|
leof.
Anmeldungsdatum:
8. Februar 2007
Beiträge: 309
Wohnort: Ettlingen
|
Hallo,
ich habe auf meinem Ubuntu-Server ein php-Upgrade von 7.0 auf 7.1 durchgeführt (Apache 2.4).
Mit Let's Encrypt werden Zertifikate für alle Domains bereit gestellt. Der Aufruf der html-Seiten klappt mit dem Zertifikat wunderbar. Wenn ich nun versuche auch einem PHP-Programm heraus (Nextcloud, Moodle, Limesurvey) eine Mail über einen externen smpt-Server (google, etc.) zu verschicken klappt dies nur unverschlüsselt. Wenn ich versuche per SSL zu verschüsseln kommt der Fehler:
| Connection: opening to ssl://sslout.de:465, timeout=300, options=array()
Connection failed. Error #2: stream_socket_client(): SSL operation failed with code 1. OpenSSL Error messages:
error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed [/var/www/aes/moodle/lib/phpmailer/src/SMTP.php line 324]
Connection failed. Error #2: stream_socket_client(): Failed to enable crypto [/var/www/aes/moodle/lib/phpmailer/src/SMTP.php line 324]
Connection failed. Error #2: stream_socket_client(): unable to connect to ssl://sslout.de:465 (Unknown error) [/var/www/aes/moodle/lib/phpmailer/src/SMTP.php line 324]
SMTP ERROR: Failed to connect to server: (0)
SMTP connect() failed. https://github.com/PHPMailer/PHPMailer/wiki/Troubleshooting
|
Hat jemand eine Idee, wie ich mich an die Ursache heran tasten kann? Danke und liebe Grüße, Leo
|
|
misterunknown
Ehemalige
Anmeldungsdatum:
28. Oktober 2009
Beiträge: 4403
Wohnort: Sachsen
|
Zeig mal
echo | openssl s_client -connect sslout.de:465
auf dem Server.
|
|
leof.
(Themenstarter)
Anmeldungsdatum:
8. Februar 2007
Beiträge: 309
Wohnort: Ettlingen
|
Sieht wie folgt aus:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84 | root@h2734264:/var/www# echo | openssl s_client -connect sslout.de:465
CONNECTED(00000003)
depth=2 C = BE, O = GlobalSign nv-sa, OU = Root CA, CN = GlobalSign Root CA
verify error:num=19:self signed certificate in certificate chain
---
Certificate chain
0 s:/OU=Domain Control Validated/CN=sslout.de
i:/C=BE/O=GlobalSign nv-sa/CN=AlphaSSL CA - SHA256 - G2
1 s:/C=BE/O=GlobalSign nv-sa/CN=AlphaSSL CA - SHA256 - G2
i:/C=BE/O=GlobalSign nv-sa/OU=Root CA/CN=GlobalSign Root CA
2 s:/C=BE/O=GlobalSign nv-sa/OU=Root CA/CN=GlobalSign Root CA
i:/C=BE/O=GlobalSign nv-sa/OU=Root CA/CN=GlobalSign Root CA
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=/OU=Domain Control Validated/CN=sslout.de
issuer=/C=BE/O=GlobalSign nv-sa/CN=AlphaSSL CA - SHA256 - G2
---
No client certificate CA names sent
Peer signing digest: SHA256
Server Temp Key: ECDH, P-256, 256 bits
---
SSL handshake has read 4237 bytes and written 419 bytes
Verification error: self signed certificate in certificate chain
---
New, TLSv1.2, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1.2
Cipher : ECDHE-RSA-AES256-GCM-SHA384
Session-ID: D401CDD8F0F02BF5FC4BC1E42F95CC3814B1F3AEF00A5BB91ACD941C4B0EC1E2
Session-ID-ctx:
