SAN Error bei der Anfrage von Let’s Encrypt-Zertifikaten mit dem Skript getssl
Für die Anfrage und Verwaltung meiner Let's Encrypt-Zertifikate nutze ich das Skript getssl (github.com/srvrco/getssl). Dabei habe ich die Anforderung Zertifikate für mehrere Domains mit SAN (Subject Alternative Name) zu beantragen. Die Domains habe ich dazu in die Konfigurationsdatei getssl.cfg der Basisdomain eingetragen. Beim Request der Zertifikate erhalte ich allerdings folgende Fehlermeldung:
"Error Loading request extension section SAN
140325313369760:error:2206D06D:X509 V3 routines:X509V3_parse_list:invalid null value:v3_utl.c:299:
140325313369760:error:22097069:X509 V3 routines:DO_EXT_NCONF:invalid extension string:v3_conf.c:139:name=subjectAltName,section=DNS:webserver-bartlwebnet-public.letsencrypt.bartlweb.net,DNS:,DNS:webssh.bartlweb.net,DNS:wordclock.bartlweb.net
140325313369760:error:22098080:X509 V3 routines:X509V3_EXT_nconf:error in extension:v3_conf.c:93:name=subjectAltName, value=DNS:webserver-bartlwebnet-public.letsencrypt.bartlweb.net,DNS:,DNS:webssh.bartlweb.net,DNS:wordclock.bartlweb.net
"
getssl: Sign failed: "detail": "Error parsing certificate request. Extensions in the CSR marked critical can cause this error: https://github.com/letsencrypt/boulder/issue/565
Dieser Fehler tritt auf wenn im CSR (Certificate Signing Request) leere Domains als SAN eingetragen sind. Für das Skript getssl heißt das, zu berücksichtigen, dass in der Konfigurationsdatei getssl.cfg die Liste der Domains für den Parameter SANS= nicht mit einem führenden , beginnt, da ansonsten eine leere Domain in den Antrag mit aufgenommen wird.
