
ssl_key = </etc/ssl/private/2017.key

En maar meteen ook de rest van de SSL-opties wat verbeterd (geïnspireerd door deze fantastische site).

ssl_cipher_list = AES128+EECDH:AES128+EDH
ssl_protocols = !SSLv2 !SSLv3
ssl_prefer_server_ciphers = yes

[GANDI] Expiration of the certificate SSL Standard (post.helptux.be) in 29 days

Het is weer de tijd van het jaar …

Bijna al mijn certificaten gebruiken Let’s Encrypt, maar voor de e-mailserver (sommige mensen draaien dat nog) gebruik ik een betaald certificaat. Ik zou het waarschijnlijk kunnen omzetten, maar voor e-mailservers ben ik nogal conservatief. Zonder e-mail zal ik niet ver lopen.

Alleen spijtig dat ik er (nog) niet ben toe gekomen om Postfix achter Puppet te steken. Dat wordt dus manueel certificaten vervangen …