So beheben Sie den SSL-Fehler "ERR_SSL_PINNED_KEY_NOT_IN_CERT_CHAIN"
Dieser Blog erklärt, wie Sie den SSL-Fehler "ERR_SSL_PINNED_KEY_NOT_IN_CERT_CHAIN" identifizieren und durch Überprüfung der Zertifikatskette sowie Neukonfiguration des Schlüssels und des Zertifikats lösen können. Folgen Sie der Schritt-für-Schritt-Anleitung, um sicherzustellen, dass Ihr SSL-Zertifikat korrekt eingerichtet ist. Nutzen Sie unseren kostenlosen Chatbot, um technische Probleme schnell und effektiv zu klären.
Wichtige Erkenntnisse zur Lösung des SSL-Fehlers “ERR_SSL_PINNED_KEY_NOT_IN_CERT_CHAIN”
| Problem | Ursache | Lösung |
|---|---|---|
| SSL-Zertifikat funktioniert nicht | Zertifikatskettensatz ist unvollständig oder falsch | Schlüssel und Zertifikatskette validieren |
| Zertifikat ist veraltet oder wurde falsch konfiguriert | Veraltetes Zertifikat oder Zertifikat ohne richtigen Schlüssel | Neues Zertifikat erstellen und Server neu konfigurieren |
| Schlüssel nicht in der Zertifikatskette | SSL-Zertifikat verweist auf falschen öffentlichen Schlüssel | Sicherstellen, dass der richtige Schlüssel verwendet wird |
Schritt-für-Schritt-Anleitung zur Lösung des Fehlers “ERR_SSL_PINNED_KEY_NOT_IN_CERT_CHAIN”
Dieser spezifische SSL-Fehler weist darauf hin, dass der öffentliche Schlüssel, der im SSL-Zertifikat verwendet wird, nicht dem in der Zertifikatskette erwarteten Schlüssel entspricht. Dies ist ein häufiges Problem, das sich mit der richtigen Konfiguration lösen lässt.
1. Verständnis des Fehlers
Wenn der Fehler “ERR_SSL_PINNED_KEY_NOT_IN_CERT_CHAIN” angezeigt wird, bedeutet das, dass der Schlüssel des Zertifikats nicht mit dem beim Client gespeicherten Schlüssel übereinstimmt. Dies kann auf fehlende Zwischenzertifikate, einen falschen öffentlichen Schlüssel oder ein fehlerhaftes Zertifikat zurückzuführen sein.
2. Überprüfung des Zertifikats
Es ist wichtig sicherzustellen, dass das SSL-Zertifikat ordnungsgemäß konfiguriert ist und alle notwendigen Zertifikate in der Kette enthalten sind.
- Zertifikatskette herunterladen: Zum Überprüfen des Zertifikats auf mögliche Fehler verwenden Sie Tools wie
openssl. Beispielsweise können Sie die gesamte Zertifikatskette Ihres Servers abrufen:
openssl s_client -connect example.com:443 -servername example.com -showcerts
Dieser Befehl zeigt die aktuelle Zertifikatskette an, einschließlich aller ausstellenden Stellen, die zum Überprüfen der Zertifikatsgültigkeit verwendet werden.
3. Überprüfung des Schlüssels
Nachdem Sie die Zertifikatskette erhalten haben, müssen Sie die Schlüssel überprüfen.
- Extrahieren Sie den öffentlichen Schlüssel aus dem pegelhaften Zertifikat mit folgendem Befehl, um festzustellen, ob es korrekt eingerichtet ist:
openssl x509 -in example.com.crt -pubkey -noout
4. Validierung der Zertifikatskette und des Schlüssels
Um sicherzustellen, dass der Schlüssel korrekt in der Zertifikatskette enthalten ist, sollten Sie den extrahierten Schlüssel mit dem in der Zertifikatskette vergleichen.
-
Beispiel für die Schlüsselüberprüfung:
Nachdem Sie den Schlüssel extrahiert haben, können Sie die Korrektheit der Zertifikatskette wie folgt überprüfen:
openssl verify -CAfile example.com.ca-bundle example.com.crt
Wenn der Schlüssel in der Zertifikatskette nicht korrekt enthalten ist, wird eine Fehlermeldung angezeigt.
5. Neukonfiguration des SSL-Zertifikats
Falls sich herausstellt, dass der Schlüssel oder das Zertifikat nicht korrekt ist, muss ein neues SSL-Zertifikat erstellt und konfiguriert werden. Vor größeren Konfigurationsänderungen empfiehlt sich die Nutzung eines Tools wie EaseUS Todo PCTrans, um Daten sicher zu migrieren und potenzielle Datenverluste zu verhindern.
