ssl: couldnt connect to host

Apache, Lighttpd, nginx, Cherokee
jdelmour2
Posts: 16
Joined: 2008-02-16 00:25

ssl: couldnt connect to host

Post by jdelmour2 » 2008-02-16 11:20

Hallo

ich habe Probleme bei der Einrichtung des Apache 2.2.3 für SSL.

Ich habe ein Zertifikat erstellt (self signed), habe "ssl.conf" und "ssl.load" unter mods-enabled verlinkt, einen VirtualHost-Eintrag vorgenommen und Apache neu gestartet. Hier musste ich die Passphrase für mein Zertifikat eingeben, die Module wurden auch geladen. Normaler http-Zugriff funktioniert, https nicht.

Es folgen meine Einstellungen:

Code: Select all

NameVirtualHost XXX.xxx.xxx.xxx:443
<VirtualHost XXX.xxx.xxx.xxx:443>
    ServerName domain.de:443
    ServerAlias www.domain.de:443
    DocumentRoot /var/www/path/to/domain
    CustomLog /var/log/apache2/www.domain.de-access_log common

    #   SSL Engine Switch:
    #   Enable/Disable SSL for this virtual host.
    SSLEngine on

    SSLCertificateFile /etc/apache2/ssl/ssl_name.crt
    SSLCertificateKeyFile /etc/apache2/ssl/ssl_name.key

</VirtualHost>


Geladene Module:

Code: Select all

Loaded Modules:
 core_module (static)
 log_config_module (static)
 logio_module (static)
 mpm_prefork_module (static)
 http_module (static)
 so_module (static)
 alias_module (shared)
 auth_basic_module (shared)
 authn_file_module (shared)
 authz_default_module (shared)
 authz_groupfile_module (shared)
 authz_host_module (shared)
 authz_user_module (shared)
 autoindex_module (shared)
 cgi_module (shared)
 dir_module (shared)
 env_module (shared)
 mime_module (shared)
 negotiation_module (shared)
 php5_module (shared)
 setenvif_module (shared)
 ssl_module (shared)
 status_module (shared)
Syntax OK


Server version: Apache/2.2.3

Das interessante ist, das noch nicht mal ein Eintrag in den Logfiles erscheint, wenn ich via HTTPS auf die Domain zugreifen will. Mittels http läuft alles prima.

Das Error-Log sieht folgender massen aus:

Code: Select all

[Sat Feb 16 10:59:35 2008] [warn] RSA server certificate CommonName (CN) `XXXXXXXX' does NOT match server name!?
[Sat Feb 16 10:59:35 2008] [warn] RSA server certificate CommonName (CN) `XXXXXXXX' does NOT match server name!?
[Sat Feb 16 10:59:35 2008] [warn] Init: SSL server IP/port conflict: XXXXXXXX.de:443 (/etc/apache2/httpd-ssl.conf:2) vs. YYYYYYY.com:443 (/etc/apache2/httpd-ssl.conf:17)
[Sat Feb 16 10:59:35 2008] [warn] Init: You should not use name-based virtual hosts in conjunction with SSL!!
[Sat Feb 16 10:59:35 2008] [warn] pid file /var/run/apache2.pid overwritten -- Unclean shutdown of previous Apache run?
[Sat Feb 16 10:59:35 2008] [notice] Apache/2.2.3 (Debian) PHP/5.2.0-8+etch10 mod_ssl/2.2.3 OpenSSL/0.9.8c configured -- resuming normal operations


Weiss jemand Rat?

