Apache 2 Connection refused

[Success]

Hallo

Ich möchte gerne mein Netbookserver ein Apache2.4 einrichten. Folgende Konfiguration nutze ich:

https://pastebin.com/PLVzx0pW

Wenn ich https://10.0.0.30 eingebe kommt ein ERR_CONNECTION_REFUSED. Wenn ich normal 10.0.0.30 eingebe kommt entweder auch ein Connection refused, ein Error 403 Permission Denied oder ein Error 404 Seite nicht gefunden. Je nach Browser und Laune des Browsers (Keine Ahnung wieso die Browser unterschiedliche Sachen anzeigen)

Der Pfad /media/ext/web/ gehört user:user
Der Ordner /media/ext/web hat das Recht 755
Die Test index.html im Ordner web hat das Recht 644

In der ports.conf steht nur Listen 80 443

Wie kann man einstellen das mein Server nichts mehr refused?

In der error.log steht nur dass das server Zertifikat mit dem Servernamen nicht übereinstimmt und

[mpm_prefork:notice] [pid 17312] AH00163: Apache/2.4.10 (Debian) mpm-itk/2.4.7-02 OpenSSL/1.0.1k configured -- resuming normal operations

sowie

[core:notice] [pid 17312] AH00094: Command line: '/usr/sbin/apache2'

Also meiner Meinung keine Fehler die den (Test)betrieb des Servers behindern.

[whisper]

Hallo


In der ports.conf steht nur Listen 80 443

Versuch mal

Code: Alles auswählen

Listen 80
Listen  443

Also pro port eine Zeile

[whisper]

...und?

[Success]

leider keine Änderung. Sry hätte gestern schon Antworten sollen^^

[eggy]

"Zertifikat mit dem Servernamen nicht übereinstimmt" - evtl mag der eine oder andere Deiner Browser sowas nicht?
Mal probehalber mit nem selbsterstellen Zertifiakt versuchen, Debuglevel hochdrehen und nochmal ins Log schauen.

[Success]

hi, das Zertifikat ist selbsterstellt. Sollte bei einem "warning" nicht der Server trotzdem laufen? Dachte nur Error Fehler sind da schlimm

[whisper]

Was sagt denn eigentlich

Code: Alles auswählen

apache2ctl configtest

Startet denn eigentlich der Apache?
Geht der Port 80? edith sagt, steht ja im Eingangspost. Steht denn im error.log mehr?

[DeletedUserReAsG]

„Connection refused“ o.Ä. heißen eigentlich™, dass an dem Port auf der IP keiner lauscht. Ausgabe von netstat -pltn?

[Success]

https://pastebin.com/zcsGaNwA
hoffe das ist das richtige

[DeletedUserReAsG]

Dort fällt auf, dass dein Apache nur auf IPv6 hört, wodurch Clients, die nur v4 nutzen (können), „connection refused“ von sich geben.

Ich würde bei »Listen …« komplett die gewünschte IP mit Port eintragen, dann sollte es tun.

[Success]

ok jetzt scheint das ganze zu funktionieren. Hab die ports.conf neu geschrieben. Jetzt scheint es zu funktionieren. Jetzt versuch ich die Zertifikate zu basteln.

hab mir dafür 2 Scripte geschrieben. Einmal brauch ich laut https://thomas-leister.de/internet/eine ... usstellen/

eine ca-key-pem und einmal ca-root.pem

Dafür hab ich das Script

Code: Alles auswählen

#!/bin/bash

cd /etc/apache2/certs
openssl genrsa -aes256 -out ca-key.pem 2048
openssl req -x509 -new -nodes -extensions v3_ca -key ca-key.pem -days 360 -out ca-root.pem -sha512

und einmal benötige ich 3 weitere Dateien, nämlich zertifikat-key.pem zertifikat-csr und zertifikat-key.pem

Diese erstell ich mit diesem Script

Code: Alles auswählen

#!/bin/bash

cd /etc/apache2/certs
openssl genrsa -out zertifikat-key.pem 2048
openssl req -new -key zertifikat-key.pem -out zertifikat.csr -sha512
openssl x509 -req -in zertifikat.csr -CA ca-root.pem -CAkey ca-key.pem -CAcreateserial -out zertifikat-pub.pem -days 90 -sha512

was mir auffällt ist das ich statt 3 Zertifikate (.crt .key und so ein Zwischenzertifikat) nun jetzt ganze 5 Dateien hab wovon 4 mit .pem enden und eine mit .csr (also nicht mit crt)

Mein Gedanke wär jetzt das zertifikat-key.pem das SSLCertificateKeyFile im vhost ist und zertifikat.csr das SSLCertificateFile.

