SSL und Apache2 auf suse 10.2

[matzb]

Hallo,

nachdem ich nun zwei Tage und 40 Tutorials lang ausprobiert habe meinen apache2 mit ssl Unterstützung zu versehen, bitte ich Euch um Hilfe.

Ich habe einen Server hier bei uns im Intranet aufgesetzt. Suse 10.2, Apache2.
Ursprünglicher Einsatz als Samba server.
Jetzt betreibe ich zusätzlich OCS inventory auf dem Server. Für die volle Funktionalität von OCS brauche ich ssl.

Der server hat den namen linux-fs und ist kein Mitglied einer Domain.
Der Apache läuft auf Port 80 einwandfrei.
Mit Samba gibt es auch keinerlei Probleme.

Jetzt möchte ich gerne ssl benutzen.
- Also mod_ssl ist installiert.

- Firewall port 443 ist frei, habe aber auch mit abgeschalteter Firewall probiert.

- Keys habe ich generiert und selbst zertifiziert. (etliche verschiedene tutorials ausprobiert. Bei Bedarf poste ich gerne die Befehlsfolgen und die Daten, die ich dazu eingegeben habe.

- Die <IfDefine SSL> Anweisungen habe ich auskommentiert, bzw. alternativ das Flag APACHE_SERVER_FLAGS="SSL" in /etc/sysconfig/apache2 gesetzt.

- nach jeder Änderung habe ich den apache neu gestartet auch mit der option startssl.

- In der listen.conf habe ich den Port 443 eingetragen

- netstat -a | grep https zeigt mir ein LISTEN an

- mit telnet GET / HTTP/1.0 klappt einwandfrei

- openssl s_client -connect localhost:443 -state -debug gibt mir aber dan folgende Fehlermeldung aus:
---------------------------
linux-fs:/etc/apache2 # openssl s_client -connect localhost:443 -state -debug
CONNECTED(00000003)
SSL_connect:before/connect initialization
write to 0x80bedc0 [0x80bee08] (136 bytes => 136 (0x88))
0000 - 80 86 01 03 01 00 5d 00-00 00 20 00 00 39 00 00 ......]... ..9..
0010 - 38 00 00 35 00 00 88 00-00 87 00 00 84 00 00 16 8..5............
0020 - 00 00 13 00 00 0a 07 00-c0 00 00 33 00 00 32 00 ...........3..2.
0030 - 00 2f 00 00 45 00 00 44-00 00 41 03 00 80 00 00 ./..E..D..A.....
0040 - 05 00 00 04 01 00 80 00-00 15 00 00 12 00 00 09 ................
0050 - 06 00 40 00 00 14 00 00-11 00 00 08 00 00 06 04 ..@.............
0060 - 00 80 00 00 03 02 00 80-31 e1 90 d9 ab 86 9e d1 ........1.......
0070 - b1 55 ff 29 96 a1 76 c4-c9 ec 8a c4 72 d1 4c 94 .U.)..v.....r.L.
0080 - 02 b5 02 f1 0e 11 50 1e- ......P.
SSL_connect:SSLv2/v3 write client hello A
read from 0x80bedc0 [0x80c4368] (7 bytes => 7 (0x7))
0000 - 3c 3f 78 6d 6c 20 76 <?xml v
SSL_connect:error in SSLv2/v3 read server hello A
4131:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:567:
---------------------------


im apache error_log gibts dazu folgendes:
---------------------------
[Fri Aug 10 11:51:30 2007] [error] [client 127.0.0.1] Invalid method in request x80x86x01x03x01
---------------------------

Irgendwelche Tipps?
Hab ich irgendwas übersehen?
Soll ich noch irgendwelche conf/log dateien posten?

Vielen Dank schon mal und viele Grüße

[dotme]

Wie sieht es aus mit

SSLEngine On

in dem VirtualHost-Container "*:443" oder im Serverkontext?

[matzb]

Ist gesetzt.

Ausschnitt aus /etc/apache2/extra/http-ssl.conf
##
## SSL Virtual Host Context
##

<VirtualHost _default_:443>

# General setup for the virtual host
DocumentRoot "/srv/www/htdocs"
ServerName http://www.example.com:443
ServerAdmin you@example.com
ErrorLog /var/log/apache2/error_log
TransferLog /var/log/apache2/access_log

# SSL Engine Switch:
# Enable/Disable SSL for this virtual host.
SSLEngine on
-------------------------------




Ausschnitt aus /etc/apache2/vhost.d/vhost-ssl.template
-------------------------------
#<IfDefine SSL>
#<IfDefine !NOSSL>

##
## SSL Virtual Host Context
##
<VirtualHost _default_:443>

# General setup for the virtual host
DocumentRoot "/srv/www/htdocs"
#ServerName http://www.example.com:443
#ServerAdmin webmaster@example.com
ErrorLog /var/log/apache2/error_log
TransferLog /var/log/apache2/access_log

# SSL Engine Switch:
# Enable/Disable SSL for this virtual host.
SSLEngine on
-------------------------------

[dotme]

Und die "/etc/apache2/extra/http-ssl.conf" wird auch verwendet/inkludiert?

Zumindest lassen Deine Logauszüge vermuten, daß SSL nicht aktiviert ist.

[Joe User]

In /etc/sysconfig/apache2 die Modul-Liste und die Server-Flags um "ssl" erweitern, Zertifikate erzeugen, VHost einricten und Apache restarten.
VHost-Beispiel, Pfade selbst anpassen:

Code: Select all

<IfModule ssl_module>
    Listen 443
    AddType application/x-x509-ca-cert .crt
    AddType application/x-pkcs7-crl .crl
    SSLRandomSeed startup builtin
    SSLRandomSeed connect builtin
    SSLPassPhraseDialog builtin
    SSLSessionCache shmcb:/var/run/ssl_scache(512000)
    SSLSessionCacheTimeout 300
    SSLMutex file:/var/run/ssl_mutex
    <VirtualHost _default_:443>
        ServerName www.domain.tld:443
        ServerAdmin webmaster@domain.tld
        DocumentRoot "/var/www/localhost/htdocs-secure"
        <Directory "/var/www/localhost/htdocs-secure">
            Options -All +FollowSymLinks
            AllowOverride Options FileInfo AuthConfig Limit
            Order allow,deny
            Allow from all
        </Directory>
        ErrorLog "/var/log/apache2/ssl_error_log"
        TransferLog "/var/log/apache2/ssl_access_log"
        SSLEngine on
        SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
        SSLCertificateFile "/etc/apache2/ssl/apache.crt"
        SSLCertificateKeyFile "/etc/apache2/ssl/apache.key"
        <FilesMatch ".(cgi|shtml|pl|php)$">
            SSLOptions +StdEnvVars
        </FilesMatch>
        <Directory "/var/www/localhost/cgi-bin">
            SSLOptions +StdEnvVars
        </Directory>
        BrowserMatch ".*MSIE.*" nokeepalive ssl-unclean-shutdown downgrade-1.0 force-response-1.0
        CustomLog "/var/log/apache2/ssl_request_log" "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x "%r" %b"
    </VirtualHost>
</IfModule>

[matzb]

ok vielen Dank!
Eine Mischung aus den beiden letzten Posts wars.
Die vhosts.d/vhost-ssl.conf war nicht richtig eingerichtet und ich musste die Zertifikate nochmal erneuern.

Jetzt klappts prima.

Viele Grüße

jrook