Kann apache2 nicht mit SSL starten/verwenden
Hi ihr, langsam verzweifle ich dabei SSL unter apache2 zu verwenden. Ich habe mich bereits nach "/usr/share/doc/packages/apache2/README.QUICKSTART.SSL" gerichtet, habe "insserv apache2" gemacht - was vermutlich nicht mal notwendig war - habe diverse restarts durchgeführt und, weil ich gestern irgendwann den Rechner auch ganz abgestellt habe, einen Neustart durchgeführt. Doch nichts half, bisher! Immerhin konnte ich doppelte Fehlermeldungen auf einfache redurzieren, aber geholfen hat das nicht wirklich. Die Fehlermeldungen, die ich bekomme, sind folgende: ==> /var/log/apache2/access_log <== 192.168.1.104 - - [21/Jan/2006:15:11:54 +0100] "\x80g\x01\x03" 501 993 "-" "-" 192.168.1.104 - - [21/Jan/2006:15:11:54 +0100] "\x80g\x01\x03" 501 993 "-" "-" ==> /var/log/apache2/error_log <== [Sat Jan 21 15:11:54 2006] [error] [client 192.168.1.104] Invalid method in request \x80g\x01\x03 [Sat Jan 21 15:11:54 2006] [error] [client 192.168.1.104] Invalid method in request \x80g\x01\x03 ==> /var/log/apache2/access_log <== 192.168.1.104 - - [21/Jan/2006:15:13:20 +0100] "\x80g\x01\x03" 501 993 "-" "-" ==> /var/log/apache2/error_log <== [Sat Jan 21 15:13:20 2006] [error] [client 192.168.1.104] Invalid method in request \x80g\x01\x03 In "/etc/sysconfig/apache2" ist "ssl" in "APACHE_MODULES" gesetzt und ebenfalls APACHE_SERVER_FLAGS="SSL". ServerName=... ist in "/etc/apache2/vhosts.d/vhost.template" UND in "/etc/apache2/vhosts.d/vhost-ssl.template" gesetzt. Was fehlt mir noch oder mache falsch? Für jedweden hilfreichen Hinweis wäre ich dankbar! Gruß Martin P.S. Ich habe SuSE 9.2 und Apache2 2.0.50
Hallo, On 1/21/2006 4:06 PM, Martin Deppe wrote:
Hi ihr,
langsam verzweifle ich dabei SSL unter apache2 zu verwenden. Ich habe mich bereits nach "/usr/share/doc/packages/apache2/README.QUICKSTART.SSL" gerichtet,
kenne ich nicht.
habe "insserv apache2" gemacht - was vermutlich nicht mal notwendig war -
Stimmt.
habe diverse restarts durchgeführt und, weil ich gestern irgendwann den Rechner auch ganz abgestellt habe, einen Neustart durchgeführt. Doch nichts half, bisher!
Richtig, restarts sind niemals die Lösung wenn ein reines Softwareproblem vorliegt. (Manchmal aber trotzdem notwendig, aber dann ist das eher ein Hinweis auf ein _anderes SW-Problem...)
Immerhin konnte ich doppelte Fehlermeldungen auf einfache redurzieren, aber geholfen hat das nicht wirklich. Die Fehlermeldungen, die ich bekomme, sind folgende:
==> /var/log/apache2/access_log <== 192.168.1.104 - - [21/Jan/2006:15:11:54 +0100] "\x80g\x01\x03" 501 993 "-" "-" 192.168.1.104 - - [21/Jan/2006:15:11:54 +0100] "\x80g\x01\x03" 501 993 "-" "-"
So wie's aussieht wird der apache da mit etwas konfrontiert was nicht unbedingt wie ein standardkonformer HTTP-Request aussieht. Was gibt's denn für Log-Einträge beim Start des Webservers?
