SSL hinzufügen, aber wie?

[coltseavers]

Hallo!

Ich habe unter Debian Lenny einen Apache2.2.9 mit PHP laufen.
Darauf sind mehrere VirtualHosts definiert.

Jetzt möchte ich für eine der Webseiten SSL-Verschlüsselung haben.

Ich habe bereits bei einer Zertifizierungsstelle ein Zertifikat beantragt. Die mit OpenSSL erzeugte CSR-Datei wurde erstellt und an die Zertifizierungsstelle zur Prüfung weitergeleitet.

Dann hab ich das Modul mod_ssl eingebunden, ohne es zu konfigurieren.

Listen 443 wurde aktiviert.

Dann hab ich bei der VirtualHost-Konfiguration einen Container erstellt:

<VirtualHost IP:443>
SSLEngine ON
SSLCertificateFile blabla.csr
SSLCertificateKeyFile blabla.key
DocumentRoot blabla
</VirtualHost>

Das waren alle Dinge, die ich gemacht habe.

Der Neustart des Apache wird mit nem Fehler abgelehnt, ohne Erklärung.

Fragen:
Was mache ich falsch / was fehlt noch?
Wie ergänze ich generell am besten für einen VirtualHost die SSL-Funktionalität?
Ist es richtig bei SSLCertificateFile die csr-Datei anzugeben, oder muß da später das Zertifikat eingefügt werden, das von der Zertifizierungsstelle kommt? Oder wie läuft das?

Danke vorab für Eure Hilfe!

Gruß
colt Seavers

[Joe User]

Bitte selbst anpassen:

Code: Select all

<IfModule ssl_module>
    Listen 127.0.0.1:443
    AddType application/x-x509-ca-cert .crt
    AddType application/x-pkcs7-crl .crl
    SSLRandomSeed startup builtin
    SSLRandomSeed connect builtin
    SSLPassPhraseDialog builtin
    SSLSessionCache "shmcb:/var/run/ssl_scache(512000)"
    SSLSessionCacheTimeout 300
    SSLMutex "file:/var/run/ssl_mutex"
    <VirtualHost 127.0.0.1:443>
        ServerName localhost
        ServerAdmin webmaster@localhost
        DocumentRoot "/var/www/localhost/data"
        <Directory "/var/www/localhost/data">
            Options -All +FollowSymLinks +ExecCGI
            AllowOverride Options FileInfo AuthConfig Limit
            Order allow,deny
            Allow from all
        </Directory>
        ErrorLog "/var/www/localhost/logs/error_log"
        TransferLog "/var/www/localhost/logs/access_log"
        SSLEngine on
        SSLProtocol all -SSLv2
        SSLCipherSuite RSA:!EXP:!NULL:+HIGH:+MEDIUM:-LOW:-SSLv2
        SSLCertificateFile "/etc/apache/ssl/server.crt"
        SSLCertificateKeyFile "/etc/apache/ssl/server.key"
        <FilesMatch "\.(cgi|php|pl|py|shtml)$">
            SSLOptions +StdEnvVars
        </FilesMatch>
        BrowserMatch ".*MSIE.*" nokeepalive ssl-unclean-shutdown downgrade-1.0 force-response-1.0
        CustomLog "/var/www/localhost/logs/ssl_request_log" "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
    </VirtualHost>
</IfModule>

[coltseavers]

Danke für den Tip mit dem Error-Log

Meldung dort:
SSL Library Error ...
und
Init: Unable to read server certificate from file blabla.csr

Ich schliesse mal daraus, dass bei SSLCertificateFile nicht die .csr-datei stehen darf, sondern die .crt-datei stehen muss.
kann das jemand bestätigen?

(kanns leider nich selbst überprüfen, da die Zertifizierungsstelle erst noch prüfen muss)

Danke & Gruß,
colt Seavers

[dotme]

Ja!

CSR == Certificate Signing Request != Certificate

[coltseavers]

Super! Danke für die schnellen Antworten!