- Generieren eines neuen SSL-Zertifikats:
openssl req -x509 -newkey rsa:4096 -nodes -keyout server.key -out server.crt -days 365 -subj "/C=DE/ST=BW/L=Stuttgart/O=Example/CN=example.com"
In diesem Schritt wird sichergestellt, dass der Schlüssel, der mit dem neuen Zertifikat verwendet wird, korrekt generiert ist und in der Zertifikatskette enthalten ist.
6. Aktualisierung der Server-Konfiguration
Nach der Erstellung des neuen Zertifikats müssen Sie Ihre Serverkonfiguration aktualisieren, um sicherzustellen, dass dieses Zertifikat auch vom Webserver verwendet wird.
- Apache-Konfiguration Beispiel:
<VirtualHost *:443>
ServerName example.com
SSLEngine on
SSLCertificateFile /path/to/server.crt
SSLCertificateKeyFile /path/to/server.key
</VirtualHost>
Stellen Sie sicher, dass die Pfade korrekt gesetzt sind und sowohl das Zertifikat als auch der Schlüssel richtig referenziert werden.
7. Überprüfung der Konfiguration
Nach der Neukonfiguration müssen Sie sicherstellen, dass das Zertifikat und der Schlüssel korrekt funktionieren. Wenn Netzwerkprobleme auftreten, können Sie ein VPN-Tool wie NordVPN verwenden, um Sicherheitsrisiken zu minimieren und eine zuverlässige Verbindung zu gewährleisten.
- Überprüfung mit
curl:
curl -v https://example.com
- Überprüfung mit
openssl:
openssl s_client -connect example.com:443
Diese Befehle zeigen an, ob das SSL-Zertifikat korrekt eingerichtet ist und sicherstellen, dass keine Fehlermeldungen mehr erscheinen.
8. Wiederholte Überprüfung
Fehler wie “ERR_SSL_PINNED_KEY_NOT_IN_CERT_CHAIN” können aus mehreren Gründen auftreten. Es ist ratsam, nach jeder Konfigurationsänderung den Prozess zur Zertifikatsprüfung (Schritt 2-7) erneut durchzuführen, um sicherzugehen, dass der Fehler nicht erneut auftritt.
Fazit
Der Fehler “ERR_SSL_PINNED_KEY_NOT_IN_CERT_CHAIN” kann frustrierend sein, aber mit der richtigen Überprüfung und Neukonfiguration des SSL-Zertifikats lässt er sich beheben. Nutzen Sie Tools wie EaseUS Todo PCTrans für sichere Datenmigration oder NordVPN, um die Verbindungssicherheit zu verbessern. Achten Sie darauf, dass der öffentliche Schlüssel und die Zertifikatskette korrekt konfiguriert sind und dass der Webserver die aktuelle Zertifikatskonfiguration verwendet.
Häufig gestellte Fragen (FAQ)
1. Was bedeutet der Fehler “ERR_SSL_PINNED_KEY_NOT_IN_CERT_CHAIN”?
Dieser Fehler zeigt an, dass der öffentliche Schlüssel des SSL-Zertifikats nicht in der Zertifikatskette enthalten ist. Dies kann darauf hindeuten, dass das Zertifikat nicht korrekt konfiguriert ist oder dass der Schlüssel nicht mit den aktuellen Zertifikaten übereinstimmt.
2. Wie kann ich den Schlüssel aus einem SSL-Zertifikat extrahieren?
Sie können den Schlüssel durch den Befehl openssl x509 -in [Zertifikat-Datei] -pubkey -noout extrahieren. Dies zeigt den öffentlichen Schlüssel des Zertifikats an.
3. Warum funktioniert mein SSL-Zertifikat nicht?
Es gibt viele mögliche Gründe, darunter:
- Das Zertifikat ist abgelaufen oder falsch konfiguriert.
- Fehlende Zwischenzertifikate.
- Der verwendete Schlüssel stimmt nicht mit dem in der Zertifikatskette überein.
4. Kann ich den Fehler selbst beheben?
Ja, die Anleitung oben gibt Ihnen eine klare Schritt-für-Schritt-Anleitung, wie Sie den Fehler “ERR_SSL_PINNED_KEY_NOT_IN_CERT_CHAIN” selbst beheben können. Stellen Sie jedoch sicher, dass Sie über grundlegende Kenntnisse in der Serveradministration und SSL-Konfiguration verfügen.
5. Was ist “Certificate Pinning” und wie hängt es mit dem Fehler zusammen?
Certificate Pinning ist eine Sicherheitsmethode, bei der sichergestellt wird, dass eine bestimmte Website nur mit einem bestimmten SSL-Zertifikat funktioniert. Wenn das gehandhabte Zertifikat geändert wurde, aber das alte Zertifikat noch in der Pinning-Tabelle des Browsers liegt, tritt dieser Fehler auf.
Indem Sie diese Schritte befolgen, sollte der Fehler behoben sein und Ihre Website wieder sicher und erreichbar über HTTPS laufen.