SSL Problem mit dem Internet Explorer

[mcdoogle]

Mein Apache2 stellt mehrere virtuelle Hosts mit und ohne SSL zur Verfügung.
Rufe ich die Seite:
https://h4740.serverkompetenz.net im Firefox auf, funktioniert alles prächtig. Selber Link mit Internet Explorer funktioniert nicht.

Ich schätze es muss an der Apache2 konfiguration liegen. Ich glaube unter dem alten Apache, der bis vor ein paar Wochen lief, ging es in beiden Browsern.

Woran kann sowas liegen?
Da ich keine Idee hab, hab ich erst mal nur meine default virtual Hosts gepostet:

Code: Select all

NameVirtualHost 81.169.150.28:80
NameVirtualHost 81.169.150.28:443

<VirtualHost 81.169.150.28:443>
        ServerAdmin webmaster@f-eckert.com

        SSLEngine on

        DocumentRoot /data/www/gesperrt
        ErrorLog /var/log/apache2/error.log
        LogLevel warn
        CustomLog /var/log/apache2/access.log combined

        DirectoryIndex index.html index.htm index.php
        ServerSignature Off
</VirtualHost>

<VirtualHost 81.169.150.28:80>
        ServerAdmin webmaster@f-eckert.com

        DocumentRoot /data/www/gesperrt
        ErrorLog /var/log/apache2/error.log
        LogLevel warn
        CustomLog /var/log/apache2/access.log combined

        DirectoryIndex index.html index.htm index.php
        ServerSignature Off
</VirtualHost>

[jhnet]

Hallo,

könnte auch an der unsauberen Implementierung von SSL im Interet Explorer liegen, einfach mal die folgende Zeile in den SSL-VH einfügen:

Code: Select all

BrowserMatch "MSIE [5-9]" ssl-unclean-shutdown

Bye,
Jörg

[mcdoogle]

Das hilft leider auch nicht!

[getphp]

Das hier vielleicht?
http://www.rootforum.org/forum/viewtopic.php?t=38129

[lord_pinhead]

Hast du dich mal versucht selbst zu zertifizieren? Eigentlich ganz einfach mit

Code: Select all

openssl genrsa -out server.key 2048
openssl req -new -x509 -key server.key -out server.crt -days 1095

und nochmal versuchen. Schonmal die Logs durchgesehen ?

[dw-wolfi]

Hi,
hat du folgendes im Virtualhost?

SetEnvIf User-Agent ".*MSIE.*"
nokeepalive ssl-unclean-shutdown
downgrade-1.0 force-response-1.0

[mcdoogle]

Dieser Absatz bezüglich MSIE steht bei mir bereits in der Debian Standartkonfiguration im ssl.conf File des Apache drin!

TLS ist in den Security Einstellungen von Windows nicht aktiv, allerdings ist das so die Standartinstallation von Windows. Daran will ich nix ändern, da es sonst ja bei niemandem funktioniert der kein GEEK ist. Und andere Seiten mit SSL Funktionieren ja auch. Als darf es nicht an einer Windowskonfiguration liegen.

Ich tippe jetzt auf mein Zertifikat. Allerdings weiß ich nicht mehr recht was daran noch zu verändern wäre. Es ist halt ein selbstausgestelltes und selbstsigniertes. Aber das was mim alten Apache auch kein Problem. Warnmeldung weggeklickt und prima.

[mcdoogle]

Also nach viel Testen weiß ich jetzt es liegt an meinem Tertifikat.

Wenn ich ein selbstsigniertes Zertifikat generiere wie von Lord_Pinhead beschrieben funktioniert alles prächtig. Sobald ich ein Zertifikat mit meiner eigenen CA zertifiziere, funktioniert es nicht mehr.

Ich hatte mein altes Zertifikat folgendermaßen generiert:
Zu erst mal neue CA anlegen:

Code: Select all

CA.pl -newca

Danach Certification Request generieren:

Code: Select all

openssl req -new -keyout newreq.pem -out newreq.pem -days 365

Dann signieren:

Code: Select all

openssl ca -policy policy_anything -out newcert.pem -infiles newreq.pem

Und zu guter letzt noch das Passwort eintragen, damit ich nicht jedesmal bei Apache starten ein Passwort eingeben muss (ich weiß das ist nicht die sicherste Methode aber oft verwendet):

Code: Select all

openssl rsa < newreq.pem > newkey.pem

Wie kann ich das anders machen, so dass auch für Windows die Zertifiakte die ich durch meine eigene CA signiere akzeptiert werden?

[lord_pinhead]

Wie wäre es einfach ein Zertifikat von CACert.org zu holen, müsste eigentlich auch auf IE laufen wenn ich mich an die letzten Updates erinnere.