Master-Key: D29ECEF3CD53495DBFCBEAF4F30CF6B6F818C8A09D7CE65B276E76F3F639F8BBE0F45489ED3264DF7FC445081999C631
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1567001770
Timeout : 7200 (sec)
Verify return code: 19 (self signed certificate in certificate chain)
Extended master secret: no
---
DONE
|
Hier noch eine weitere Ausgabe, wenn ich mal ein ganz bestimmtes Zertifikat angebe:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77 | root@h2734264:/var/www# echo QUIT | openssl s_client -crlf -starttls smtp -CAfile /etc/letsencrypt/live/bergzeit-ettlingen.ddnss.de/cert.pem -connect smtp.gmail.com:587
CONNECTED(00000003)
depth=1 C = US, O = Google Trust Services, CN = GTS CA 1O1
verify error:num=20:unable to get local issuer certificate
---
Certificate chain
0 s:/C=US/ST=California/L=Mountain View/O=Google LLC/CN=smtp.gmail.com
i:/C=US/O=Google Trust Services/CN=GTS CA 1O1
1 s:/C=US/O=Google Trust Services/CN=GTS CA 1O1
i:/OU=GlobalSign Root CA - R2/O=GlobalSign/CN=GlobalSign
---
Server certificate
-----BEGIN CERTIFICATE-----
MIIFiTCCBHGgAwIBAgIQAiKavL3Byn4CAAAAAD7OozANBgkqhkiG9w0BAQsFADBC
MQswCQYDVQQGEwJVUzEeMBwGA1UEChMVR29vZ2xlIFRydXN0IFNlcnZpY2VzMRMw
EQYDVQQDEwpHVFMgQ0EgMU8xMB4XDTE5MDcyOTE3MzA0NVoXDTE5MTAyNzE3MzA0
NVowaDELMAkGA1UEBhMCVVMxEzARBgNVBAgTCkNhbGlmb3JuaWExFjAUBgNVBAcT
DU1vdW50YWluIFZpZXcxEzARBgNVBAoTCkdvb2dsZSBMTEMxFzAVBgNVBAMTDnNt
dHAuZ21haWwuY29tMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAvarO
2yqbcJ3AJRFMqP5PXmWbSTQz3E+MwgUKxeK0HH6JM9AB/WzkRxNiRy87tZyJXHRw
J2LBed5ZbLHCf8XC+A4ZZFjyz58/Vd63ix1g7+j7xwYNFynUcmDUYKbTsTYY1dSS
IP4tnLFDQUgcm0QogGu29DKWydTQ13d0PV71ggYPwALffoFjzg4sJ+F5aLGklChs
H6UDDkUbCe6bL+Xd52NX7I9j+jABkDsBAnMRnqWToZ8oGLWP6WPR5qi6BR31X//q
QwJwtV5kYL+Ga5/NDhy2vr4FNp9j479scYoaqAHakfaerwQecDGSgNvhWMgVHvzP
fmUH/Wbw19XrKj+1XwIDAQABo4ICUzCCAk8wDgYDVR0PAQH/BAQDAgWgMBMGA1Ud
JQQMMAoGCCsGAQUFBwMBMAwGA1UdEwEB/wQCMAAwHQYDVR0OBBYEFIjG4Xk2Ljbc
/tW/gDBpSAspoVomMB8GA1UdIwQYMBaAFJjR+G4Q68+b7GCfGJAboOt9Cf0rMGQG
CCsGAQUFBwEBBFgwVjAnBggrBgEFBQcwAYYbaHR0cDovL29jc3AucGtpLmdvb2cv
Z3RzMW8xMCsGCCsGAQUFBzAChh9odHRwOi8vcGtpLmdvb2cvZ3NyMi9HVFMxTzEu
Y3J0MBkGA1UdEQQSMBCCDnNtdHAuZ21haWwuY29tMCEGA1UdIAQaMBgwCAYGZ4EM
AQICMAwGCisGAQQB1nkCBQMwLwYDVR0fBCgwJjAkoCKgIIYeaHR0cDovL2NybC5w
a2kuZ29vZy9HVFMxTzEuY3JsMIIBAwYKKwYBBAHWeQIEAgSB9ASB8QDvAHUAY/Lb
zeg7zCzPC3KEJ1drM6SNYXePvXWmOLHHaFRL2I0AAAFsPv/GPwAABAMARjBEAiBV
Sx+FOZIHrNFGeFn+FzijD+cAxQGNs4ZBtse46eqYhwIgF5ik74oyQtJcHDIiUNNH
k3KO/uf8ybdf+w4dqwxFN0kAdgB0ftqDMa0zEJEhnM4lT0Jwwr/9XkIgCMY3NXnm
EHvMVgAAAWw+/8YbAAAEAwBHMEUCICbDyQ2QAmzHNU9UvMfQcrKx0zNKod1rrD4l
asqF9KwxAiEAh5xlln8LCxVgrCrzSUJ53OhVOPSFpwtSckOCj4zSul8wDQYJKoZI
hvcNAQELBQADggEBAMRgqtLuioioRY90BaDyofKqPuH//hv6Au6R1f5FMeQIfZbC
ADpeFenRqBAR/a522YrawKfrI2SLQQquVUPNZWQWrmZCPpkJWhBg2FuxZlezsRO7
KEdOAuf2RmHISJuXj8SAxCpAsUw3w8ReyNdLa7DFRE/uhMDXgyGynWp7yJcUdFoa
itQfEo2Uf3dbTfVuqvHMi2FCrY/+Tn9+l2tj/XhERnGQ9akB/gmHruOrpgMcWZH/
XdRl7bJqxsQPItOB8l1AH/y7+dn4hFbf7AO/tf4tZQmzD0kBUPCixt/5GA5qSMU6
cRY2a+xRS1gs3twpkqscIFyoY1ttEyEQIHDjoLM=
-----END CERTIFICATE-----