Der Browser jammert ja wie erwartet das mit den Zertifikaten etwas nicht stimmt, deshalb will ich das Zertifikat auch im Browser meiner Geräte (Windows 10 und Android Smartphone und Tablet) installieren. Als Browser nimm ich Google Chrome. Welche von den 5 Dateien muss ich im Browser installieren? Chrome verlangt nach einer crt Datei. Ich hab jedoch nur .pem und csr Dateien.

[eggy]

csr = certificate signing request
Die Suchmaschine Deiner Wahl erklärt wozu das da ist.

[Success]

naja ok hab das csr und die ca Dateien gelöscht. Jetzt kommt der Fehler

Generating RSA private key, 2048 bit long modulus
...............................+++
...........................+++
e is 65537 (0x10001)
Error opening Private Key server.pem
3073926844:error:02001002:system library:fopen:No such file or directory:bss_file.c:398:fopen('server.pem','r')
3073926844:error:20074002:BIO routines:FILE_CTRL:system lib:bss_file.c:400:
unable to load Private Key
3074184892:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:703:Expecting: CERTIFICATE REQUEST

Gibt es nicht eine Zertifikatlose SSL Technologie? Ich mag ja nur https haben und keine Warnung bekommen. Sowohl am PC auch auf Android Geräten. Was hilft mir Google wenn jede Zertifikat erstellen Methode komplett anders ist? Der eine hat nur .pem Dateien. der andere eine crt Datei und 1 key Datei. Andere haben ca Dateien die ich dann eh nicht einbauen soll. Da hilft mir Google gar nix. Ich kann nur noch testen und hoffen das es irgendwann funktioniert.

Ich kann ja nicht mal eine index.html aufrufen komischerweise. Das heißt ich hänge bei der Zertifikatswarnung fest.

Code: Alles auswählen

10.0.0.30:80 10.0.0.51 - - [07/Dec/2015:21:27:21 +0100] "GET / HTTP/1.1" 404 490 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/47.0.2526.73 Safari/537.36"
10.0.0.30:80 10.0.0.51 - - [07/Dec/2015:21:29:53 +0100] "GET / HTTP/1.1" 301 554 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/47.0.2526.73 Safari/537.36"
10.0.0.30:80 10.0.0.51 - - [07/Dec/2015:22:19:04 +0100] "GET / HTTP/1.1" 301 554 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.135 Safari/537.36 Edge/12.10240"

Das wird in der other_vhosts_access.log angezeigt.

Ich versuch das ganze mal mit Apache 2.2 und Debian Wheezy, da hat das ganze damals mal funktioniert.

[DeletedUserReAsG]

Gibt es nicht eine Zertifikatlose SSL Technologie? Ich mag ja nur https haben und keine Warnung bekommen.

Ohne Zertifikate funktioniert’s nicht. Verschlüsselung ohne Zertifikat könnte man sich auch gleich sparen, da kann sich der Angreifer dann zwischen Server und Client setzen, sich dem Server gegenüber als normaler Client ausgeben und dem eigentlichen Client gegenüber als Server – ohne Zertifikat kann der halt nicht prüfen, ob’s denn alles so richtig ist – und gemütlich alles mitloggen oder bei Bedarf auch manipulieren.

Du hast die Möglichkeit

• ein selbstsigniertes Zertifikat zu erstellen – das muss dann halt im Browser bestätigt (und ggf. gespeichert) werden,
• eine eigene CA aufzusetzen, deren Zertifikat in dein System/deinen Browser zu importieren, aus deinem Schlüssel einen CSR zu erstellen und daraus mit der CA ein Zertifikat auszustellen – sofern das CA-Zertifikat korrekt importiert wurde, wird der Browser das damit signierte ohne Fehler nutzen können.
• einen CSR zu erstellen, den an eine „echte“ CA zu schicken (meist mit einigen Münzen und vllt. einem Identitätsnachweis) und ein Zertifikat zurückzubekommen, das dann alle Browser akzeptieren sollten. Mittlerweile gibt es wohl auch die Möglichkeit, sich ein obskures Pythonscript auf den Server zu tun, welches dann automatisch alle paar Wochen ein neues Zertifikat ausstellen lassen und auf Wunsch auch direkt den httpd automatisch so konfigurieren soll, dass er das jeweils gültige Zertifikat nutzt. (LetsEncrypt)

Andere Möglichkeiten sehe zumindest ich bei TLS/SSL nicht. Was das Erzeugen von Zertifikaten angeht, kann man sich an das halten, was im Manual des Apachen steht: https://httpd.apache.org/docs/2.4/en/ss ... aboutcerts – man muss halt schauen, was genau man will: selbstsigniertes Zertifikat, das jedes Mal, wenn es neu erstellt wird, eine Warnung im Browser erzeugt, oder eine eigene CA, deren Zertifikat dem Client (Browser oder System) einmal hinzugefügt wird, welcher daraufhin jedes mit dieser CA erstellte Zertifikat akzeptiert oder halt ein „offizielles“ Zertifikat.