Dieses Dokument wurde mithilfe automatisierter maschineller Übersetzungstechnologie übersetzt. Wir bemühen uns um korrekte Übersetzungen, übernehmen jedoch keine Gewähr für die Vollständigkeit, Richtigkeit oder Zuverlässigkeit der übersetzten Inhalte. Im Falle von Abweichungen ist die englische Originalversion maßgebend und stellt den verbindlichen Text dar.

Fehlerbehebung bei Zertifikaten

Wie erkenne ich, ob meine Zertifikate im PEM-Format vorliegen?

Sie können das PEM-Format an den folgenden Merkmalen erkennen:

  • Die Datei beginnt mit folgendem Header:

      -----BEGIN CERTIFICATE-----

  • Der Header wird von einer langen Zeichenkette gefolgt.

  • Die Datei endet mit einem Footer: ----END CERTIFICATE----

PEM-Zertifikatbeispiel:

----BEGIN CERTIFICATE-----
MIIGVDCCBDygAwIBAgIJAMiIrEm29kRLMA0GCSqGSIb3DQEBCwUAMHkxCzAJBgNV
... more lines
VWQqljhfacYPgp8KJUJENQ9h5hZ2nSCrI+W00Jcw4QcEdCI8HL5wmg==
-----END CERTIFICATE-----

PEM-Zertifikatschlüsselbeispiel:

-----BEGIN RSA PRIVATE KEY-----
MIIGVDCCBDygAwIBAgIJAMiIrEm29kRLMA0GCSqGSIb3DQEBCwUAMHkxCzAJBgNV
... more lines
VWQqljhfacYPgp8KJUJENQ9h5hZ2nSCrI+W00Jcw4QcEdCI8HL5wmg==
-----END RSA PRIVATE KEY-----

Wenn Ihr Schlüssel wie das folgende Beispiel aussieht, siehe Konvertieren eines Zertifikatsschlüssels von PKCS8 nach PKCS1.

-----BEGIN PRIVATE KEY-----
MIIGVDCCBDygAwIBAgIJAMiIrEm29kRLMA0GCSqGSIb3DQEBCwUAMHkxCzAJBgNV
... more lines
VWQqljhfacYPgp8KJUJENQ9h5hZ2nSCrI+W00Jcw4QcEdCI8HL5wmg==
-----END PRIVATE KEY-----

Konvertieren eines Zertifikatsschlüssels von PKCS8 nach PKCS1

Wenn Sie eine PKCS8-Zertifikatsschlüsseldatei verwenden, wird Rancher die folgende Zeile protokollieren:

ListenConfigController cli-config [listener] failed with : failed to read private key: asn1: structure error: tags don't match (2 vs {class:0 tag:16 length:13 isCompound:true})

Um dies zum Laufen zu bringen, müssen Sie den Schlüssel mit dem folgenden Befehl von PKCS8 nach PKCS1 konvertieren:

openssl rsa -in key.pem -out convertedkey.pem

Sie können nun convertedkey.pem als Zertifikatsschlüsseldatei für Rancher verwenden.

Was ist die Reihenfolge der Zertifikate, wenn ich meine Zwischenzertifikate hinzufügen möchte?

Die Reihenfolge zum Hinzufügen von Zertifikaten ist wie folgt:

-----BEGIN CERTIFICATE-----
%YOUR_CERTIFICATE%
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
%YOUR_INTERMEDIATE_CERTIFICATE%
-----END CERTIFICATE-----

Wie validiere ich meine Zertifikatskette?

Sie können die Zertifikatskette validieren, indem Sie das openssl Binary verwenden. Wenn die Ausgabe des Befehls (siehe das Beispiel unten) mit Verify return code: 0 (ok) endet, ist Ihre Zertifikatskette gültig. Die ca.pem Datei muss identisch sein mit der, die Sie dem rancher/rancher Container hinzugefügt haben.

Wenn Sie ein von einer anerkannten Zertifizierungsstelle signiertes Zertifikat verwenden, können Sie den -CAfile Parameter weglassen.

Befehl:

openssl s_client -CAfile ca.pem -connect rancher.yourdomain.com:443
...
    Verify return code: 0 (ok)