subject=/C=US/ST=California/L=Mountain View/O=Google LLC/CN=smtp.gmail.com
issuer=/C=US/O=Google Trust Services/CN=GTS CA 1O1
---
No client certificate CA names sent
Peer signing digest: SHA256
Server Temp Key: X25519, 253 bits
---
SSL handshake has read 3269 bytes and written 406 bytes
Verification error: unable to get local issuer certificate
---
New, TLSv1.3, Cipher is TLS_AES_256_GCM_SHA384
Server public key is 2048 bit
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1.3
Cipher : TLS_AES_256_GCM_SHA384
Session-ID:
Session-ID-ctx:
Resumption PSK: 000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1567001911
Timeout : 7200 (sec)
Verify return code: 20 (unable to get local issuer certificate)
Extended master secret: no
Max Early Data: 0
---
250 SMTPUTF8
DONE
|
Das mit dem "self signed certificate in certificate chain" verstehe ich nicht... Ist doch alles von Let's Encrypt...
|
|
leof.
(Themenstarter)
Anmeldungsdatum:
8. Februar 2007
Beiträge: 309
Wohnort: Ettlingen
|
https://www.digicert.com/help/ meckert auch nicht über das Zertifikat, wenn ich bergzeit-ettlingen.ddnss.de angebe... 😢 Finde einfach den Fehler nicht 😢
Dank dir schon einmal für deine Hilfe!
|
|
leof.
(Themenstarter)
Anmeldungsdatum:
8. Februar 2007
Beiträge: 309
Wohnort: Ettlingen
|
Hab etwas heraus gefunden. Wenn ich openssl s_client die Option -CApath /etc/ssl/certs mitgeben, funktioniert es:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81 | root@h2734264:/etc# echo QUIT | openssl s_client -crlf -starttls smtp -CApath /etc/ssl/certs -connect smtp.gmail.com:587
CONNECTED(00000003)
depth=2 OU = GlobalSign Root CA - R2, O = GlobalSign, CN = GlobalSign
verify return:1
depth=1 C = US, O = Google Trust Services, CN = GTS CA 1O1
verify return:1
depth=0 C = US, ST = California, L = Mountain View, O = Google LLC, CN = smtp.gmail.com
verify return:1
---
Certificate chain
0 s:/C=US/ST=California/L=Mountain View/O=Google LLC/CN=smtp.gmail.com
i:/C=US/O=Google Trust Services/CN=GTS CA 1O1
1 s:/C=US/O=Google Trust Services/CN=GTS CA 1O1
i:/OU=GlobalSign Root CA - R2/O=GlobalSign/CN=GlobalSign
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=/C=US/ST=California/L=Mountain View/O=Google LLC/CN=smtp.gmail.com
issuer=/C=US/O=Google Trust Services/CN=GTS CA 1O1
---
No client certificate CA names sent
Peer signing digest: SHA256
Server Temp Key: X25519, 253 bits
---
SSL handshake has read 3269 bytes and written 406 bytes
Verification: OK
---
New, TLSv1.3, Cipher is TLS_AES_256_GCM_SHA384
Server public key is 2048 bit
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1.3
Cipher : TLS_AES_256_GCM_SHA384
Session-ID:
Session-ID-ctx:
Resumption PSK: 000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1567002612
Timeout : 7200 (sec)
Verify return code: 0 (ok)
Extended master secret: no
Max Early Data: 0
---
250 SMTPUTF8
DONE
|
Jetzt suche ich mir noch heraus, wie man den Pfad dauerhaft setzten kann und dann sollte es ja klappen... Melde mich wieder, wenn es weiter geht...
