Apache läuft, ssl Verbindung nicht

[maku]

Hallo,

ich habe folgendes unter SuSE 9.1 selbst kompiliert:

Apache/1.3.33 (Unix) mod_perl/1.29 PHP/4.3.9 mod_ssl/2.8.22 OpenSSL/0.9.7d

läuft so weit scheinbar auch alles, nur akzeptiert der Server keine ssl Verbindung. Es erscheint folgende Meldung:

"Beim Versuch xyz zu kontaktieren, wurde die Verbindung zurückgesetzt."

ssl Zertifikat habe ich nach Anleitung in der FAQ gemacht.

In httpd.conf folgender Eintrag:
Unter ## SSL Virtual Host Context

NameVirtualHost 1xx.xx.xxx.xxx:443

<VirtualHost 1xx.xx.xxx.xxx:443>
ServerName xyz.de
DocumentRoot /opt/web/www/htdocs
ServerAdmin root@xyz.de
ErrorLog /opt/web/log/ssl-error_log
TransferLog /opt/web/log/ssl-access_log

Später (Ende httpd.conf) folgt noch ein Include Eintrag einer Datei, die VirtualHosts Einträge für Port 80 beinhalten.

Die logfiles bleiben leer, einzig ssl_engine_log füllt sich. Allerdings nicht mit Fehlermeldungen ...

Wollte hier erst mal nicht so viel posten, kommt aber alles auf Anforderung.

Hat jemand vielleicht einen Tip oder Rat, wo ich nach Hinweisen/Lösungen suchen sollte/kann?

Danke,

Mark

[spiderman]

bin mir nicht sicher, aber braucht man da nicht auch noch ein

Listen 1xx.xxx.xxx.xxx:443 ?

was sagt denn ein lsof -ni?

[maku]

Hmm, die 'Listen'-Einträge geschehen doch durch das Kompilieren mit mod_ssl automatisch, oder? Ist jedenfalls vorhanden.

Code: Select all

<IfDefine SSL>
Listen 80
Listen 443
</IfDefine>

Ein lsof -ni bringt folgendes zu Tage:

Code: Select all

COMMAND     PID     USER   FD   TYPE DEVICE SIZE NODE NAME
mysqld     2224    mysql    3u  IPv4   4927       TCP *:mysql (LISTEN)
sshd       2307     root    3u  IPv6   4932       TCP *:ssh (LISTEN)
cupsd      3411       lp    0u  IPv4   7885       TCP *:ipp (LISTEN)
cupsd      3411       lp    2u  IPv4   7886       UDP *:ipp
httpd      4240     root   18u  IPv4   8103       TCP *:http (LISTEN)
master     7809     root   12u  IPv4  18823       TCP 127.0.0.1:smtp (LISTEN)
master     7809     root   13u  IPv6  18824       TCP [::1]:smtp (LISTEN)
httpd     11502   wwwrun   18u  IPv4   8103       TCP *:http (LISTEN)
httpd     11503   wwwrun   18u  IPv4   8103       TCP *:http (LISTEN)
httpd     11504   wwwrun   18u  IPv4   8103       TCP *:http (LISTEN)
httpd     11505   wwwrun   18u  IPv4   8103       TCP *:http (LISTEN)
httpd     11506   wwwrun   18u  IPv4   8103       TCP *:http (LISTEN)
httpd     11507   wwwrun   18u  IPv4   8103       TCP *:http (LISTEN)
httpd     11508   wwwrun   18u  IPv4   8103       TCP *:http (LISTEN)
httpd     11557   wwwrun   18u  IPv4   8103       TCP *:http (LISTEN)
httpd     11561   wwwrun   18u  IPv4   8103       TCP *:http (LISTEN)
httpd     11562   wwwrun   18u  IPv4   8103       TCP *:http (LISTEN)
sshd      12557     root    4u  IPv6 327773       TCP 1xx.xx.xxx.xxx:ssh->213.xx.xxx.xxx:parsec-game (ESTABLISHED)
postmaste 16112 postgres    4u  IPv4 134958       UDP 127.0.0.1:33716->127.0.0.1:33716
postmaste 16113 postgres    4u  IPv4 134958       UDP 127.0.0.1:33716->127.0.0.1:33716

Tja, leider kein https. Eigentlich müsste doch zu jedem http daemon ein https daemon gehören, oder?

Woran kann das liegen?

Danke jedenfalls,

Mark

[spiderman]

also ich habe jetzt nochmal nachgeguckt, ich gebe jeder ssl-ip ein explizites Listen <ip>:443 mit...

[maku]

Und wo genau machst Du dies?
Ich habe den Listen Eintrag für die IP jetzt mal im Eintrag für den SSL Virtual Host gemacht. Das hat leider nix gebracht. Auch nicht bei den lsof Ergebnissen.
Ich habe mich bei den Einträgen an einem funktionierenden (v.a. in Bezug auf ssl ;)) rootserver (httpd.conf) orientiert.

Ich frag nochmal anders:
Habe ich eine Möglichkeit zu prüfen, ob:
- evtl. mod_ssl falsch kompiliert ist (bei httpd - l wird mod_ssl.c angegeben)
- ob es ein config Problem in der httpd.conf ist?

Danke,

Mark

[spiderman]

hm, ich gebe ihm das ganz einfach in der httpd.conf mit, nicht zwischen nem if_define ssl oder so, sondern global.

error_log gibt gar nix her, auch das "globale" nicht?

paste doch bitte mal den kompletten VirtualHost-Container, dann kann man da auch mal reingucken...