Vielen Dank im Voraus,
jdelmour

Roger Wilco
Administrator
Administrator
Posts: 5924
Joined: 2004-05-23 12:53

Re: ssl: couldnt connect to host

Post by Roger Wilco » 2008-02-16 14:54

jdelmour2 wrote:

Code: Select all

[Sat Feb 16 10:59:35 2008] [warn] Init: SSL server IP/port conflict: XXXXXXXX.de:443 (/etc/apache2/httpd-ssl.conf:2) vs. YYYYYYY.com:443 (/etc/apache2/httpd-ssl.conf:17)

http://httpd.apache.org/docs/2.2/ssl/

jdelmour2 wrote:

Code: Select all

[Sat Feb 16 10:59:35 2008] [warn] Init: You should not use name-based virtual hosts in conjunction with SSL!!

http://httpd.apache.org/docs/2.2/vhosts/name-based.html

jdelmour2
Posts: 16
Joined: 2008-02-16 00:25

Re: ssl: couldnt connect to host

Post by jdelmour2 » 2008-02-17 12:13

Hallo Roger

danke, diese beiden Warnhinweise kommen jetzt nicht mehr.

EIn Zugriff via https hängt sich allerdings immer noch auf.

Hat einer einen guten Tip, was das sein kann?

Grüße, jdelmour

Roger Wilco
Administrator
Administrator
Posts: 5924
Joined: 2004-05-23 12:53

Re: ssl: couldnt connect to host

Post by Roger Wilco » 2008-02-17 12:52

Was heißt "hängt sich auf"? Wird eine Verbindung hergestellt? Kommen Daten über die Verbindung? Kommt eine Zertifikatsmeldung?

jdelmour2
Posts: 16
Joined: 2008-02-16 00:25

Re: ssl: couldnt connect to host

Post by jdelmour2 » 2008-02-17 14:26

Hi Roger

Es kommt nix zurück. Die Verbindung hängt.

Ein CURL-Aufruf auf dem Server liefert "couldnt connect", ein Aufruf über eine (gültige) https-URL im Browser wird nicht beantwortet, sprich: hängt. Der Browser versucht immer wieder drauf zuzugreifen, bekommt aber anscheinend kein Ergebnis.

Code: Select all

> curl https://localhost
curl: (7) couldn't connect to host


Die Webmin-Installation ist via https zugänglich (Port 10000), 443 liefert oben beschriebenes Verhalten.

Viele Grüße, jdelmour

Roger Wilco
Administrator
Administrator
Posts: 5924
Joined: 2004-05-23 12:53

Re: ssl: couldnt connect to host

Post by Roger Wilco » 2008-02-17 14:34

Was sagt `netstat -tplen|grep :443` bzw. `lsof -i :443`?

jdelmour2
Posts: 16
Joined: 2008-02-16 00:25

Re: ssl: couldnt connect to host

Post by jdelmour2 » 2008-02-17 14:42

Beide Kommandos liefern ein leeres Ergebnis

Roger Wilco
Administrator
Administrator
Posts: 5924
Joined: 2004-05-23 12:53

Re: ssl: couldnt connect to host

Post by Roger Wilco » 2008-02-17 14:57

Dann ist dein Apache einfach nicht an Port 443 gebunden. Hast du eine entsprechende Listen Direktive in deiner Konfiguration, die auch ausgewertet wird?

jdelmour2
Posts: 16
Joined: 2008-02-16 00:25

Re: ssl: couldnt connect to host

Post by jdelmour2 » 2008-02-17 15:30

Jawoll, das wars! Jetzt gehts

Vielen Dank Roger!

Habe ich das richtig verstanden, das pro IP-Adresse nur ein namebased virtual host für SSL angegeben werden kann?
Ich habe eben einen (bereits existierenden) 2. Virtual Host zur gleichen IP auch mit der :443 Deklarative angelegt. Allerdings landet ein Browseraufruf dieses Hosts via https:// im DocumentRoot des ersten definierten SSL-Hosts.

Viele Grüße, jdelmour

Roger Wilco
Administrator
Administrator
Posts: 5924
Joined: 2004-05-23 12:53

Re: ssl: couldnt connect to host

Post by Roger Wilco » 2008-02-17 15:33

jdelmour2 wrote:Habe ich das richtig verstanden, das pro IP-Adresse nur ein namebased virtual host für SSL angegeben werden kann?

Ja. Wobei der dann ja prinzipiell nicht namensbasiert ist. ;)