Ich habe gerade meinen Apache 2.0.35 neustarten muessen. Danach funktionierte allerdings der SSL-Zugriff auf den Webserver nicht mehr. Der Browser meinte "Fehler: Datenuebertragung unterbrochen" und im error_log des httpd fanden sich Eintraege der Form .... Invalid method in request \x80g\x01\x03 Hmm, was ist hier passiert? Bis vor dem Neustart lief alles. HTTP und HTTPS funktionierten normal. Auf einmal allerdings dies... Hat jemand eine Idee? Marko
Gerade sehe ich, dass der extrem-configtest einen Syntaxfehler in der vhost-ssl.conf findet. --- flmpc21:/etc/rc.d # ./apache2 extreme-configtest Syntax: NOT OK: Syntax error on line 69 of /etc/apache2/vhosts.d/vhost-ssl.conf: SSLCertificateKeyFile: file '/etc/apache2/ssl.key/server.key' does not exist or is empty --- Die Datei existiert allerdings und ist nicht leer: --- -r-------- 1 root root 887 Dec 12 2005 server.key --- sondern enthaelt den private key des Servers. Ich bin etwas ratlos...
Marko Kaening wrote:
Gerade sehe ich, dass der extrem-configtest einen Syntaxfehler in der vhost-ssl.conf findet.
--- flmpc21:/etc/rc.d # ./apache2 extreme-configtest Syntax: NOT OK: Syntax error on line 69 of /etc/apache2/vhosts.d/vhost-ssl.conf: SSLCertificateKeyFile: file '/etc/apache2/ssl.key/server.key' does not exist or is empty ---
Die Datei existiert allerdings und ist nicht leer:
--- -r-------- 1 root root 887 Dec 12 2005 server.key ---
sondern enthaelt den private key des Servers.
Dann schau dir mal die Rechte und den Besitzer an. Das Apache-Log hätte dir das eigentlich auch anzeigen sollen. Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com
Hi Sandy,
Dann schau dir mal die Rechte und den Besitzer an. Das Apache-Log hätte dir das eigentlich auch anzeigen sollen. Auch wenn ich die Ownership und Rechte superliberal einstelle, a la
--- -r--r--r-- 1 wwwrun nogroup 887 Dec 12 2005 server.key --- bekomme ich die gleichen Fehler... Verstehe nicht, was hier vorgeht. Gruss, Marko
Marko Kaening wrote:
Hi Sandy,
Dann schau dir mal die Rechte und den Besitzer an. Das Apache-Log hätte dir das eigentlich auch anzeigen sollen. Auch wenn ich die Ownership und Rechte superliberal einstelle, a la
--- -r--r--r-- 1 wwwrun nogroup 887 Dec 12 2005 server.key ---
bekomme ich die gleichen Fehler...
Verstehe nicht, was hier vorgeht.
Wenn ein Serverdienst nicht das tut, was er soll, dann steht der Grund meist im Log. Schau mal nach den ersten Warnungen/Fehlern, die erscheinen. Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com
Hi Sandy, On Fri, 6 Oct 2006, Sandy Drobic wrote:
Wenn ein Serverdienst nicht das tut, was er soll, dann steht der Grund meist im Log. Schau mal nach den ersten Warnungen/Fehlern, die erscheinen. in der /var/log/messages gibt's keinerlei Ausgaben. Sorry, hatte ich vergessen zu erwaehnen.
Marko
On Friday 06 October 2006 18:05, Marko Kaening wrote:
Hi Sandy,
On Fri, 6 Oct 2006, Sandy Drobic wrote:
Wenn ein Serverdienst nicht das tut, was er soll, dann steht der Grund meist im Log. Schau mal nach den ersten Warnungen/Fehlern, die erscheinen.
in der /var/log/messages gibt's keinerlei Ausgaben. Sorry, hatte ich vergessen zu erwaehnen.
