Fehlerbehebung bei SSL-Fehlern
Bei SSL-Problemen mit Ihrer Appliance können Sie Maßnahmen ergreifen, um diese zu beheben.
Inhalt dieses Artikels
- Passphrase aus Ihrer Schlüsseldatei entfernen
- SSL-Zertifikat oder Schlüssel in das PEM-Format umwandeln
- Nicht antwortende Installation nach dem Hochladen eines Schlüssels
- Zertifizierungsgültigkeitsfehler
- Selbstsignierte oder Root-Zertifikate von nicht vertrauenswürdigen Zertifizierungsstellen (CA) installieren
Passphrase aus Ihrer Schlüsseldatei entfernen
Wenn Sie über eine Linux-Maschine mit installiertem OpenSSL verfügen, können Sie Ihre Passphrase entfernen.
-
Benennen Sie Ihre ursprüngliche Schlüsseldatei um.
$ mv yourdomain.key yourdomain.key.orig
-
Generieren Sie einen neuen Schlüssel ohne eine Passphrase.
$ openssl rsa -in yourdomain.key.orig -out yourdomain.key
Wenn Sie diesen Befehl ausführen, werden Sie aufgefordert, die Passphrase des Schlüssels einzugeben.
Weitere Informationen zu OpenSSL finden Sie in der Dokumentation zu OpenSSL.
SSL-Zertifikat oder Schlüssel in das PEM-Format umwandeln
Wenn Sie OpenSSL installiert haben, können Sie den Schlüssel mit dem Befehl openssl
in das PEM-Format umwandeln. Beispielsweise können Sie einen Schlüssel vom DER- in das PEM-Format umwandeln.
$ openssl rsa -in yourdomain.der -inform DER -out yourdomain.key -outform PEM
Andernfalls können Sie das SSL Converter-Tool verwenden, um Ihr Zertifikat in das PEM-Format umzuwandeln. Weitere Informationen finden Sie in der Dokumentation zum SSL Converter-Tool.
Nicht antwortende Installation nach dem Hochladen eines Schlüssels
Wenn Ihre GitHub Enterprise Server-Instanz nach dem Hochladen eines SSL-Schlüssels nicht mehr antwortet, kontaktieren Sie den GitHub Enterprise-Support mit den entsprechenden Details, einschließlich einer Kopie Ihres SSL-Zertifikats.
Zertifizierungsgültigkeitsfehler
Clients wie Webbrowser und die Git-Befehlszeile zeigen eine Fehlermeldung an, wenn die Gültigkeit eines SSL-Zertifikats nicht verifiziert werden kann. Dies ist oftmals bei selbstsignierten Zertifikaten und bei „verketteten Root“-Zertifikaten der Fall, die von einem Root-Zwischenzertifikat ausgestellt wurden, das vom Client nicht anerkannt wird.
Wenn Sie ein von einer Zertifizierungsstelle (CA) signiertes Zertifikat verwenden, muss die von Ihnen auf GitHub Enterprise Server hochgeladene Zertifikatsdatei eine Zertifikatskette mit dem Root-Zertifikat der CA enthalten. Verketten Sie zum Erstellen einer solchen Datei Ihre gesamte Zertifikatskette (oder „Zertifikats-Bundle“) am Ende Ihres Zertifikats, um sicherzustellen, dass das Hauptzertifikat mit Ihrem Hostnamen zuerst angezeigt wird. Auf den meisten Systemen können Sie dazu einen Befehl ausführen, der folgendem ähnelt:
$ cat yourdomain.com.crt bundle-certificates.crt > yourdomain.combined.crt
Sie sollten ein Zertifikats-Bundle (z. B. bundle-certificates.crt
) von Ihrer Zertifizierungsstelle oder von Ihrem SSL-Anbieter herunterladen können.
Selbstsignierte oder Root-Zertifikate von nicht vertrauenswürdigen Zertifizierungsstellen (CA) installieren
Wenn Ihre GitHub Enterprise Server-Appliance mit anderen Maschinen in Ihrem Netzwerk interagiert, die ein selbstsigniertes oder nicht vertrauenswürdiges Zertifikat verwenden, müssen Sie das Root-Zertifikat der signierenden CA in den systemweiten Zertifikatsspeicher importieren, um über HTTPS auf diese Systeme zugreifen zu können.
- Rufen Sie das Root-Zertifikat der CA von Ihrer lokalen Zertifizierungsstelle ab, und stellen Sie sicher, dass es im PEM-Format vorliegt.
-
Kopieren Sie über die SSH als der Benutzer „admin“ auf Port 122 die Datei auf Ihre GitHub Enterprise Server-Appliance.
$ scp -P 122 rootCA.crt admin@HOSTNAME:/home/admin
-
Stellen Sie über die SSH als der Benutzer „admin“ auf Port 122 eine Verbindung zur GitHub Enterprise Server-Verwaltungsshell her.
$ ssh -p 122 admin@HOSTNAME
-
Importieren Sie das Zertifikat in den systemweiten Zertifikatsspeicher.
$ ghe-ssl-ca-certificate-install -c rootCA.crt