[maku]

Sorry, musste Gestern früher weg:

hm, ich gebe ihm das ganz einfach in der httpd.conf mit, nicht zwischen nem if_define ssl oder so, sondern global.

Okay, werd ich anschließend mal machen ...

error_log sagt nur folgendes:

Code: Select all

[notice] Apache/1.3.33 (Unix) mod_perl/1.29 PHP/4.3.9 mod_ssl/2.8.22 OpenSSL/0.9.7d configured -- resuming nor
mal operations

und als einziger Fehler:

Code: Select all

[error] [client 213.61.221.115] File does not exist: /opt/web/www/htdocs/favicon.ico

ssl_engine_log sagt als letztes folgendes:

Code: Select all

[12/Jan/2005 16:42:41 04240] [info]  Init: 35nd restart round (already detached)
[12/Jan/2005 16:42:41 04240] [info]  Init: Seeding PRNG with 1160 bytes of entropy

[12/Jan/2005 16:42:41 04240] [info]  Init: Configuring temporary RSA private keys (512/1024 bits)
[12/Jan/2005 16:42:41 04240] [info]  Init: Configuring temporary DH parameters (512/1024 bits)
[12/Jan/2005 16:42:41 04240] [info]  Init: Initializing (virtual) servers for SSL

paste doch bitte mal den kompletten VirtualHost-Container, dann kann man da auch mal reingucken...

Code: Select all

##
## SSL Virtual Host Context
##

# <VirtualHost _default_:443>

#  General setup for the virtual host

NameVirtualHost 1xx.xx.xxx.xxx:443

<VirtualHost 1xx.xx.xxx.xxx:443>
 ServerName abc.de
 DocumentRoot /opt/web/www/htdocs
 ServerAdmin root@abc.de
 ErrorLog /opt/web/log/ssl-error_log
 TransferLog /opt/web/log/ssl-access_log

dann nochmal separat in einer included Datei:

Code: Select all

NameVirtualHost 1xx.xx.xxx.xxx:80

<VirtualHost 1xx.xx.xxx.xxx:80>
ServerName abc.de
ServerAdmin xx@abc.de
DocumentRoot /opt/web/www/htdocs
ErrorLog /opt/web/log/abc_error.log
TransferLog /opt/web/log/abc_access.log
</VirtualHost>

<VirtualHost 1xx.xx.xxx.xxx:80>
ServerName xyz.abc.de
ServerAdmin xyz@xyz.abc.de
DocumentRoot /opt/web/www/vhosts/learn_int
ErrorLog /opt/web/log/learn_int_error.log
TransferLog /opt/web/log/learn_int_access.log
</VirtualHost>

Für abc.de hab ich die Schlüssel und Zertifikate etc. erstellt

Danke und Gruß,

Mark

[spiderman]

Sorry, musste Gestern früher weg:

Code: Select all

##
## SSL Virtual Host Context
##

# <VirtualHost _default_:443>

#  General setup for the virtual host

NameVirtualHost 1xx.xx.xxx.xxx:443

<VirtualHost 1xx.xx.xxx.xxx:443>
 ServerName abc.de
 DocumentRoot /opt/web/www/htdocs
 ServerAdmin root@abc.de
 ErrorLog /opt/web/log/ssl-error_log
 TransferLog /opt/web/log/ssl-access_log

dann nochmal separat in einer included Datei:

Code: Select all

NameVirtualHost 1xx.xx.xxx.xxx:80

<VirtualHost 1xx.xx.xxx.xxx:80>
ServerName abc.de
ServerAdmin xx@abc.de
DocumentRoot /opt/web/www/htdocs
ErrorLog /opt/web/log/abc_error.log
TransferLog /opt/web/log/abc_access.log
</VirtualHost>

<VirtualHost 1xx.xx.xxx.xxx:80>
ServerName xyz.abc.de
ServerAdmin xyz@xyz.abc.de
DocumentRoot /opt/web/www/vhosts/learn_int
ErrorLog /opt/web/log/learn_int_error.log
TransferLog /opt/web/log/learn_int_access.log
</VirtualHost>

Für abc.de hab ich die Schlüssel und Zertifikate etc. erstellt

und wo bindest du die ein? also ich habe da ein bisschen mehr stehen :-D

[maku]

Die letztgenannten binde ich ganz am Ende der httpd.conf ein:

Code: Select all

</VirtualHost>

</IfDefine>

Include /opt/web/config/vhost/abc.vhosts.conf

Der Rechner ist relativ frisch aufgesetzt. Da sollen später auch nur max. 15 ausgewähltet Domains drüber zu erreichen sein. Aber ein paar sollten halt nur via ssl Verschlüsselung erreichbar sein. Grrrr.

Vielleicht könntest Du mal kurz Deine Entsprechungen posten?!

Danke,

Mark

[spiderman]

Die letztgenannten binde ich ganz am Ende der httpd.conf ein:

ich dachte dabei so an

SSLCertificateFile
SSLCertificateKeyFile

usw...

[maku]

sorry:
Ebenfalls in

Code: Select all

##
## SSL Virtual Host Context
##

...
SSLCertificateKeyFile /opt/web/config/ssl.key/server.key
...
SSLCertificateFile /opt/web/config/ssl.crt/server.crt
...

Das sind aber die beiden einzigen ssl files. Oder was meinst Du mit usw.?

[maku]

Falls es noch jemanden interessiert:

Ich habe den Apache nicht mit:

Code: Select all

apachectl startssl 

gestartet. Konnte also gar nicht klappen. Nachher ist man immer ein wenig schlauer

Mark