[opensuse-es] pregunta sobre ssl
Hola amigos... inclui una entrada en httpd.conf para habiltar la utilizacion de https en un servidor apache de la siguiente manera: NameVirtualHost testssl:80 <VirtualHost testssl:443> ServerAdmin javier.rojas@bav.com.ve DocumentRoot /srv/www/htdocs/bavpruebassl/ ServerName testssl ServerAlias testssl Redirect 301 / https://fideicomisotestssl/ CustomLog /usr/local/apache2/logs/access_log Errorlog /usr/local/apache2/logs/error_log </VirtualHost> NameVirtualHost testssl:443 <VirtualHost testssl:443> ServerAdmin javier.rojas@bav.com.ve DocumentRoot /srv/www/htdocs/bavpruebassl/ ServerName testssl ServerAlias testssl #ScriptAlias /cgi-bin/ /var/www/midominio.org/cgi-bin/ SSLEngine on SSLCertificateFile /etc/ssl/bavpruebassl/server.crt SSLCertificateKeyFile /etc/ssl/bavpruebassl/server.pem SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown CustomLog /usr/local/apache2/logs/ssl_request_log \ "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b" CustomLog /usr/local/apache2/logs/access_log Errorlog /usr/local/apache2/logs/error_log </VirtualHost> reinicio el servidor y sin embargo no puedo conectarme por el https (http si funciona).... hice un telnet al puerto 80 y responde, pero cuando hago uno al puerto 443...nada...alguien me puede ayudar?? sera que el puerto 443 esta deshabilitado?, sera que la inclusion en httpd.conf esta errada? -- Ciao, Javier linux counter #393724 GPG Key Fingerprint = 46B76CFEDB0161089D9ECB22FEFDE7EBA8C2007E --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
2007/3/20, javier rojas:
reinicio el servidor y sin embargo no puedo conectarme por el https (http si funciona)....
hice un telnet al puerto 80 y responde, pero cuando hago uno al puerto 443...nada...alguien me puede ayudar??
sera que el puerto 443 esta deshabilitado?, sera que la inclusion en httpd.conf esta errada?
¿Has abierto el puerto 443 del router y si usas nat lo has dirigido al equipo del servidor ssl? ¿O estás probando en local? Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
2007/3/20, Camaleón
2007/3/20, javier rojas:
reinicio el servidor y sin embargo no puedo conectarme por el https (http si funciona)....
hice un telnet al puerto 80 y responde, pero cuando hago uno al puerto 443...nada...alguien me puede ayudar??
sera que el puerto 443 esta deshabilitado?, sera que la inclusion en httpd.conf esta errada?
¿Has abierto el puerto 443 del router y si usas nat lo has dirigido al equipo del servidor ssl? ¿O estás probando en local?
bueno el servidor esta en mi misma red, no se si deberia abrir algo adicional -- Ciao, Javier linux counter #393724 GPG Key Fingerprint = 46B76CFEDB0161089D9ECB22FEFDE7EBA8C2007E --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El 20/03/07, javier rojas escribió:
bueno el servidor esta en mi misma red, no se si deberia abrir algo adicional
Pero ¿cómo accedes? https://secure.dominio.com o https://localhost/bavpruebassl ¿Es posible acceder desde fuera de la red local? De todas formas, creo que hay que habilitar algunas cosillas en Apache. Yo lo revisé en el manual de SuSE, el oficial que está en pdf (o en html), echa un vistazo a la sección de Apache (SSL) que está bastante bien (ojo, este enlace es para la 10.2): http://www.novell.com/documentation/opensuse102/opensuse102_reference/data/s... Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
2007/3/20, Camaleón
El 20/03/07, javier rojas escribió:
bueno el servidor esta en mi misma red, no se si deberia abrir algo adicional
Pero ¿cómo accedes?
o
https://localhost/bavpruebassl
¿Es posible acceder desde fuera de la red local?