|
|
misterunknown
Ehemalige
Anmeldungsdatum:
28. Oktober 2009
Beiträge: 4403
Wohnort: Sachsen
|
Das Problem ist, dass offenbar schon das GlobalSign Root Zertifikat nicht auf deinem System hinterlegt ist, von daher kann er die Kette nicht verifizieren. Das hat auch alles nichts mit Lets Encrypt zu tun. Was sagt denn
ls -l $(openssl version -d | grep -o '".*"')/certs | grep -i globalsign
|
|
leof.
(Themenstarter)
Anmeldungsdatum:
8. Februar 2007
Beiträge: 309
Wohnort: Ettlingen
|
Ok... Da merke ich doch, dass ich hier noch einiges am Verständnis nacharbeiten muss...
Also:
| root@h2734264:/etc# ls -l $(openssl version -d)/certs | grep -i globalsign
ls: cannot access 'OPENSSLDIR:': No such file or directory
ls: cannot access '"/usr/lib/ssl"/certs': No such file or directory
|
Hier noch weiter vielleicht nützliche Ausgaben:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34 | root@h2734264:/etc# openssl version
OpenSSL 1.1.0h 27 Mar 2018 (Library: OpenSSL 1.1.1c 28 May 2019)
root@h2734264:/etc# openssl version -d
OPENSSLDIR: "/usr/lib/ssl"
root@h2734264:/etc# ls -l /usr/lib/ssl/certs | grep -i globalsign
bleibt leer
root@h2734264:/etc# ls -l /usr/lib/ssl/certs
total 1168
-rw-r--r-- 1 root root 754217 Jun 22 2018 ca-bundle.crt
-rw-r--r-- 1 root root 418126 Jun 22 2018 ca-bundle.trust.crt
-rw------- 1 root root 1403 Jan 15 2018 localhost.crt
-rwxr-xr-x 1 root root 610 Mär 27 2017 make-dummy-cert
-rw-r--r-- 1 root root 2242 Mär 27 2017 Makefile
-rwxr-xr-x 1 root root 829 Mär 27 2017 renew-dummy-cert
root@h2734264:/etc# ls -l /etc/ssl/certs | grep -i globalsign
lrwxrwxrwx 1 root root 27 Okt 12 2017 062cdee6.0 -> GlobalSign_Root_CA_-_R3.pem
lrwxrwxrwx 1 root root 31 Okt 12 2017 0d69c7e1.0 -> GlobalSign_ECC_Root_CA_-_R4.pem
lrwxrwxrwx 1 root root 27 Okt 12 2017 111e6273.0 -> GlobalSign_Root_CA_-_R2.pem
lrwxrwxrwx 1 root root 31 Okt 12 2017 1d3472b9.0 -> GlobalSign_ECC_Root_CA_-_R5.pem
lrwxrwxrwx 1 root root 27 Okt 12 2017 1e8e7201.0 -> GlobalSign_Root_CA_-_R3.pem
lrwxrwxrwx 1 root root 31 Okt 12 2017 2add47b6.0 -> GlobalSign_ECC_Root_CA_-_R5.pem
lrwxrwxrwx 1 root root 27 Okt 12 2017 4a6481c9.0 -> GlobalSign_Root_CA_-_R2.pem
lrwxrwxrwx 1 root root 22 Okt 12 2017 5ad8a5d6.0 -> GlobalSign_Root_CA.pem
lrwxrwxrwx 1 root root 31 Okt 12 2017 b0e59380.0 -> GlobalSign_ECC_Root_CA_-_R4.pem
lrwxrwxrwx 1 root root 22 Okt 12 2017 b0f3e76e.0 -> GlobalSign_Root_CA.pem