==> /var/log/apache2/error_log <== [Sat Jan 21 15:11:54 2006] [error] [client 192.168.1.104] Invalid method in request \x80g\x01\x03 [Sat Jan 21 15:11:54 2006] [error] [client 192.168.1.104] Invalid method in request \x80g\x01\x03
==> /var/log/apache2/access_log <== 192.168.1.104 - - [21/Jan/2006:15:13:20 +0100] "\x80g\x01\x03" 501 993 "-" "-"
==> /var/log/apache2/error_log <== [Sat Jan 21 15:13:20 2006] [error] [client 192.168.1.104] Invalid method in request \x80g\x01\x03
In "/etc/sysconfig/apache2" ist "ssl" in "APACHE_MODULES" gesetzt und ebenfalls APACHE_SERVER_FLAGS="SSL".
ServerName=... ist in "/etc/apache2/vhosts.d/vhost.template" UND in "/etc/apache2/vhosts.d/vhost-ssl.template" gesetzt.
Hast Du mal probiert per Hand eine minimale Apache-Konfiguration zu erzeugen, die probiert, und könntest die entsprechende Datei posten?
Was fehlt mir noch oder mache falsch?
Tja, dazu müsste man jetzt mal die nötigen Details wissen. 1. Hast Du die nötigen Zertifikate erzeugt und installiert? 2. was für Ergebnisse brint ein Webseitenaufruf mit http://localhost/ und mit https://localhost/ in Webbrowser und -Serverlogs? 3. Was passiert bei entsprechenden Aufrufen mit dem Servernamen statt localhost?
Für jedweden hilfreichen Hinweis wäre ich dankbar!
Dafür hast Du die falschen Details genannt.
Gruß Martin P.S. Ich habe SuSE 9.2 und Apache2 2.0.50
Tja, die Kombination kann auf jeden Fall SSL - hier läufts. Arno
-- IT-Service Lehmann al@its-lehmann.de Arno Lehmann http://www.its-lehmann.de
Hallo Martin, hallo Leute, Am Samstag, 21. Januar 2006 16:06 schrieb Martin Deppe:
langsam verzweifle ich dabei SSL unter apache2 zu verwenden. [...] ==> /var/log/apache2/access_log <== 192.168.1.104 - - [21/Jan/2006:15:11:54 +0100] "\x80g\x01\x03" 501 993 "-" "-"
Dein Browser spricht https, während Apache http erwartet - oder umgekehrt. Teste mal mit http://server:443 - wenn das funktioniert, spricht Apache unverschlüsseltes http auf dem https-Port. Gruß Christian Boltz -- IcH fInDe AuCh, dAsS eS nIcHt So WiChTig IsT, eInEn TeXt In KoRrEcKtEr gRoSs- Und KlEiNsChReIbUnG zU vErFaSsEn, Da DiEs DeR LeSbArKeIt KaUm AbBrUcH tUt UnD zUdEm AuSdRuCk MeInEr InDiViDuAlItAeT iSt. [Joachim Kromm in dsnu]
Christian Boltz wrote:
Hallo Martin, hallo Leute,
Am Samstag, 21. Januar 2006 16:06 schrieb Martin Deppe:
langsam verzweifle ich dabei SSL unter apache2 zu verwenden.
[...]
==> /var/log/apache2/access_log <== 192.168.1.104 - - [21/Jan/2006:15:11:54 +0100] "\x80g\x01\x03" 501 993 "-" "-"
Dein Browser spricht https, während Apache http erwartet - oder umgekehrt.
Teste mal mit http://server:443 - wenn das funktioniert, spricht Apache unverschlüsseltes http auf dem https-Port.
Danke Christian, Sch... (lol), Du hast Recht!!! Also, was kann ich tun, daß es wie erwartet funktioniert? Gruß Martin P.S. Danke auch an Dich, Arno!
Hallo, On 1/22/2006 8:42 PM, Martin Deppe wrote:
Christian Boltz wrote:
Hallo Martin, hallo Leute,
Am Samstag, 21. Januar 2006 16:06 schrieb Martin Deppe: ... Dein Browser spricht https, während Apache http erwartet - oder umgekehrt.
Teste mal mit http://server:443 - wenn das funktioniert, spricht Apache unverschlüsseltes http auf dem https-Port.
Danke Christian,
Sch... (lol), Du hast Recht!!! Also, was kann ich tun, daß es wie erwartet funktioniert?