De todas formas, creo que hay que habilitar algunas cosillas en Apache. Yo lo revisé en el manual de SuSE, el oficial que está en pdf (o en html), echa un vistazo a la sección de Apache (SSL) que está bastante bien (ojo, este enlace es para la 10.2):
http://www.novell.com/documentation/opensuse102/opensuse102_reference/data/s...
no el servidor no es mi maquina, lo accedo https://secure.dominio.com el http funciona de las mil maravillas, pero yo siempre prefiero compilar mis programas descargandome el codigo...no utilize yast para la instalacion de apache, php o mysql.... para ssl segui esta guia: http://www.linuxparatodos.net/geeklog/staticpages/index.php?page=como-apache... todo menos la instalacion de mod_ssl.so que ya estaba configurado desde la instalacion del apache. -- Ciao, Javier linux counter #393724 GPG Key Fingerprint = 46B76CFEDB0161089D9ECB22FEFDE7EBA8C2007E --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El 20/03/07, javier rojas escribió:
no el servidor no es mi maquina, lo accedo https://secure.dominio.com
¿Abriste los puertos correspondientes (cortafuegos, router...) para permitir el acceso al puerto 443?
para ssl segui esta guia: http://www.linuxparatodos.net/geeklog/staticpages/index.php?page=como-apache...
¿Y qué error te da? ¿Página en blanco? Revisa los registros de apache para ver si dicen algo e intenta conectar vía telnet: telnet servidor 443 Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
2007/3/20, Camaleón
El 20/03/07, javier rojas escribió:
no el servidor no es mi maquina, lo accedo https://secure.dominio.com
¿Abriste los puertos correspondientes (cortafuegos, router...) para permitir el acceso al puerto 443?
para ssl segui esta guia: http://www.linuxparatodos.net/geeklog/staticpages/index.php?page=como-apache...
¿Y qué error te da? ¿Página en blanco? Revisa los registros de apache para ver si dicen algo e intenta conectar vía telnet:
telnet servidor 443
Es que ese es el problema, hasta hace 2 horas yo no creia que estaba funcionando el firewall since yo nunca yo habilite.... cuando un telnet al 80 se conecta, pero al 443 no... este es un extracto de los ultimos logs que vi [Tue Mar 20 10:28:46 2007] [warn] Init: Session Cache is not configured [hint: SSLSessionCache] [Tue Mar 20 10:28:46 2007] [notice] Apache/2.0.49 (Unix) mod_ssl/2.0.49 OpenSSL/0.9.7d PHP/5.0.5 configured -- resuming normal operations [Tue Mar 20 11:18:35 2007] [warn] child process 13712 still did not exit, sending a SIGTERM [Tue Mar 20 11:18:35 2007] [warn] child process 13715 still did not exit, sending a SIGTERM [Tue Mar 20 11:18:35 2007] [warn] child process 13937 still did not exit, sending a SIGTERM [Tue Mar 20 11:18:35 2007] [notice] caught SIGTERM, shutting down [Tue Mar 20 11:20:03 2007] [warn] Init: Session Cache is not configured [hint: SSLSessionCache] [Tue Mar 20 11:20:03 2007] [notice] Apache/2.0.49 (Unix) mod_ssl/2.0.49 OpenSSL/0.9.7d PHP/5.0.5 configured -- resuming normal operations como hago para revisar si el puerto 443 esta bloqueado a nivel de firewall de suse? -- Ciao, Javier linux counter #393724 GPG Key Fingerprint = 46B76CFEDB0161089D9ECB22FEFDE7EBA8C2007E --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El 20/03/07, javier rojas escribió:
Es que ese es el problema, hasta hace 2 horas yo no creia que estaba funcionando el firewall since yo nunca yo habilite....
