RootForum Community

Resources for System-Administrators
https://www.rootforum.org/forum/

Apache + StartSSL machen Probleme

https://www.rootforum.org/forum/viewtopic.php?t=51718

Page 1 of 1

Apache + StartSSL machen Probleme

Posted: 2011-03-12 01:16
by lumio
Hi,

ich habe einen vServer mit Debian Lenny und darauf die aktuellste ispCP laufen (1.0.7)
Dadurch, dass auf dem Server bereits das Admin-Panel von ispCP via SSL läuft, habe ich noch eine weitere IP bekommen. Die neue Domain habe ich also auf die neue IP eingestellt, im ispCP die Domain ganz normal eingestellt und den vHost in eine extra Datei und NameVirtualHost ip:80 darüber geschrieben.
Klappt wunderbar.

Der nächste Schritt war, wie auch damals schon ganz einfach ein Zertifikat bei StartSSL anzufordern. Hab alles genau wie beschrieben gemacht und folgende Zeilen hinzugefügt:

Code: Select all

        SSLEngine On
        SSLProtocol all -SSLv2
        SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM

        SSLCertificateFile /pfad/zum/zertifikat/ssl.crt
        SSLCertificateKeyFile /pfad/zum/zertifikat/ssl.key
        SSLCertificateChainFile /etc/apache2/ssl/sub.class1.server.ca.pem
        SSLCACertificateFile /etc/apache2/ssl/ca.pem
        SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown
Die Datei ssl.crt und ssl.key existieren und haben die rechte -r-r-r für root:root
Der einzige Unterschied beim Zertifikat ist, dass ich einen längeren Schlüssel gewählt habe (statt 2048 eben 4096).

Alles schön und gut, ich starte also apache neu und bekomme lediglich ein "failed"
In der error.log steht nichts relevantes drinnen und ich bin schon fast am verzweifeln.

Vielleicht sieht ja jemand den Fehler :)

Danke schonmal

Re: Apache + StartSSL machen Probleme

Posted: 2011-03-12 10:37
by Joe User
Ich nutze mitlerweile SNI und selbstsignierte Zertifikate mit dieser Config:

Code: Select all

<IfModule ssl_module>
    Listen *:443
    NameVirtualHost *:443
    SSLStrictSNIVHostCheck on
    AddType application/x-x509-ca-cert .crt
    AddType application/x-pkcs7-crl .crl
    SSLRandomSeed startup builtin
    SSLRandomSeed connect builtin
    SSLPassPhraseDialog builtin
    SSLSessionCache "shmcb:/var/run/ssl_scache(512000)"
    SSLSessionCacheTimeout 300
    SSLMutex "file:/var/run/ssl_mutex"
    <VirtualHost *:443>
        ServerName devnull.examble.org
        ServerAdmin webmaster@examble.org
        CustomLog "/usr/local/www/vhosts/devnull.examble.org/logs/ssl_request_log" "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
        TransferLog "/usr/local/www/vhosts/devnull.examble.org/logs/ssl_access_log"
        ErrorLog "/usr/local/www/vhosts/devnull.examble.org/logs/ssl_error_log"
        DocumentRoot "/usr/local/www/vhosts/devnull.examble.org/data"
        <Directory "/usr/local/www/vhosts/devnull.examble.org/data">
            Options -All +FollowSymLinks +ExecCGI
            AllowOverride Options FileInfo AuthConfig Limit
            Order Allow,Deny
            Allow from all
        </Directory>
        SSLEngine on
        SSLProtocol all -SSLv2
        SSLCipherSuite RSA:!EXP:!NULL:+HIGH:+MEDIUM:-LOW:-SSLv2
        SSLCertificateFile "/etc/ssl/devnull.examble.org_cert.pem"
        SSLCertificateKeyFile "/etc/ssl/devnull.examble.org_keyrsa.pem"
        <FilesMatch "\.(phps|php|pl|py|cgi|shtml)$">
            SSLOptions +StdEnvVars
        </FilesMatch>
        BrowserMatch ".*MSIE.*" nokeepalive ssl-unclean-shutdown downgrade-1.0 force-response-1.0
        AcceptPathInfo On
    </VirtualHost>
    <VirtualHost *:443>
        ServerName devzero.examble.org
        ServerAdmin webmaster@examble.org
        CustomLog "/usr/local/www/vhosts/devzero.examble.org/logs/ssl_request_log" "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
        TransferLog "/usr/local/www/vhosts/devzero.examble.org/logs/ssl_access_log"
        ErrorLog "/usr/local/www/vhosts/devzero.examble.org/logs/ssl_error_log"
        DocumentRoot "/usr/local/www/vhosts/devzero.examble.org/data"
        <Directory "/usr/local/www/vhosts/devzero.examble.org/data">
            Options -All +FollowSymLinks +ExecCGI
            AllowOverride Options FileInfo AuthConfig Limit
            Order Allow,Deny
            Allow from all
        </Directory>
        SSLEngine on
        SSLProtocol all -SSLv2
        SSLCipherSuite RSA:!EXP:!NULL:+HIGH:+MEDIUM:-LOW:-SSLv2
        SSLCertificateFile "/etc/ssl/devzero.examble.org_cert.pem"
        SSLCertificateKeyFile "/etc/ssl/devzero.examble.org_keyrsa.pem"
        <FilesMatch "\.(phps|php|pl|py|cgi|shtml)$">
            SSLOptions +StdEnvVars
        </FilesMatch>
        BrowserMatch ".*MSIE.*" nokeepalive ssl-unclean-shutdown downgrade-1.0 force-response-1.0
        AcceptPathInfo On
    </VirtualHost>
</IfModule>
Da ich keine Admin-Panels einsetze, konfiguriere ich direkt in der httpd.conf

