Apache + StartSSL machen Probleme

[lumio]

Hi,

ich habe einen vServer mit Debian Lenny und darauf die aktuellste ispCP laufen (1.0.7)
Dadurch, dass auf dem Server bereits das Admin-Panel von ispCP via SSL läuft, habe ich noch eine weitere IP bekommen. Die neue Domain habe ich also auf die neue IP eingestellt, im ispCP die Domain ganz normal eingestellt und den vHost in eine extra Datei und NameVirtualHost ip:80 darüber geschrieben.
Klappt wunderbar.

Der nächste Schritt war, wie auch damals schon ganz einfach ein Zertifikat bei StartSSL anzufordern. Hab alles genau wie beschrieben gemacht und folgende Zeilen hinzugefügt:

Code: Select all

        SSLEngine On
        SSLProtocol all -SSLv2
        SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM

        SSLCertificateFile /pfad/zum/zertifikat/ssl.crt
        SSLCertificateKeyFile /pfad/zum/zertifikat/ssl.key
        SSLCertificateChainFile /etc/apache2/ssl/sub.class1.server.ca.pem
        SSLCACertificateFile /etc/apache2/ssl/ca.pem
        SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown

Die Datei ssl.crt und ssl.key existieren und haben die rechte -r-r-r für root:root
Der einzige Unterschied beim Zertifikat ist, dass ich einen längeren Schlüssel gewählt habe (statt 2048 eben 4096).

Alles schön und gut, ich starte also apache neu und bekomme lediglich ein "failed"
In der error.log steht nichts relevantes drinnen und ich bin schon fast am verzweifeln.

Vielleicht sieht ja jemand den Fehler :)

Danke schonmal

[Joe User]

Ich nutze mitlerweile SNI und selbstsignierte Zertifikate mit dieser Config:

Code: Select all

<IfModule ssl_module>
    Listen *:443
    NameVirtualHost *:443
    SSLStrictSNIVHostCheck on
    AddType application/x-x509-ca-cert .crt
    AddType application/x-pkcs7-crl .crl
    SSLRandomSeed startup builtin
    SSLRandomSeed connect builtin
    SSLPassPhraseDialog builtin
    SSLSessionCache "shmcb:/var/run/ssl_scache(512000)"
    SSLSessionCacheTimeout 300
    SSLMutex "file:/var/run/ssl_mutex"
    <VirtualHost *:443>
        ServerName devnull.examble.org
        ServerAdmin webmaster@examble.org
        CustomLog "/usr/local/www/vhosts/devnull.examble.org/logs/ssl_request_log" "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
        TransferLog "/usr/local/www/vhosts/devnull.examble.org/logs/ssl_access_log"
        ErrorLog "/usr/local/www/vhosts/devnull.examble.org/logs/ssl_error_log"
        DocumentRoot "/usr/local/www/vhosts/devnull.examble.org/data"
        <Directory "/usr/local/www/vhosts/devnull.examble.org/data">
            Options -All +FollowSymLinks +ExecCGI
            AllowOverride Options FileInfo AuthConfig Limit
            Order Allow,Deny
            Allow from all
        </Directory>
        SSLEngine on
        SSLProtocol all -SSLv2
        SSLCipherSuite RSA:!EXP:!NULL:+HIGH:+MEDIUM:-LOW:-SSLv2
        SSLCertificateFile "/etc/ssl/devnull.examble.org_cert.pem"
        SSLCertificateKeyFile "/etc/ssl/devnull.examble.org_keyrsa.pem"
        <FilesMatch "\.(phps|php|pl|py|cgi|shtml)$">
            SSLOptions +StdEnvVars
        </FilesMatch>
        BrowserMatch ".*MSIE.*" nokeepalive ssl-unclean-shutdown downgrade-1.0 force-response-1.0
        AcceptPathInfo On
    </VirtualHost>
    <VirtualHost *:443>
        ServerName devzero.examble.org
        ServerAdmin webmaster@examble.org
        CustomLog "/usr/local/www/vhosts/devzero.examble.org/logs/ssl_request_log" "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
        TransferLog "/usr/local/www/vhosts/devzero.examble.org/logs/ssl_access_log"
        ErrorLog "/usr/local/www/vhosts/devzero.examble.org/logs/ssl_error_log"
        DocumentRoot "/usr/local/www/vhosts/devzero.examble.org/data"
        <Directory "/usr/local/www/vhosts/devzero.examble.org/data">
            Options -All +FollowSymLinks +ExecCGI
            AllowOverride Options FileInfo AuthConfig Limit
            Order Allow,Deny
            Allow from all
        </Directory>
        SSLEngine on
        SSLProtocol all -SSLv2
        SSLCipherSuite RSA:!EXP:!NULL:+HIGH:+MEDIUM:-LOW:-SSLv2
        SSLCertificateFile "/etc/ssl/devzero.examble.org_cert.pem"
        SSLCertificateKeyFile "/etc/ssl/devzero.examble.org_keyrsa.pem"
        <FilesMatch "\.(phps|php|pl|py|cgi|shtml)$">
            SSLOptions +StdEnvVars
        </FilesMatch>
        BrowserMatch ".*MSIE.*" nokeepalive ssl-unclean-shutdown downgrade-1.0 force-response-1.0
        AcceptPathInfo On
    </VirtualHost>
</IfModule>