Na ja, wie wär's mal damit die Installation der nötigen Zertifikate zu prüfen, die apache-Konfiguration auf die SSL-bezogenen Sachen zu überprüfen, und die evtl. Log-Ausgaben von Apache beim Start zu beobachten? Da SuSEs Apache-Konfiguration zwar flexibel und gut automatisierbar ist, aber leider unübersichtlich und über viel zu viele Dateien verstreut kann ich bei solchen Problemen immer nur raten mal per Hand eine minimale Konfiguration zu beginnen. Oft zeigt sich daran dann schon was fehlt. Arno
Gruß Martin P.S. Danke auch an Dich, Arno!
-- IT-Service Lehmann al@its-lehmann.de Arno Lehmann http://www.its-lehmann.de
Arno Lehmann wrote:
Hallo,
On 1/22/2006 8:42 PM, Martin Deppe wrote:
Christian Boltz wrote:
Hallo Martin, hallo Leute,
Am Samstag, 21. Januar 2006 16:06 schrieb Martin Deppe:
Dein Browser spricht https, während Apache http erwartet - oder umgekehrt.
Teste mal mit http://server:443 - wenn das funktioniert, spricht Apache unverschlüsseltes http auf dem https-Port.
Danke Christian,
Sch... (lol), Du hast Recht!!! Also, was kann ich tun, daß es wie erwartet funktioniert?
Na ja, wie wär's mal damit die Installation der nötigen Zertifikate zu prüfen, die apache-Konfiguration auf die SSL-bezogenen Sachen zu überprüfen, und die evtl. Log-Ausgaben von Apache beim Start zu beobachten?
Da SuSEs Apache-Konfiguration zwar flexibel und gut automatisierbar ist, aber leider unübersichtlich und über viel zu viele Dateien verstreut kann ich bei solchen Problemen immer nur raten mal per Hand eine minimale Konfiguration zu beginnen. Oft zeigt sich daran dann schon was fehlt.
Arno
Na ja, das werde ich gern tun. Das Problem ist nur, daß ich davon bisher nur sehr wenig Ahnung habe und mich dementsprechend erst einarbeiten muß. Deshalb hatte ich ja jetzt auch hier angefragt. Ich hatte halt auf eine schnelle Antwort gehofft. Um das zu tun, werde ich ein wenig brauchen, schätze ich! Bis dann Martin
Hallo, On 1/22/2006 11:38 PM, Martin Deppe wrote:
Arno Lehmann wrote:
On 1/22/2006 8:42 PM, Martin Deppe wrote:
Christian Boltz wrote:
Hallo Martin, hallo Leute, Am Samstag, 21. Januar 2006 16:06 schrieb Martin Deppe: ... Sch... (lol), Du hast Recht!!! Also, was kann ich tun, daß es wie erwartet funktioniert?
Na ja, wie wär's mal damit die Installation der nötigen Zertifikate zu prüfen, die apache-Konfiguration auf die SSL-bezogenen Sachen zu überprüfen, und die evtl. Log-Ausgaben von Apache beim Start zu beobachten?
Da SuSEs Apache-Konfiguration zwar flexibel und gut automatisierbar ist, aber leider unübersichtlich und über viel zu viele Dateien verstreut kann ich bei solchen Problemen immer nur raten mal per Hand eine minimale Konfiguration zu beginnen. Oft zeigt sich daran dann schon was fehlt.
Arno
Na ja, das werde ich gern tun. Das Problem ist nur, daß ich davon bisher nur sehr wenig Ahnung habe und mich dementsprechend erst einarbeiten muß. Deshalb hatte ich ja jetzt auch hier angefragt. Ich hatte halt auf eine schnelle Antwort gehofft.
Um das zu tun, werde ich ein wenig brauchen, schätze ich!