Re: Apache + StartSSL machen Probleme

Posted: 2011-03-12 14:43
by lumio
Danke für deine Antwort, aber was ist SNI? :)

Re: Apache + StartSSL machen Probleme

Posted: 2011-03-12 14:45
by Joe User
http://wiki.apache.org/httpd/NameBasedSSLVHostsWithSNI

Re: Apache + StartSSL machen Probleme

Posted: 2011-03-12 15:02
by lumio
Danke, aber hab ich dann nicht Probleme, dass ich bei den Browsern eine Warnung bekomme von wegen Sicherheitsrisiko und so?

Re: Apache + StartSSL machen Probleme

Posted: 2011-03-12 15:10
by rudelgurke
Problem mit dem Zertifikat selbst oder der CA ?

Wenn die Konfiguration von Joe User so auf dein System angepasst wurde, ein Blick in die "ssl_error_log" müsste helfen. :)

Re: Apache + StartSSL machen Probleme

Posted: 2011-03-12 15:36
by lumio
Hi,

danke, jetz hab ich endlich mal ne ordentliche Aussage. Scheinbar ist es Problem mit der CA oder auch nur ein Verständnisproblem. Dachte dass das Zertifikat auf example.org und admin.example.org ausgestellt wird. Wird allerdings nur auf admin.example.org ausgestellt.

Ich richt also mal die admin.example.org ein und hoffe, dass es klappt.

Danke für eure Hilfe

Re: Apache + StartSSL machen Probleme

Posted: 2011-03-12 15:38
by Joe User
Du musst Dir für jeden VHost ein eigenes Zertifikat kaufen, dann meckern die moderneren Browser auch nicht. Alte Browser (siehe obigen Link) schliesst Du damit zwar aus, aber auf die paar lernresistenten User kann man durchaus verzichten.
Der grosse Vorteil ist halt, dass man nur noch eine IP-Adresse für alle SSL-VHosts benötigt und nicht mehr für jeden SSL-VHost eine eigene IP-Adresse. In Zeiten mangelnder IPv4-Adressen ein wichtiger Wettbewerbsvorteil.

Re: Apache + StartSSL machen Probleme

Posted: 2011-03-12 15:49
by lumio
Hm, bekomme immer folgende Fehlermeldung:

Code: Select all

[Sat Mar 12 15:48:28 2011] [error] Unable to configure RSA server private key
[Sat Mar 12 15:48:28 2011] [error] SSL Library Error: 185073780 error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch

Re: Apache + StartSSL machen Probleme

Posted: 2011-03-12 16:02
by Joe User
Das Key-File scheint nicht zum Cert zu passen.

Re: Apache + StartSSL machen Probleme

Posted: 2011-03-12 16:10
by lumio
So stehts zumindest in der Log.
Ich hab glaub ich einen anderen Fehler gemacht: Hab erst aus Frust as Key-File gelöscht -.- ja ich weiss :D mein Fehler
Habs halt nochmal generiert, aber ich schätz mal, dass ich dann auch das Zertifikat nochmal neu generieren muss.

Re: Apache + StartSSL machen Probleme

Posted: 2011-03-12 16:24
by Joe User
Ja, neuer Key = neues Cert ;)

Re: Apache + StartSSL machen Probleme

Posted: 2011-03-12 17:47
by lumio
Dacht ich mir fast... mann mann mann... ich verkacks auch echt :D naja mal schaun :)

Danke jedenfalls für die kompetente Hilfe :)

Re: Apache + StartSSL machen Probleme

Posted: 2011-03-13 14:39
by lumio
Okay, ich werds ab sofort immer so machen, dass ich zuerst selbst ein Zertifikat generiere und probiere, obs funktioniert und dann erst ein ordentliches anfordern. :D

Der Hauptfehler lag am fehlenden NameVirtualHost [ip]:443 und der darauffolgenden <VirtualHost [ip]:443> - eigentlich schon richtig peinlich -.-
All times are UTC+01:00
Page 1 of 1