probleme mit zertifikat

[chrisigleich]

Hi,
ich hatte meinen webserver bis jetzt mit ssl (root server bei 1u1 mit dem sslproxy wie in den faq) laufen (selbsterstelltes Zertifikat),
jetzt habe ich ein Zertifikat von der Deutschen Telekom bekommen ein User Zertifikat und ein Ca Zertifikat und ein root zertifikat.
Nach folgender Anleitung bin ich vorgegangen, um das Zertifikat zu instalieren und generieren:
http://www.telekom.de/dtag/t-telesec/te ... ,57,00.pdf

Als ich den Server neugestartet habe kam die Meldung:
Shutting down httpd done
Starting httpd [ PHP4 SSL ] failed

ich habe in der rcapache.log nach geschaut da steht "Syntax OK".

dann habe ich in der ssl_engine.log folgende Zeilen gefunden:

[12/Nov/2003 21:01:22 23903] [info] Server: Apache/1.3.26, Interface: mod_ssl/2
.8.10, Library: OpenSSL/0.9.6g
[12/Nov/2003 21:01:22 23903] [info] Init: 1st startup round (still not detached
)
[12/Nov/2003 21:01:22 23903] [info] Init: Initializing OpenSSL library
[12/Nov/2003 21:01:22 23903] [info] Init: Loading certificate & private key of
SSL-aware server ssl.xxx.de:443
[12/Nov/2003 21:01:22 23903] [info] Init: Seeding PRNG with 136 bytes of entrop
y
[12/Nov/2003 21:01:22 23903] [info] Init: Generating temporary RSA private keys
(512/1024 bits)
[12/Nov/2003 21:01:22 23903] [info] Init: Configuring temporary DH parameters (
512/1024 bits)
[12/Nov/2003 21:01:23 23905] [info] Init: 2nd startup round (already detached)
[12/Nov/2003 21:01:23 23905] [info] Init: Reinitializing OpenSSL library
[12/Nov/2003 21:01:23 23905] [info] Init: Seeding PRNG with 136 bytes of entrop
y
[12/Nov/2003 21:01:23 23905] [info] Init: Configuring temporary RSA private key
s (512/1024 bits)
[12/Nov/2003 21:01:23 23905] [info] Init: Configuring temporary DH parameters (
512/1024 bits)
[12/Nov/2003 21:01:23 23905] [info] Init: Initializing (virtual) servers for SS
L
[12/Nov/2003 21:01:23 23905] [info] Init: Configuring server ssl.xxx.de
:443 for SSL protocol
[12/Nov/2003 21:01:23 23905] [warn] Init: (ssl.xxx.de:443) RSA server c
ertificate is a CA certificate (BasicConstraints: CA == TRUE !?)
[12/Nov/2003 21:01:23 23905] [warn] Init: (ssl.xxx.de:443) RSA server c
ertificate is not a leaf certificate (BasicConstraints: pathlen == 4 > 0 !?)
[12/Nov/2003 21:01:23 23905] [warn] Init: (ssl.xxx.de:443) RSA server c
ertificate CommonName (CN) `Deutsche Telekom CA 1' does NOT match server name!?
[12/Nov/2003 21:01:23 23905] [error] Init: (ssl.xxx.de:443) Unable to co
nfigure RSA server private key (OpenSSL library error follows)
[12/Nov/2003 21:01:23 23905] [error] OpenSSL: error:0B080074:lib(11):func(128):r
eason(116)


Ich kann leider mit diesen Zeilen nicht viel anfangen, kann mir bitte jemand weiterhelfen?
ps als common name habe ich ssl.xxx.de angegeben.
Wofür ist eigentlich das RootZertifikat gut?

chris

[kloewer]

Also soviel kann ich da jetzt auch nicht zu sagen, weil ich auch keine Zeit hatte mir alles durchzulesen, aber ich hatte mal ein ähnliches Prob als ich mir ein eigenes Zertifikat erstellt habe, und da hab ich irgendwass falsch gemacht und dannach ist der Apache mit der gleichen meldung auch nicht mehr gestartet...

Vieleicht hilft es ja schon, wenn du das zertifikat von der Telekom einfach nochmal genau nach anleitung drüber installierst...

[majortermi]

1. Du scheinst zu versuchen das CA-Zertifikat als Server-Zertifikat zu benutzen, was natürlich keinen Sinn macht.
2. Die Rechte für die Datei mit dem Private-Key sind anscheinend falsch gesetzt.

[chrisigleich]

Habe das die datei nicht in die verschiedenen Zertifikate unterteilt sondern habe das ganze als bundle angegeben und es funzt jetzt.
Komisch fande ich das wenn ich mit dem openssl befehl und die einzelnen Zertifikate lese das dann überall die telekom als commonname (CN) angegeben bzw. den namen von der Domian überhaupt nicht erschienen ist. wenn ich das bundle im klartext mir anzeigen lassen habe war der CN richtig????
naja auf jedenfall klappt es jetzt.
Danke auch.
chris