Ha! Schon verdächtig! :-) Und zwar aus folgendem Grund (alles persönliche Meiningen, wohlgemerkt, bei Dir kann das natürlich anders sein): Wer das erste Mal versucht sich eine CA einzurichten und ein Zertifikat zu erstellen weiss kurz danach normalerweise noch eine ganze Menge darüber. In anderen Worten: Man muss sich damit schon etwas beschäftigen. Meine Vermutung ist daher dass Du den Apache nicht mit den richtigen Daten versehen hast, und darüber müsste er eigentlich beim Start in den Logdateien meckern. Eine schnelle Antwort bei Deiner Problembeschreibung und angesichts der komplexen Materie kann es leider nicht so einfach geben. Jedenfalls nicht umsonst :-) (und nein, nicht von mir, ich bin definitiv kein Apache/SSL-Guru.) Arno
Bis dann Martin
-- IT-Service Lehmann al@its-lehmann.de Arno Lehmann http://www.its-lehmann.de
* Arno Lehmann wrote on Sun, Jan 22, 2006 at 23:44 +0100:
nur sehr wenig Ahnung habe und mich dementsprechend erst einarbeiten muß. Deshalb hatte ich ja jetzt auch hier angefragt. Ich hatte halt auf eine schnelle Antwort gehofft.
Um das zu tun, werde ich ein wenig brauchen, schätze ich! [...] Wer das erste Mal versucht sich eine CA einzurichten und ein Zertifikat zu erstellen weiss kurz danach normalerweise noch eine ganze Menge darüber. In anderen Worten: Man muss sich damit schon etwas beschäftigen.
Eine CA einzurichten dauert vermutlich sowas um einen Monat. Man muss sich um Richtliniendefinition kümmern, einen Safe (oder was man sonst als Schlüsselablage definiert hab, kann ja auch komplizierter sein) besorgen, Zugriffe erfassen (also nicht mit logfile sondern am besten mit einem handschiftlich geführtem Buch und überhaupt das ganze auditierbar machen etc. Ich vermute, es gibt nur ne Handvoll Leute, die schon jemals ne CA eingerichtet haben, und ein nur ein ganz kleiner Teil davon hat mehrere gemacht :) Sowas kostet Zeit und Geld. Wer sich damit nicht so auskennt, sollte IMHO auch nichts mit Sicherheit machen, weil die Gefahr hoch ist, durch einen Fehler eben keine echte Sicherheit zu erzeugen. Also lieber erste lesen, verstehen und dann machen. Und ohne eigene CA, wenn man deutlich weniger als hundert Zertifikate im Jahr beraucht, lohnt das wohl kaum. Für's Testen und Spielen kann man natürlich sonstwas machen, aber dann richtet man keine CA ein, sondern ruft "openssl" mit entsprechenden Parametern auf :) Da kann man Testschlüssel natürlich einfach auf der Platte von vernetzten Systemen speichern. "Schnell mal Sicherheit" macht IMHO viel kaputt. Hat auch dazu geführt, dass Sicherheitsunternehmen kaum Systeme für kleine und mittlere Firmen machen, weil die sich lieber selbst eine Firewall installieren. Gut, dass ist dann bloss ein lumpiger Paketfilter, aber egal :) oki, Steffen -- Dieses Schreiben wurde maschinell erstellt, es trägt daher weder Unterschrift noch Siegel.
Steffen Dettmer wrote:
* Arno Lehmann wrote on Sun, Jan 22, 2006 at 23:44 +0100:
nur sehr wenig Ahnung habe und mich dementsprechend erst einarbeiten muß. Deshalb hatte ich ja jetzt auch hier angefragt. Ich hatte halt auf eine schnelle Antwort gehofft.
Um das zu tun, werde ich ein wenig brauchen, schätze ich!
[...]
Wer das erste Mal versucht sich eine CA einzurichten und ein Zertifikat zu erstellen weiss kurz danach normalerweise noch eine ganze Menge darüber. In anderen Worten: Man muss sich damit schon etwas beschäftigen.
Eine CA einzurichten dauert vermutlich sowas um einen Monat. Man muss
Danke Steffen, aber das hast Du etwas mißverstanden. Ich wollte mir keine CA einrichten, sondern lediglich in meinem Intranet https konfigurieren und habe mir dazu einen Testschlüssel erstellt und (offensicht leider nur fast) alles eingerichtet (oder nicht ganz korrekt), was ich so brauche. Die Dokus darüber, die ich bisher gefunden habe, haben leider eben nicht allzuviel gebracht. Gruß Martin
participants (4)
-
Arno Lehmann
-
Christian Boltz
-
Martin Deppe
-
Steffen Dettmer