Lo primero es verificar que el tráfico al puerto 443 está llegando al servidor. vete revisando el recorrido que hace el paquete desde que llega a tu red, por qué equipos pasa y qué le peude estar bloqueando. - Si utilizas un cortafuegos (del tipo que sea) verifica que no está bloqueando estas peticiones. - El router debe de estar configurado para atender las peticiones a este puerto y dirigirlas a Apache2
cuando un telnet al 80 se conecta, pero al 443 no...
Podría ser que no llegan los paquetes o que a Apache le falta alguna configuración.
este es un extracto de los ultimos logs que vi
[Tue Mar 20 10:28:46 2007] [warn] Init: Session Cache is not configured [hint: SSLSessionCache]
No sé si este aviso le puede estar afectando directamente, pero date una vuelta por Google y mira a ver si puudes eliminarlo para ir descartando posibles causas: http://www.google.com/search?hl=en&q=+Session+Cache+is+not+configured+&btnG=Google+Search
como hago para revisar si el puerto 443 esta bloqueado a nivel de firewall de suse?
El firewall de suse o cualquier otro cortafuegos que tengas en la red que pueda afectar. Si tienes configurado el cortafuegos y en ejecución, te bloqueará todo salvo que le digas lo contrario... desde Yast puedes ver estas cosas (en el editor de niveles de ejecución verás si está ejecutándose y dentro de seguridad tienes las opciones del cortafuegos). Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2007-03-20 a las 12:59 -0400, javier rojas escribió:
como hago para revisar si el puerto 443 esta bloqueado a nivel de firewall de suse?
Sale en el log. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFGADxUtTMYHG2NR9URAvdDAJ4oxHFJ5QmBnN0/uiacUgO2tAxyYACeO+oN Enl5H2uMjnu3l6Vj6bQvRh8= =iA9p -----END PGP SIGNATURE-----
javier rojas escribió:
Hola amigos...
inclui una entrada en httpd.conf para habiltar la utilizacion de https en un servidor apache de la siguiente manera:
NameVirtualHost testssl:80 <VirtualHost testssl:443> ServerAdmin javier.rojas@bav.com.ve DocumentRoot /srv/www/htdocs/bavpruebassl/ ServerName testssl ServerAlias testssl Redirect 301 / https://fideicomisotestssl/ CustomLog /usr/local/apache2/logs/access_log Errorlog /usr/local/apache2/logs/error_log </VirtualHost>
NameVirtualHost testssl:443 <VirtualHost testssl:443> ServerAdmin javier.rojas@bav.com.ve DocumentRoot /srv/www/htdocs/bavpruebassl/ ServerName testssl ServerAlias testssl #ScriptAlias /cgi-bin/ /var/www/midominio.org/cgi-bin/ SSLEngine on SSLCertificateFile /etc/ssl/bavpruebassl/server.crt SSLCertificateKeyFile /etc/ssl/bavpruebassl/server.pem SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown CustomLog /usr/local/apache2/logs/ssl_request_log \ "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b" CustomLog /usr/local/apache2/logs/access_log Errorlog /usr/local/apache2/logs/error_log </VirtualHost>
reinicio el servidor y sin embargo no puedo conectarme por el https (http si funciona)....
hice un telnet al puerto 80 y responde, pero cuando hago uno al puerto 443...nada...alguien me puede ayudar??
sera que el puerto 443 esta deshabilitado?, sera que la inclusion en httpd.conf esta errada?
Si ejecutas: netstat -nl | grep 443 deberías ver algo. Si no es así, es que tu servidor no escucha por el puerto 443. Si ese es el caso, quizá te falte la sentencia LISTEN 443 antes de la declaración del virtual server. Si tu server si escucha por el puerto 443, el problema puede estar en el firewall del server (que filtre el puerto 443) o en cualquier elemento intermedio de la red, que filtre ese puerto. --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
2007/3/20, Luis O.
javier rojas escribió:
Hola amigos...
