Hallo, ich hab hier ein 13.1 mit laufendem Apache und vhosts-Configuration. Dieser will ich jetzt SSL beibringen. Hab mir selbst einen Schlüssel erzeugt, die Conf kopiert und für SSL angebasst. Das wichigste in der Datei sieht jetzt so aus: ---------------------- <VirtualHost aaa.yyy.de:443> ServerAdmin xxx@yyy.de ServerName yyy.de DocumentRoot /srv/www/htdocs LogLevel debug HostnameLookups Off UseCanonicalName Off ServerSignature On ScriptAlias /cgi-bin/ "/srv/www/htdocs/cgi-bin/" <Directory "/srv/www/htdocs/cgi-bin"> AllowOverride None Options +ExecCGI -Includes Order allow,deny Allow from all </Directory> <Directory "/srv/www/htdocs"> Options Indexes FollowSymLinks AllowOverride None Order allow,deny Allow from all </Directory> SSLEngine on SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL SSLCertificateFile /etc/apache2/ssl.crt/server.crt SSLCertificateKeyFile /etc/apache2/ssl.key/server.key </VirtualHost> ---------------------------------- Ein netstat -antp zeigt das der Apache auf 443 lauscht: Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 569/cupsd tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN 5620/httpd2-prefork tcp 0 0 0.0.0.0:873 0.0.0.0:* LISTEN 575/xinetd tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 573/rpcbind tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 5620/httpd2-prefork tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1324/sshd tcp 0 0 a.b.c.d:22 a.b.c.d:49538 ESTABLISHED 1532/0 tcp 0 0 a.b.c.d:22 a.b.c.d:32902 ESTABLISHED 3304/sshd: root@not tcp 0 192 a.b.c.d:22 a.b.c.d:45232 ESTABLISHED 1788/1 tcp 0 0 a.b.c.d:22 a.b.c.d:34750 ESTABLISHED 5693/sshd: root@not tcp 0 0 :::111 :::* LISTEN 573/rpcbind tcp 0 0 :::22 :::* LISTEN 1324/sshd Trotzdem krieg ich die Seitebn nicht per https. http geht, bei https laufe ich in einen Timeout. In den Logs nichts auffälliges....keine Ahnung woran es momentan liegt. Jemand ne Idee? Gruß Daniel -- Daniel Spannbauer Systemadministration marco Systemanalyse und Entwicklung GmbH Tel +49 8333 9233-27 Fax -11 Rechbergstr. 4-6, D 87727 Babenhausen Mobil +49 171 4033220 http://www.marco.de/ Email ds@marco.de Geschäftsführer Martin Reuter HRB 171775 Amtsgericht München -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 2014-03-20 9:01, schrieb Daniel Spannbauer:
Kommt denn zumindest ein Zugriffsversuch im ssl-log des Apache ? Mal probiert Firewall und/oder AppArmor zu entladen ? Mal mit iptraf schauen was auf der 443 passiert bzw. tcpdump
Gruß
Daniel
lg max
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 03/20/2014 09:10 AM, schrieb Markus Heinze:
Nein, nichts.
Mal probiert Firewall und/oder AppArmor zu entladen ?
Firewall ist aus. iptables zeigt nichts mehr.
Mal mit iptraf schauen was auf der 443 passiert bzw. tcpdump
10:22:51.764589 IP bart.xxx.de.53224 > server.https: Flags [S], seq 3322855039, win 14600, options [mss 1340,sackOK,TS val 2930411048 ecr 0,nop,wscale 7], length 0 10:22:51.764650 IP server.https > bart.xxx.de.53224: Flags [S.], seq 2136997421, ack 3322855040, win 28960, options [mss 1460,sackOK,TS val 62759540 ecr 2930411048,nop,wscale 7], length 0 Es scheint also irgendwas zu antworten.... Gruß Daniel
-- Daniel Spannbauer Systemadministration marco Systemanalyse und Entwicklung GmbH Tel +49 8333 9233-27 Fax -11 Rechbergstr. 4-6, D 87727 Babenhausen Mobil +49 171 4033220 http://www.marco.de/ Email ds@marco.de Geschäftsführer Martin Reuter HRB 171775 Amtsgericht München -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 2014-03-20 10:23, schrieb Daniel Spannbauer:
<VirtualHost aaa.yyy.de:443> durch <VirtualHost 1.2.3.4:443> dann sollte es gehen, die wenigsten können SNI und es ist mehr Krampf als Freude lg max p.s. sorry für PN -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 03/20/2014 10:45 AM, schrieb Markus Heinze:
Gerade getestet...bringt nix. Gleiches Ergebnis.
lg max
p.s. sorry für PN
Das mir das nicht nochmal vorkommt.... :) Gruß Daniel -- Daniel Spannbauer Systemadministration marco Systemanalyse und Entwicklung GmbH Tel +49 8333 9233-27 Fax -11 Rechbergstr. 4-6, D 87727 Babenhausen Mobil +49 171 4033220 http://www.marco.de/ Email ds@marco.de Geschäftsführer Martin Reuter HRB 171775 Amtsgericht München -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 2014-03-20 10:52, schrieb Daniel Spannbauer:
NameVirtualHost 1.2.3.4:443 oder NameVirtualHost *:443 ist gesetzt ? lg max -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Donnerstag, den 20.03.2014, 09:01 +0100 schrieb Daniel Spannbauer:
Ein netstat -antp zeigt das der Apache auf 443 lauscht:
Trotzdem krieg ich die Seitebn nicht per https. http geht, bei https laufe ich in einen Timeout.