lrwxrwxrwx 1 root root 66 Okt 12 2017 GlobalSign_ECC_Root_CA_-_R4.pem -> /usr/share/ca-certificates/mozilla/GlobalSign_ECC_Root_CA_-_R4.crt
lrwxrwxrwx 1 root root 66 Okt 12 2017 GlobalSign_ECC_Root_CA_-_R5.pem -> /usr/share/ca-certificates/mozilla/GlobalSign_ECC_Root_CA_-_R5.crt
lrwxrwxrwx 1 root root 57 Okt 12 2017 GlobalSign_Root_CA.pem -> /usr/share/ca-certificates/mozilla/GlobalSign_Root_CA.crt
lrwxrwxrwx 1 root root 62 Okt 12 2017 GlobalSign_Root_CA_-_R2.pem -> /usr/share/ca-certificates/mozilla/GlobalSign_Root_CA_-_R2.crt
lrwxrwxrwx 1 root root 62 Okt 12 2017 GlobalSign_Root_CA_-_R3.pem -> /usr/share/ca-certificates/mozilla/GlobalSign_Root_CA_-_R3.crt
|
|
|
leof.
(Themenstarter)
Anmeldungsdatum:
8. Februar 2007
Beiträge: 309
Wohnort: Ettlingen
|
Ich glaube ich muss etwas langsam machen... Habe nun
| export SSL_CERT_DIR=/etc/ssl/certs/
|
im Terminal eingegeben. Nun liefert deine erste angefragte Ausgabe:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88 | root@h2734264:/etc# echo | openssl s_client -connect sslout.de:465
CONNECTED(00000003)
depth=2 C = BE, O = GlobalSign nv-sa, OU = Root CA, CN = GlobalSign Root CA
verify return:1
depth=1 C = BE, O = GlobalSign nv-sa, CN = AlphaSSL CA - SHA256 - G2
verify return:1
depth=0 OU = Domain Control Validated, CN = sslout.de
verify return:1
---
Certificate chain
0 s:/OU=Domain Control Validated/CN=sslout.de
i:/C=BE/O=GlobalSign nv-sa/CN=AlphaSSL CA - SHA256 - G2
1 s:/C=BE/O=GlobalSign nv-sa/CN=AlphaSSL CA - SHA256 - G2
i:/C=BE/O=GlobalSign nv-sa/OU=Root CA/CN=GlobalSign Root CA
2 s:/C=BE/O=GlobalSign nv-sa/OU=Root CA/CN=GlobalSign Root CA
i:/C=BE/O=GlobalSign nv-sa/OU=Root CA/CN=GlobalSign Root CA
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=/OU=Domain Control Validated/CN=sslout.de
issuer=/C=BE/O=GlobalSign nv-sa/CN=AlphaSSL CA - SHA256 - G2
---
No client certificate CA names sent
Peer signing digest: SHA256
Server Temp Key: ECDH, P-256, 256 bits
---
SSL handshake has read 4237 bytes and written 419 bytes
Verification: OK
---
New, TLSv1.2, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1.2
Cipher : ECDHE-RSA-AES256-GCM-SHA384
Session-ID: D147745D071A85AA081821EB199E8CD373EA0CA024F68F22C0E3288BE0436E22
Session-ID-ctx:
Master-Key: 3F97F5A20AA3144CE3A6B45E195C27847D47159F65CB923F67B68388FFF12B641DB7A74B27BA8E47A66A3AE41674BFD7
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1567004100
Timeout : 7200 (sec)
Verify return code: 0 (ok)
Extended master secret: no
---
DONE
|
Das sieht doch eigentlich gut aus, oder?