Klar, der Apache schreibt standardmaessig nach /var/log/apache2 ;-)
Marko
Benni -- Benjamin Zeller Ing.-Büro Hohmann Bahnhofstr. 34 D-82515 Wolfratshausen Tel.: +49 (0)8171 347 88 12 Mobil: +49 (0)160 99 11 55 23 Fax: +49 (0)8171 910 778 mailto: zeller@ibh-wor.de www.ibh-wor.de
Marko Kaening wrote:
Hi Sandy,
On Fri, 6 Oct 2006, Sandy Drobic wrote:
Wenn ein Serverdienst nicht das tut, was er soll, dann steht der Grund meist im Log. Schau mal nach den ersten Warnungen/Fehlern, die erscheinen.
in der /var/log/messages gibt's keinerlei Ausgaben. Sorry, hatte ich vergessen zu erwaehnen.
Marko
Apache loggt unter Suse eigentlich nach /var/log/apache, was steht denn dort bei dir? Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com
Im ersten Post hatte die in den Apache logs zu findenden Meldungen kurz beschrieben. In Apache's access_log und error_log findet man: --- .... Invalid method in request \x80g\x01\x03 --- was darauf hindeutet, dass der Apache offenbar die Requests nicht richtig entschluesseln kann, da man ja sowas wie GET als Request erwarten sollte...
Die folgenden 2 Zeilen stammen aus dem access_log: --- mch-rlspc2 - - [06/Oct/2006:15:25:25 +0200] "GET /EDB/T3/index.php HTTP/1.1" 200 2743 mch-rlspc2 - - [06/Oct/2006:15:31:16 +0200] "\x80g\x01\x03\x01" 501 992 "-" "-" --- Um ca. 15:30 hatte ich den Apache neu gestartet. In der ss_request_log findet man zuvor noch --- [06/Oct/2006:15:25:25 +0200] mch-rlspc2 TLSv1 DHE-RSA-AES256-SHA "GET /EDB/T3/index.php HTTP/1.1" 2743 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.0.7) Gecko/20060909 Firefox/1.5.0.7" --- danach ist im SSL-log aber Flaute. Keine Eintraege mehr, was dafuer spricht, dass mein Apache ploetzlich kein SSL mehr spricht.
Marko Kaening wrote:
Die folgenden 2 Zeilen stammen aus dem access_log:
--- mch-rlspc2 - - [06/Oct/2006:15:25:25 +0200] "GET /EDB/T3/index.php HTTP/1.1" 200 2743 mch-rlspc2 - - [06/Oct/2006:15:31:16 +0200] "\x80g\x01\x03\x01" 501 992 "-" "-" ---
Um ca. 15:30 hatte ich den Apache neu gestartet.
In der ss_request_log findet man zuvor noch
--- [06/Oct/2006:15:25:25 +0200] mch-rlspc2 TLSv1 DHE-RSA-AES256-SHA "GET /EDB/T3/index.php HTTP/1.1" 2743 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.0.7) Gecko/20060909 Firefox/1.5.0.7" ---
danach ist im SSL-log aber Flaute. Keine Eintraege mehr, was dafuer spricht, dass mein Apache ploetzlich kein SSL mehr spricht.