hmm... firewall? ist 443 offen? bisdenndann MH -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 20.03.14 09:12, schrieb Mathias Homann:
rcapache configtest geht ohne Probleme? listen.conf SSL? sysconfig SSL drin? -- ae | Andreas Ernst | IT Spektrum Postfach 5, 65612 Beselich Schupbacher Str. 32, 65614 Beselich, Germany Tel: +49-6484-91002 Fax: +49-6484-91003 ae@ae-online.de | www.ae-online.de www.tachyon-online.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 03/20/2014 09:24 AM, schrieb Andreas Ernst:
Jo. Syntax OK.
listen.conf SSL?
Jup. Netstat zeigt ja auch das was auf 443 lauscht.
sysconfig SSL drin?
Jep. 5620 ? Ss 0:00 /usr/sbin/httpd2-prefork -f /etc/apache2/httpd.conf -DSSL -D SYSTEMD -DFOREGROUND -k start Gruß Daniel -- Daniel Spannbauer Systemadministration marco Systemanalyse und Entwicklung GmbH Tel +49 8333 9233-27 Fax -11 Rechbergstr. 4-6, D 87727 Babenhausen Mobil +49 171 4033220 http://www.marco.de/ Email ds@marco.de Geschäftsführer Martin Reuter HRB 171775 Amtsgericht München -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Thu, 20 Mar 2014 09:01:42 +0100 schrieb Daniel Spannbauer <ds@marco.de>:
Trotzdem krieg ich die Seitebn nicht per https. http geht, bei https laufe ich in einen Timeout.
Du bist leider etwas unpräzise, was die Art des Tests anbelangt: Zugriff via Browser, openssl oder telnet - und welche Adresse?
Jemand ne Idee?
Raten wir mal: Was sagt den iptables -nvL hinsichtlich 443/tcp ? -- Gruß, Tobias. xmpp: crefeld@xabber.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 03/20/2014 09:23 AM, schrieb Tobias Crefeld:
Browser
Jemand ne Idee?
Raten wir mal: Was sagt den iptables -nvL hinsichtlich 443/tcp ?
Firewall ist komplett aus. Mit tcpdump sehe ich auch die Pakete, es gehtw as rein und was raus. Im Log Apache-Log sehe ich keine meldung. Loglevel hab ich schon auf debug hoch.... Gruß Daniel -- Daniel Spannbauer Systemadministration marco Systemanalyse und Entwicklung GmbH Tel +49 8333 9233-27 Fax -11 Rechbergstr. 4-6, D 87727 Babenhausen Mobil +49 171 4033220 http://www.marco.de/ Email ds@marco.de Geschäftsführer Martin Reuter HRB 171775 Amtsgericht München -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Thu, 20 Mar 2014 10:18:46 +0100 schrieb Daniel Spannbauer <ds@marco.de>:
Da gibt es zu viele Einflussmöglichkeiten, die den Browser am funktionieren hindern könnten und das im worst case auch noch abhängig vom Browserfabrikat. Probier erst mal weiter unten im Protokollstack zu testen. Wenn so ein tcp-connect testen: telnet $IPADRESSE 443 SSL-Aufbau testen und ggf. Zertifikate ausgeben: openssl s_client -connect $IPADRESSE:443 wobei Du 1.) als $IPADDRESSE localhost (nur vom Zielsystem aus) nimmst, und die externe Adresse sowohl als FQDN als auch als numerische Adresse angibst. 2.) letztere Tests sowohl vom Zielsystem als auch von einem separaten PC aus durchführst.
Wie gesagt: Erstmal zusehen, dass der tcp- und SSL-connect funktionieren. Danach kann man im Apache weiter suchen. -- Gruß, Tobias. xmpp: crefeld@xabber.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Danke für die ganzen Denkanstöße, aber ich habs jetzt. Ja, es war die Firewall. Aber nicht die auf dem Server. Das Ding hängt bei uns im Netz. Daher 2 Probleme: a) wird unter dem Namen bei uns im Netz was anderes aufgelöst als im Inet, d.h. es kommt bei uns im Netz die interne IP des Server zurück, außen natürlich die IP unter der die Kiste aus dem Netz zu erreichen ist. b) geht der Weg zu diesem Server über ein Gateway von uns. Und das Ding filtert auch nochmal. Und hier war https noch nicht offen. Ich frag mich zwar warum ich Traffic auf 443 im tcpdump gesehen habe, aber so läuft es vorerst. Das reicht mir momentan. Danke an alle. Gruß Daniel Am 03/20/2014 09:01 AM, schrieb Daniel Spannbauer:
-- Daniel Spannbauer Systemadministration marco Systemanalyse und Entwicklung GmbH Tel +49 8333 9233-27 Fax -11 Rechbergstr. 4-6, D 87727 Babenhausen Mobil +49 171 4033220 http://www.marco.de/ Email ds@marco.de Geschäftsführer Martin Reuter HRB 171775 Amtsgericht München -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
participants (5)
-
Andreas Ernst -
Daniel Spannbauer -
Markus Heinze -
Mathias Homann -
Tobias Crefeld