Da ich keine Admin-Panels einsetze, konfiguriere ich direkt in der httpd.conf

[lumio]

Danke für deine Antwort, aber was ist SNI? :)

[Joe User]

http://wiki.apache.org/httpd/NameBasedSSLVHostsWithSNI

[lumio]

Danke, aber hab ich dann nicht Probleme, dass ich bei den Browsern eine Warnung bekomme von wegen Sicherheitsrisiko und so?

[rudelgurke]

Problem mit dem Zertifikat selbst oder der CA ?

Wenn die Konfiguration von Joe User so auf dein System angepasst wurde, ein Blick in die "ssl_error_log" müsste helfen. :)

[lumio]

Hi,

danke, jetz hab ich endlich mal ne ordentliche Aussage. Scheinbar ist es Problem mit der CA oder auch nur ein Verständnisproblem. Dachte dass das Zertifikat auf example.org und admin.example.org ausgestellt wird. Wird allerdings nur auf admin.example.org ausgestellt.

Ich richt also mal die admin.example.org ein und hoffe, dass es klappt.

Danke für eure Hilfe

[Joe User]

Du musst Dir für jeden VHost ein eigenes Zertifikat kaufen, dann meckern die moderneren Browser auch nicht. Alte Browser (siehe obigen Link) schliesst Du damit zwar aus, aber auf die paar lernresistenten User kann man durchaus verzichten.
Der grosse Vorteil ist halt, dass man nur noch eine IP-Adresse für alle SSL-VHosts benötigt und nicht mehr für jeden SSL-VHost eine eigene IP-Adresse. In Zeiten mangelnder IPv4-Adressen ein wichtiger Wettbewerbsvorteil.

[lumio]

Hm, bekomme immer folgende Fehlermeldung:

Code: Select all

[Sat Mar 12 15:48:28 2011] [error] Unable to configure RSA server private key
[Sat Mar 12 15:48:28 2011] [error] SSL Library Error: 185073780 error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch

[Joe User]

Das Key-File scheint nicht zum Cert zu passen.

[lumio]

So stehts zumindest in der Log.
Ich hab glaub ich einen anderen Fehler gemacht: Hab erst aus Frust as Key-File gelöscht -.- ja ich weiss :D mein Fehler
Habs halt nochmal generiert, aber ich schätz mal, dass ich dann auch das Zertifikat nochmal neu generieren muss.

[Joe User]

Ja, neuer Key = neues Cert ;)

[lumio]

Dacht ich mir fast... mann mann mann... ich verkacks auch echt :D naja mal schaun :)

Danke jedenfalls für die kompetente Hilfe :)

[lumio]

Okay, ich werds ab sofort immer so machen, dass ich zuerst selbst ein Zertifikat generiere und probiere, obs funktioniert und dann erst ein ordentliches anfordern. :D

Der Hauptfehler lag am fehlenden NameVirtualHost [ip]:443 und der darauffolgenden <VirtualHost [ip]:443> - eigentlich schon richtig peinlich -.-