Leider geht der Mailversand noch immer nicht...
|
|
misterunknown
Ehemalige
Anmeldungsdatum:
28. Oktober 2009
Beiträge: 4403
Wohnort: Sachsen
|
Sehr komisch. Normalerweise sollte das in einem Default-Ubuntu so aussehen:
$ ls -l /usr/lib/ssl/
insgesamt 4
lrwxrwxrwx 1 root root 14 Mai 2 2016 certs -> /etc/ssl/certs
drwxr-xr-x 2 root root 4096 Aug 28 16:58 misc
lrwxrwxrwx 1 root root 20 Jun 20 19:36 openssl.cnf -> /etc/ssl/openssl.cnf
lrwxrwxrwx 1 root root 16 Mai 2 2016 private -> /etc/ssl/private
Wenn /usr/lib/ssl/certs ein echtes Verzeichnis bei dir ist, könntest du einfach mal versuchen die Pakete openssl und ca-certificates neu zu installieren, damit das glatt gezogen wird. Das könnte ein Problem mit den Abhängigkeiten geben, von daher kannst du das (auf eigene Verantwortung) so forcieren:
dpkg -P --force-depends openssl ca-certificates
apt install openssl ca-certificates
|
|
leof.
(Themenstarter)
Anmeldungsdatum:
8. Februar 2007
Beiträge: 309
Wohnort: Ettlingen
|
Ja. Ist bei mir tatsächlich ein realer Ordner. Wollte ihn zuerst verschieben um den Symlink anzulegen. Da kam schon die Fehlermeldung "Read-only file system". Habe dann versucht es neu zu installieren. ca-certificates hat er deinstalliert, openssl jedoch nicht 😢
1
2
3
4
5
6
7
8
9
10
11
12
13 | root@h2734264:/usr/lib/ssl# dpkg -P --force-depends openssl ca-certificates
dpkg: Warnung: Die Anforderung, ca-certificates zu entfernen, wird ignoriert; es ist nicht installiert
dpkg: openssl: Abhängigkeitsprobleme, wird aber wie gefordert dennoch entfernt:
openssl-blacklist hängt ab von openssl (>= 0.9.8g-9).
ssl-cert hängt ab von openssl (>= 0.9.8g-9).
(Lese Datenbank ... 54541 Dateien und Verzeichnisse sind derzeit installiert.)
Entfernen von openssl (1.1.0h-2.0+ubuntu16.04.1+deb.sury.org+1) ...
dpkg: Fehler beim Bearbeiten des Paketes openssl (--purge):
»/usr/lib/ssl/certs« kann nicht entfernt werden: Read-only file system
Trigger für man-db (2.7.5-1) werden verarbeitet ...
Fehler traten auf beim Bearbeiten von:
openssl
|
Auch wegen dem Read-only file system... Das ist ja blöd... Mache mich jetzt erst einmal schlau, wie ich das weg bekomme um es dann neu zu installieren...
Hast du hierfür auch eine Idee? | root@h2734264:/usr/lib/ssl# lsattr -a /usr/lib/ssl/certs
---------------- /usr/lib/ssl/certs/ca-bundle.crt
---------------- /usr/lib/ssl/certs/.
---------------- /usr/lib/ssl/certs/ca-bundle.trust.crt
---------------- /usr/lib/ssl/certs/make-dummy-cert
---------------- /usr/lib/ssl/certs/Makefile
-------------e-- /usr/lib/ssl/certs/..
---------------- /usr/lib/ssl/certs/localhost.crt
---------------- /usr/lib/ssl/certs/renew-dummy-cert
|
| lsattr -a /usr/lib/ssl/
-------------e-- /usr/lib/ssl/.
---------------- /usr/lib/ssl/certs
|
Das gibt es doch gar nicht... Dank dir jetzt schon einmal für deine Hilfe!!!
Liebe Grüße,
Leo
|
|
sebix
Moderator, Webteam
Anmeldungsdatum:
14. April 2009
Beiträge: 5582
|
|