Mit den dürftigen Informationen bisher kann ich dir bisher keinen wirklich fundierten Rat geben. Kann es sein, dass Apache ein Problem mit der Openssl-Installation hat? Da hat es in er letzten Zeit ja ein paar Updates gegeben. Ebenfalls möglich ist, dass er jetzt http erwartet und ssl bekommt etc. Was passiert denn, wenn du per telnet mal mit dem Apache sprichst? openssl s_client -tls1 -connect 192.168.0.1:443 Meckert er beim Aufbau? Wenn jetzt ein Seite abgefragt wird, liefert er diese jetzt? get /index.html http/1.0 [return] [return] Kommt jetzt die Seite? Teste das auch mal auf Port 80 und für die verschiedenen Servernamen, wenn du virtuelle Hosts hast. Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com
Hi Sandy, Danke fuer den Hinweis mit dem SSL-Test, der zeigte mir naemlich folgendes: --- # openssl s_client -tls1 -connect localhost:443 CONNECTED(00000003) 27533:error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number:s3_pkt.c:286: --- Da liegt scheinbar der Hund begraben! Die openssl-Version ist die 0.9.7e und rpm meint, sie waere am 19. Okt '05 installiert worden. Mein Apache hingegen ist 2.0.53 und vom 14. Sep '06! Ich habe hier ein mit YOU von einem Mirror aktualisiertes SuSE 9.3 am Laufen, von der ich bisher glaubte, dass sie auch das openssl-Paket aktuell haben sollte. Keine Ahnung, warum die so alt ist... Ein Ansatzpunkt fuer weitere Nachforschungen. Gruss, Marko
Hi Sandy, YOU hatte kuerzlich offensichtlich den Apache neu installiert, nur ist die OpenSSL zu diesem Zeitpunkt noch nicht auf dem Mirror gewesen... Jetzt habe ich nochmalein Update gemacht und siehe da: Es funktioniert immer noch NICHT! Die Fehlermeldung bleibt bis auf die erste Zahl (welche wahrscheinlich die PID ist) die gleiche: --- # openssl s_client -tls1 -connect localhost:443 CONNECTED(00000003) 30743:error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number:s3_pkt.c:286: --- Was tun? Marko
Marko Kaening wrote:
Hi Sandy,
YOU hatte kuerzlich offensichtlich den Apache neu installiert, nur ist die OpenSSL zu diesem Zeitpunkt noch nicht auf dem Mirror gewesen... Jetzt habe ich nochmalein Update gemacht und siehe da:
Es funktioniert immer noch NICHT!
Die Fehlermeldung bleibt bis auf die erste Zahl (welche wahrscheinlich die PID ist) die gleiche: --- # openssl s_client -tls1 -connect localhost:443 CONNECTED(00000003) 30743:error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number:s3_pkt.c:286: ---
Was tun?
Lasse mal die Versionsangabe weg. Ich bin davon ausgegangen, dass das Zertifikat TLS unterstützt. openssl s_client -connect localhost:443 Was meldet er dann, mit was für einer Verbindung er arbeitet. Bei mir sieht das so aus: New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA Server public key is 1024 bit SSL-Session: Protocol : TLSv1 Cipher : DHE-RSA-AES256-SHA Session-ID: B91BFCED9A35FCCC70EE3EBF5FB3D2059E10EEA4BDEEE51BFD89EE06F424D27E Session-ID-ctx: Master-Key: 375B4567E964E8A72B3B31FE8A5251581356B633C48F2775CA08E74EA721E19DA5ED35D4A167A0F08A1A8E04016D47B1 Key-Arg : None Start Time: 1160386672 Timeout : 300 (sec) Verify return code: 21 (unable to verify the first certificate) Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com
