ssl: couldnt connect to host

[jdelmour2]

Hallo

ich habe Probleme bei der Einrichtung des Apache 2.2.3 für SSL.

Ich habe ein Zertifikat erstellt (self signed), habe "ssl.conf" und "ssl.load" unter mods-enabled verlinkt, einen VirtualHost-Eintrag vorgenommen und Apache neu gestartet. Hier musste ich die Passphrase für mein Zertifikat eingeben, die Module wurden auch geladen. Normaler http-Zugriff funktioniert, https nicht.

Es folgen meine Einstellungen:

Code: Select all

NameVirtualHost XXX.xxx.xxx.xxx:443
<VirtualHost XXX.xxx.xxx.xxx:443>
    ServerName domain.de:443
    ServerAlias www.domain.de:443
    DocumentRoot /var/www/path/to/domain
    CustomLog /var/log/apache2/www.domain.de-access_log common

    #   SSL Engine Switch:
    #   Enable/Disable SSL for this virtual host.
    SSLEngine on

    SSLCertificateFile /etc/apache2/ssl/ssl_name.crt
    SSLCertificateKeyFile /etc/apache2/ssl/ssl_name.key

</VirtualHost>

Geladene Module:

Code: Select all

Loaded Modules:
 core_module (static)
 log_config_module (static)
 logio_module (static)
 mpm_prefork_module (static)
 http_module (static)
 so_module (static)
 alias_module (shared)
 auth_basic_module (shared)
 authn_file_module (shared)
 authz_default_module (shared)
 authz_groupfile_module (shared)
 authz_host_module (shared)
 authz_user_module (shared)
 autoindex_module (shared)
 cgi_module (shared)
 dir_module (shared)
 env_module (shared)
 mime_module (shared)
 negotiation_module (shared)
 php5_module (shared)
 setenvif_module (shared)
 ssl_module (shared)
 status_module (shared)
Syntax OK

Server version: Apache/2.2.3

Das interessante ist, das noch nicht mal ein Eintrag in den Logfiles erscheint, wenn ich via HTTPS auf die Domain zugreifen will. Mittels http läuft alles prima.

Das Error-Log sieht folgender massen aus:

Code: Select all

[Sat Feb 16 10:59:35 2008] [warn] RSA server certificate CommonName (CN) `XXXXXXXX' does NOT match server name!?
[Sat Feb 16 10:59:35 2008] [warn] RSA server certificate CommonName (CN) `XXXXXXXX' does NOT match server name!?
[Sat Feb 16 10:59:35 2008] [warn] Init: SSL server IP/port conflict: XXXXXXXX.de:443 (/etc/apache2/httpd-ssl.conf:2) vs. YYYYYYY.com:443 (/etc/apache2/httpd-ssl.conf:17)
[Sat Feb 16 10:59:35 2008] [warn] Init: You should not use name-based virtual hosts in conjunction with SSL!!
[Sat Feb 16 10:59:35 2008] [warn] pid file /var/run/apache2.pid overwritten -- Unclean shutdown of previous Apache run?
[Sat Feb 16 10:59:35 2008] [notice] Apache/2.2.3 (Debian) PHP/5.2.0-8+etch10 mod_ssl/2.2.3 OpenSSL/0.9.8c configured -- resuming normal operations

Weiss jemand Rat?

Vielen Dank im Voraus,
jdelmour

[Roger Wilco]

Code: Select all

[Sat Feb 16 10:59:35 2008] [warn] Init: SSL server IP/port conflict: XXXXXXXX.de:443 (/etc/apache2/httpd-ssl.conf:2) vs. YYYYYYY.com:443 (/etc/apache2/httpd-ssl.conf:17)

http://httpd.apache.org/docs/2.2/ssl/

Code: Select all

[Sat Feb 16 10:59:35 2008] [warn] Init: You should not use name-based virtual hosts in conjunction with SSL!!

http://httpd.apache.org/docs/2.2/vhosts/name-based.html

[jdelmour2]

Hallo Roger

danke, diese beiden Warnhinweise kommen jetzt nicht mehr.

EIn Zugriff via https hängt sich allerdings immer noch auf.

Hat einer einen guten Tip, was das sein kann?

Grüße, jdelmour

[Roger Wilco]

Was heißt "hängt sich auf"? Wird eine Verbindung hergestellt? Kommen Daten über die Verbindung? Kommt eine Zertifikatsmeldung?

[jdelmour2]

Hi Roger

Es kommt nix zurück. Die Verbindung hängt.

Ein CURL-Aufruf auf dem Server liefert "couldnt connect", ein Aufruf über eine (gültige) https-URL im Browser wird nicht beantwortet, sprich: hängt. Der Browser versucht immer wieder drauf zuzugreifen, bekommt aber anscheinend kein Ergebnis.

Code: Select all

> curl https://localhost
curl: (7) couldn't connect to host

Die Webmin-Installation ist via https zugänglich (Port 10000), 443 liefert oben beschriebenes Verhalten.

Viele Grüße, jdelmour

[Roger Wilco]

Was sagt `netstat -tplen|grep :443` bzw. `lsof -i :443`?

[jdelmour2]

Beide Kommandos liefern ein leeres Ergebnis

[Roger Wilco]

Dann ist dein Apache einfach nicht an Port 443 gebunden. Hast du eine entsprechende Listen Direktive in deiner Konfiguration, die auch ausgewertet wird?

[jdelmour2]

Jawoll, das wars! Jetzt gehts

Vielen Dank Roger!

Habe ich das richtig verstanden, das pro IP-Adresse nur ein namebased virtual host für SSL angegeben werden kann?
Ich habe eben einen (bereits existierenden) 2. Virtual Host zur gleichen IP auch mit der :443 Deklarative angelegt. Allerdings landet ein Browseraufruf dieses Hosts via https:// im DocumentRoot des ersten definierten SSL-Hosts.

Viele Grüße, jdelmour

[Roger Wilco]

Habe ich das richtig verstanden, das pro IP-Adresse nur ein namebased virtual host für SSL angegeben werden kann?

Ja. Wobei der dann ja prinzipiell nicht namensbasiert ist. ;)