SSL - Was hab ich falsch gemacht ?

[tobias2k]

Ich wollte testweise mal SSL für einen vhost aktivieren & hab in der vhost-config beim entsprechenden Vhost Eintrag die Zeile "SSLEngine on" eingetragen. Daraufhin den Apache restartet & schon ist die ganze Kiste abgerockt. Wenn der Apache weg wär, hätt ich das verstanden, aber nicht gleich der ganze Server ?!

[floschi]

Hast du mod_ssl denn drauf?

Wie hast du den Apache restartet?

Hat er was gemeckert?

Steht was im error.log ?

[tobias2k]

1) Ja, mod is drauf, sonst hätt ich das ja net probiert. Beim Aufruf der IP per HTTPS kam auch ne SSL-Verbindung zustande, gefolgt von einer Confixx HTAccess Aufforderung.

2) Neugestartet über Webmin. Zu faul für SSH :)

3) Zum Meckern kam er nicht mehr. Weg war die Kiste

4)
Errorlog:

[Fri Feb 21 08:04:18 2003] [warn] child process 414 did not exit, sending another SIGHUP
[Fri Feb 21 08:04:19 2003] [warn-phpa] failed to get lock - Identifier removed (pid 414)
[Fri Feb 21 08:04:19 2003] [warn-phpa] release_shm_cache failed to stat the shm - Invalid argument (pid 414)
[Fri Feb 21 08:04:20 2003] [notice] SIGHUP received. Attempting to restart
[Fri Feb 21 08:04:20 2003] [notice-phpa] Cache shared memory removed (pid 2860)
[Fri Feb 21 08:04:20 2003] [notice-phpa] Cache semaphores removed (pid 2860)
[Fri Feb 21 08:04:21 2003] [notice-phpa] PHPA 1.3.2 on linux_i686_glibc2.2.4 (pid 2860)
[Fri Feb 21 08:04:21 2003] [notice-phpa] Initialised 32MB cache at 0x44c91000 with 512 process entries (pid 2860)
[Fri Feb 21 08:04:21 2003] [notice-phpa] Lock thresholds 10/10 (pid 2860)
[Fri Feb 21 08:04:21 2003] [error] mod_ssl: Init: (test234.de:80) No SSL Certificate set [hint: SSLCertificateFile]
[Fri Feb 21 08:12:52 2003] [error] mod_ssl: Init: Server test234.de:80 should be SSL-aware but has no certificate configured [Hint: SSLCertificateFile]
[Fri Feb 21 08:15:16 2003] [notice-phpa] PHPA 1.3.2 on linux_i686_glibc2.2.4 (pid 709)
[Fri Feb 21 08:15:16 2003] [notice-phpa] Initialised 32MB cache at 0x44c85000 with 512 process entries (pid 709)
[Fri Feb 21 08:15:16 2003] [notice-phpa] Lock thresholds 10/10 (pid 709)
[Fri Feb 21 08:15:16 2003] [notice] Apache/1.3.19 (Unix) (SuSE/Linux) mod_gzip/1.3.19.1a mod_throttle/3.0 mod_ssl/2.8.3 OpenSSL/0.9.6a PHP/4.0.6 mod_layout/1.0 mod_fastcgi/2.2.2 mod_dtcl configured -- resuming normal operations
[Fri Feb 21 08:15:16 2003] [notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec)

Wie man sieht, ist der "Bruch" um 08:04 morgens. In den Logs ist nichts auffälliges meiner Meinung nach, zumindest nichts was einen kompletten Absturz begründet.

[floschi]

Hm, irgendwo hab' ich mal gelesen, dass man bei solchen Ã?nderungen mit /etc/init.d/apache stop und /etc/init.d/apache start bzw. den SuSE-pendants dazu neustarten muss - nicht mit restart oder so. Evtl. liegt's daran?

[tobias2k]

Webmin ist so eingestellt, dass es per init.d stoppt & anschließend neu startet.
Wahrscheinlich war die Kiste nur zu lang online. 230 Tage ohne Reboot sind schon recht viel. Für ne Windows Maschine undenkbar :)

[dodolin]

[Fri Feb 21 08:04:21 2003] [error] mod_ssl: Init: (test234.de:80) No SSL Certificate set [hint: SSLCertificateFile]
[Fri Feb 21 08:12:52 2003] [error] mod_ssl: Init: Server test234.de:80 should be SSL-aware but has no certificate configured [Hint: SSLCertificateFile]

Steht doch alles da, was deinem Indianer fehlt... Du solltest ein Zertifikat erstellen und es mit der Direktive SSLCertificateFile in die httpd.conf einbinden.

[Fri Feb 21 08:15:16 2003] [notice] Apache/1.3.19 (Unix) (SuSE/Linux) mod_gzip/1.3.19.1a mod_throttle/3.0 mod_ssl/2.8.3 OpenSSL/0.9.6a PHP/4.0.6 mod_layout/1.0 mod_fastcgi/2.2.2 mod_dtcl configured -- resuming normal operations

Und du möchtest dringend dein OpenSSL updaten. Es gab da in der Zwischenzeit schon mehrere Sicherheitslücken, auch gerade aktuell wieder eine...

HTH.

[sascha]

Wenn man die SuSE Patches installiert ändert sich die Versionsnummer nicht...

[dodolin]

Wenn man die SuSE Patches installiert ändert sich die Versionsnummer nicht...

Hm... das ist krass. Mangels SuSE-Erfahrung wusste ich das nicht. Dann nehme ich das zurück. Sorry.