Hi Sandy, ich habe mal localhost durch den Servernamen ersetzt und bekam dann das unten angehaengte Ergebnis (offenbar wird localhost nicht zugelassen). Der 1. vom Server gelieferte Block sieht nicht viel anders aus als Deiner, allerdings bekomme ich auf die (von Dir anfangs schon vorgeschlagene) GET-Anfrage hin die Meldung "HTTP/1.1 501 Method Not Implemented" serviert, was nicht so gut aussieht, nicht wahr?! Aber zumindest liefert der Server scheinbar eine Antwort, wenn auch keine vielversprechende. Im Firefox hiess die Meldung ja einfach nur "Fehler: Datenuebertragung unterbrochen" und gaukelt voellige Schweigsamkeit des Servers vor, die ja offensichtlich gar nicht existent ist... Ein Stueckchen weiter sind wir ja, aber was nun? Marko Anhang: --- New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA Server public key is 1024 bit SSL-Session: Protocol : TLSv1 Cipher : DHE-RSA-AES256-SHA Session-ID: EFB5BB8FC6C8A5990E00CEF4EC49B91E373119814A078B9F3E7FFC69C352DE4B Session-ID-ctx: Master-Key: BA038B44174DCEE3DBF82B5AF3619D86D31B1EC094DE94ACFCA9649A986C6200410C9FC4CA96D8D9DAB35A8C6D8D15D3 Key-Arg : None Start Time: 1160392454 Timeout : 300 (sec) Verify return code: 21 (unable to verify the first certificate) --- get /index.html http/1.0 HTTP/1.1 501 Method Not Implemented Date: Mon, 09 Oct 2006 11:14:25 GMT Server: Apache/2.0.53 (Linux/SUSE) Vary: accept-language,accept-charset Accept-Ranges: bytes Connection: close Content-Type: text/html; charset=iso-8859-1 Content-Language: en Expires: Mon, 09 Oct 2006 11:14:25 GMT <?xml version="1.0" encoding="ISO-8859-1"?> <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> <html xmlns="http://www.w3.org/1999/xhtml" lang="en" xml:lang="en"> <head> <title>Cannot process request!</title> <link rev="made" href="mailto:root@flmpc21" /> <style type="text/css"><!--/*--><![CDATA[/*><!--*/ body { color: #000000; background-color: #FFFFFF; } a:link { color: #0000CC; } p, address {margin-left: 3em;} span {font-size: smaller;} /*]]>*/--></style> </head> <body> <h1>Cannot process request!</h1> <p> The server does not support the action requested by the browser. </p> <p> If you think this is a server error, please contact the <a href="mailto:root@flmpc21">webmaster</a>. </p> <h2>Error 501</h2> <address> <a href="/">flmpc21</a><br /> <span>Mon Oct 9 13:14:25 2006<br /> Apache/2.0.53 (Linux/SUSE)</span> </address> </body> </html> closed
Am Freitag, 6. Oktober 2006 15:46 schrieb Marko Kaening:
Ich habe gerade meinen Apache 2.0.35 neustarten muessen. Danach funktionierte allerdings der SSL-Zugriff auf den Webserver nicht mehr. Der Browser meinte "Fehler: Datenuebertragung unterbrochen" und im error_log des httpd fanden sich Eintraege der Form
.... Invalid method in request \x80g\x01\x03
Hmm, was ist hier passiert? Bis vor dem Neustart lief alles. HTTP und HTTPS funktionierten normal. Auf einmal allerdings dies...
Ich hatte das Problem auch mal. Ich kann mich nur noch daran erinnern, daß wir ausschließlich an der Apache-SSL-Konfiguration geschraubt haben Schau Dir noch mal genau die Dateien in /etc/apache2 an. Es gibt dort auch eine Vhost-SSL-Default-Datei als Beispiel mit Kommentaren, die sehr gut ist. Grüße Manfred
Hallo Manfred,
Ich hatte das Problem auch mal. Ich kann mich nur noch daran erinnern, daß wir ausschließlich an der Apache-SSL-Konfiguration geschraubt haben Schau Dir noch mal genau die Dateien in /etc/apache2 an. Es gibt dort auch eine Vhost-SSL-Default-Datei als Beispiel mit Kommentaren, die sehr gut ist. Ja, auch ich habe dran geschraubt, allerdings unterschied sich meine conf nur um einen winzigen Eintrag:
# diff vhost-ssl.conf vhost-ssl.template 28d27 < 36c35 < <VirtualHost flmpc21.mch.osram.de:443> ---
<VirtualHost _default_:443>
Anstelle des _default_ hatte ich halt meinen Servernamen direkt eingetragen. Dies lief mit dem alten Apache2 auch problemlos, erst seit dem Update scheint er dies nicht mehr zu moegen. Ein Kopieren des Templates ueber meine conf erweckte den SSL-Server wieder zum leben. Danke fuer den Hinweis!!! Gruss, Marko
participants (4)
-
Benjamin Zeller
-
Manfred Rebentisch
-
Marko Kaening
-
Sandy Drobic