Apache SSL - Seite down

[bumer]

Hallo,

versuche gerade SSL für einen VirtualHost einzurichten.

Das Problem: Die Seite ist über https nicht erreichbar.

Ich habe ein eigenes Zertifikat erstellt:

Code: Alles auswählen

> openssl genrsa -out /etc/ssl/private/certprivat_01.key 2048
> openssl req -new -x509 -key /etc/ssl/private/certprivat_01.key -days 365 -sha256 -out /etc/ssl/certs/meincert_01.crt

Danach habe ich die Konfigurationsdatei des Hosts mit den SSL-Einstellungen erweitert:

Code: Alles auswählen

<VirtualHost *:80>
    ServerAdmin email@example.de
    ServerName www.example.de:80
    ServerAlias example.de *.example.de
    DocumentRoot /var/www/html/example
        <Directory /var/www/html/example>
            DirectoryIndex index.html
            Options None
            AllowOverride None
            Order allow,deny
            allow from all
            Deny from env=BlockCountry
        </Directory>
    ErrorLog ${APACHE_LOG_DIR}/error.log
    LogLevel warn
    CustomLog ${APACHE_LOG_DIR}/access.log combined
</VirtualHost>

<VirtualHost *:443>
    ServerAdmin email@example.de
    ServerName www.example.de:443
    ServerAlias example.de *.example.de
    DocumentRoot /var/www/html/example

    SSLEngine on
    SSLCertificateFile /etc/ssl/certs/meincert_01.crt
    SSLCertificateKeyFile /etc/ssl/private/certprivat_01.key

        <Directory /var/www/html/example>
            DirectoryIndex index.html
            Options None
            AllowOverride None
            Order allow,deny
            allow from all
            Deny from env=BlockCountry
        </Directory>
    ErrorLog ${APACHE_LOG_DIR}/error.log
    LogLevel warn
    CustomLog ${APACHE_LOG_DIR}/access.log combined
</VirtualHost>

Code: Alles auswählen

> apachectl -v
Server version: Apache/2.2.22 (Debian)
Server built:   Dec 23 2014 22:48:29

Ich habe sowohl die Seite mit a2ensite neu hochgeladen, als auch den Server neu gestartet und das Modul ssl_module (shared) ist auch geladen. In der ports.conf wird, wenn mod_ssl.c geladen ist, auch auf Port 443 gelauscht. Iptables erlaubt Port 443 (habs auch ganz ohne iptables ausprobiert).

Ich erhalte, egal mit welchem Browser, einen Seiten-Ladefehler - die Seite ist praktisch tot. Über Port 80 aber, ist die Seite ganz normal erreichbar.

Woran kann das liegen?

[DeletedUserReAsG]

In den Logs hast du schon geschaut?

[bumer]

In den Logs hast du schon geschaut?

Ja:

Code: Alles auswählen

[warn] RSA server certificate is a CA certificate (BasicConstraints: CA == TRUE !?)

Der Lösungsvorschlag dieser Seite funktioniert auch nicht, die Seite bleibt tot, diesmal aber ohne Fehlermeldung.

Anscheinend MUSS man ein kostenpflichtiges Zertifikat kaufen, ansonsten geht es nicht. Und das Problem ist, dass die meisten Leute mit Firefox meine Homepage nicht öffnen können, weil ff by default eine https-Verbindung aufbaut, zum kotzen. Ansonsten würd' ich mich gar nicht damit beschäftigen.

[DeletedUserReAsG]

Nein, man MUSS kein kostenpflichtiges Zertifikat kaufen. Zumindest nicht, wenn man nicht drauf angewiesen ist, dass alle Browser es ootb ohne zu meckern annehmen.

Leider lieferst du zuwenig Infos, um genauer schauen zu können.

[Cae]

Ich habe ein eigenes Zertifikat erstellt:

Code: Alles auswählen

> openssl genrsa -out /etc/ssl/private/certprivat_01.key 2048
> openssl req -new -x509 -key /etc/ssl/private/certprivat_01.key -days 365 -sha256 -out /etc/ssl/certs/meincert_01.crt

Nein, dabei entsteht eine selbst-signierte CA, anstatt eines Zertifikats. Du muesstest anschliessend noch einen Request [1] erstellen, welcher von dieser CA dann signiert wird. Die erzeugte Signatur, der zugehoerige private key und der oeffentliche Teil der CA sind anschliessend in der Config anzugeben.

Gruss Cae

[1] von der Idee her: die CA liegt irgendwo, z.B. auf einem anderen Host. Der lokale Server erstellt einen Request, dieser wird zur CA transportiert, signiert und kommt als Signatur zurueck.

[TRex]

SSL-Zertifikate

[bumer]

Leider lieferst du zuwenig Infos, um genauer schauen zu können.

Ich stelle gerne weitere Infos zur Verfügung, wüsste aber nicht was?

SSL-Zertifikate

Funktioniert leider auch nicht, folgendes habe ich gemacht, genau nach Anleitung:

Code: Alles auswählen

# Alles im Ordner /etc/ssl/ :
1. openssl genrsa -out ca.key 4096
2. openssl req -new -x509 -days 365 -key ca.key -out ca.pem
3. Erzeugen der crl.config wie sie in der Wiki steht
4. mv ca.key private/ (oder Pfad in der crl.config ändern)
5. cp ca.pem certs/ (oder Pfad in der crl.config ändern)
6. touch index.txt (ohne Inhalt, keine Ahnung was das bringt, geht aber nur so)
7. openssl ca -gencrl -config crl.config -out ca.crl
8. cat ca.pem ca.crl > /etc/ssl/certs/ca.pem
9. openssl genrsa -out server.key 2048
10. openssl req -new -key server.key -out server.csr (Passwort leer lassen und die gleichen Daten wie unter Punkt 2 angegeben)
11. openssl x509 -set_serial IRGENDEINENUMMERSONSTERROR -req -days 365 -in server.csr -CA certs/ca.pem -CAkey private/ca.key -out server.pem
12. mv server.pem certs/
13. mv server.key private/

So, danach die gleiche Confi benutzt wie in meinem ersten Beitrag in diesem Thread, nur mit:

Code: Alles auswählen

SSLCertificateFile /etc/ssl/certs/server.pem
SSLCertificateKeyFile /etc/ssl/private/server.key

Danach das Übliche: ssl_mod aktiviert, Lauschen auf 443 aktiviert, iptables 443 freigegeben, Apache Neustart - das Ergebnis: Wieder nix und keine News im error.log.

[bumer]

Auf localhost funktionierts... Auf'm Server habe ich mehrere VHosts und möchte SSL explizit für einen erlauben. Ich kann den Fehler einfach nicht finden, die Seite bleibt tot.

Hat keiner ne Ahnung?