inclui una entrada en httpd.conf para habiltar la utilizacion de https en un servidor apache de la siguiente manera:
NameVirtualHost testssl:80 <VirtualHost testssl:443> ServerAdmin javier.rojas@bav.com.ve DocumentRoot /srv/www/htdocs/bavpruebassl/ ServerName testssl ServerAlias testssl Redirect 301 / https://fideicomisotestssl/ CustomLog /usr/local/apache2/logs/access_log Errorlog /usr/local/apache2/logs/error_log </VirtualHost>
NameVirtualHost testssl:443 <VirtualHost testssl:443> ServerAdmin javier.rojas@bav.com.ve DocumentRoot /srv/www/htdocs/bavpruebassl/ ServerName testssl ServerAlias testssl #ScriptAlias /cgi-bin/ /var/www/midominio.org/cgi-bin/ SSLEngine on SSLCertificateFile /etc/ssl/bavpruebassl/server.crt SSLCertificateKeyFile /etc/ssl/bavpruebassl/server.pem SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown CustomLog /usr/local/apache2/logs/ssl_request_log \ "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b" CustomLog /usr/local/apache2/logs/access_log Errorlog /usr/local/apache2/logs/error_log </VirtualHost>
reinicio el servidor y sin embargo no puedo conectarme por el https (http si funciona)....
hice un telnet al puerto 80 y responde, pero cuando hago uno al puerto 443...nada...alguien me puede ayudar??
sera que el puerto 443 esta deshabilitado?, sera que la inclusion en httpd.conf esta errada?
Si ejecutas: netstat -nl | grep 443 deberías ver algo. Si no es así, es que tu servidor no escucha por el puerto 443. Si ese es el caso, quizá te falte la sentencia LISTEN 443 antes de la declaración del virtual server.
Si tu server si escucha por el puerto 443, el problema puede estar en el firewall del server (que filtre el puerto 443) o en cualquier elemento intermedio de la red, que filtre ese puerto.
netstat -nl | grep 443 no sale nada, pero si tengo el listen 443 en el conf -- Ciao, Javier linux counter #393724 GPG Key Fingerprint = 46B76CFEDB0161089D9ECB22FEFDE7EBA8C2007E --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El 20/03/07, javier rojas escribió:
netstat -nl | grep 443
no sale nada, pero si tengo el listen 443 en el conf
Luís te ha puesto en la pista... tendrías que ver algo como:
tcp 0 0 :::443 :::* LISTEN
A ver, en estilo SuSE :-P yo tengo un fichero que se llama
"listen.conf" donde pone los puertos de escucha:
Listen 80 <-- puerto estándar
<IfDefine SSL>
2007/3/20, Camaleón
El 20/03/07, javier rojas escribió:
netstat -nl | grep 443
no sale nada, pero si tengo el listen 443 en el conf
Luís te ha puesto en la pista... tendrías que ver algo como:
tcp 0 0 :::443 :::* LISTEN
A ver, en estilo SuSE :-P yo tengo un fichero que se llama "listen.conf" donde pone los puertos de escucha:
Listen 80 <-- puerto estándar
<IfDefine SSL>
<IfModule mod_ssl.c> Listen 443 <-- este es el interesante (ssl)
</IfModule> </IfDefine> </IfDefine>
Revisa ese fichero o alguno similar para verificar que tienes el puerto activado.
les comento que ya me funciona.... en el httpd.conf tenia <IfModule mod_ssl.c> Include conf/ssl.conf </IfModule> por aqui todo bien en el ssl.conf Listen 443 DocumentRoot "/srv/www/htdocs" ServerName 172.18.52.201:443 ServerAdmin javier.rojas@x.com.ve y las rutas para los certificados estaba bien....se me ocurrio cambiar esto: #<IfDefine SSL> #</IfDefine> comente las lineas y magicamente funciono.....no se...a mi no me vean -- Ciao, Javier linux counter #393724 GPG Key Fingerprint = 46B76CFEDB0161089D9ECB22FEFDE7EBA8C2007E --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
participants (4)
-
Camaleón -
Carlos E. R. -
javier rojas -
Luis O.