Apache mit SSL auf neuen Server umziehen
Hallo, ich hatte hier einen Apache auf 10.3 mit SSL am laufen. Aus diversen Gründen habe ich jetzt eine 11.3 hochgezogen. Daten habe ich alle auf den neuen Rechner umgezogen, Auch die SSL-Keys des Apache. Leider mosert mir jetzt trotzdem der der Indianer rum das mit den SSL-Schlüsseln was nicht stimmt. [Wed Mar 02 10:41:13 2011] [warn] RSA server certificate is a CA certificate (BasicConstraints: CA == TRUE !?) [Wed Mar 02 10:41:13 2011] [warn] RSA server certificate CommonName (CN) `10.3.24.4' does NOT match server name!? Der neue Rechner hat die gleiche IP und den gleichen Rechnernamen wie die alte Maschine. Die Conf für den ssl-vhost sieht auch gleich aus: <VirtualHost _default_:443> ServerAdmin webmaster@localhost DocumentRoot /var/lib/ocsinventory-reports CustomLog /var/log/apache2/access.log combined ErrorLog /var/log/apache2/error_log SSLEngine on ServerSignature On SSLCertificateKeyFile /etc/apache2/ssl.key/server.key SSLCertificateFile /etc/apache2/ssl.crt/server.crt Alias /download/ "/var/lib/ocsinventory-reports/download/" </VirtualHost> Jemand ne Idee wie ich das gerade biegen kann? Gruß Daniel -- Daniel Spannbauer Software Entwicklung marco Systemanalyse und Entwicklung GmbH Tel +49 8333 9233-27 Fax -11 Rechbergstr. 4 - 6, D 87727 Babenhausen Mobil +49 171 4033220 http://www.marco.de/ Email ds@marco.de Geschäftsführer Martin Reuter HRB 171775 Amtsgericht München -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Wed, 02 Mar 2011 10:42:40 +0100
schrieb Daniel Spannbauer
Hallo,
ich hatte hier einen Apache auf 10.3 mit SSL am laufen. Aus diversen Gründen habe ich jetzt eine 11.3 hochgezogen. Daten habe ich alle auf den neuen Rechner umgezogen, Auch die SSL-Keys des Apache. Leider mosert mir jetzt trotzdem der der Indianer rum das mit den SSL-Schlüsseln was nicht stimmt.
[Wed Mar 02 10:41:13 2011] [warn] RSA server certificate is a CA certificate (BasicConstraints: CA == TRUE !?) [Wed Mar 02 10:41:13 2011] [warn] RSA server certificate CommonName (CN) `10.3.24.4' does NOT match server name!?
Die Warnungen sind doch eindeutig, erstens wird ein Certificate Authority als Server Certificate angeboten, zweitens steht im Zertifikat CN: 10.3.24.4' und aufgerufen wird der Host mit seinem Hostname, der stimmt dann nicht mit dem CN im Zertifikat überein. [...]
Jemand ne Idee wie ich das gerade biegen kann?
Ein Host Certifikat erstellen mit BasicConstraints CA: FALSE und dem richtigen Hostnamen als CN, gegebenenfalls als Subject Alternative Name DNS:10.3.24.4 hinzufügen, dieses dann mit der CA signieren. -Dieter -- Dieter Klünter | Systemberatung http://dkluenter.de GPG Key ID:DA147B05 53°37'09,95"N 10°08'02,42"E -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am 03/02/2011 10:59 AM, schrieb Dieter Kluenter:
Am Wed, 02 Mar 2011 10:42:40 +0100 schrieb Daniel Spannbauer
: Hallo,
ich hatte hier einen Apache auf 10.3 mit SSL am laufen. Aus diversen Gründen habe ich jetzt eine 11.3 hochgezogen. Daten habe ich alle auf den neuen Rechner umgezogen, Auch die SSL-Keys des Apache. Leider mosert mir jetzt trotzdem der der Indianer rum das mit den SSL-Schlüsseln was nicht stimmt.
[Wed Mar 02 10:41:13 2011] [warn] RSA server certificate is a CA certificate (BasicConstraints: CA == TRUE !?) [Wed Mar 02 10:41:13 2011] [warn] RSA server certificate CommonName (CN) `10.3.24.4' does NOT match server name!?
Die Warnungen sind doch eindeutig, erstens wird ein Certificate Authority als Server Certificate angeboten, zweitens steht im Zertifikat CN: 10.3.24.4' und aufgerufen wird der Host mit seinem Hostname, der stimmt dann nicht mit dem CN im Zertifikat überein.
Dann die Frage:Der Apache auf dem 10.3 hat die selbe Config und die selben Keys, mosert aber nicht rum...
[...]
Jemand ne Idee wie ich das gerade biegen kann?
Ein Host Certifikat erstellen mit BasicConstraints CA: FALSE und dem richtigen Hostnamen als CN, gegebenenfalls als Subject Alternative Name DNS:10.3.24.4 hinzufügen, dieses dann mit der CA signieren.
Das ganze ist für OCS. Bin auf die neue Version umgestiegen weil ich mit der alten irgendwie keine Dateien verteilen kann. Die server.crt wird auf den CLient kopiert damit der sich über ssl seine Dateien holen kann. Wenn ich jetzt das crt neu verteilen muss (weils nicht mehr zum Key passt) hab ich bei 200 Clients ganz schon was zu laufen..... Gruß Daniel
-Dieter
-- Daniel Spannbauer Software Entwicklung marco Systemanalyse und Entwicklung GmbH Tel +49 8333 9233-27 Fax -11 Rechbergstr. 4 - 6, D 87727 Babenhausen Mobil +49 171 4033220 http://www.marco.de/ Email ds@marco.de Geschäftsführer Martin Reuter HRB 171775 Amtsgericht München -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Wed, 02 Mar 2011 16:33:43 +0100
schrieb Daniel Spannbauer
Am 03/02/2011 10:59 AM, schrieb Dieter Kluenter:
Am Wed, 02 Mar 2011 10:42:40 +0100 schrieb Daniel Spannbauer
: Hallo,
ich hatte hier einen Apache auf 10.3 mit SSL am laufen. Aus diversen Gründen habe ich jetzt eine 11.3 hochgezogen. Daten habe ich alle auf den neuen Rechner umgezogen, Auch die SSL-Keys des Apache. Leider mosert mir jetzt trotzdem der der Indianer rum das mit den SSL-Schlüsseln was nicht stimmt.
[Wed Mar 02 10:41:13 2011] [warn] RSA server certificate is a CA certificate (BasicConstraints: CA == TRUE !?) [Wed Mar 02 10:41:13 2011] [warn] RSA server certificate CommonName (CN) `10.3.24.4' does NOT match server name!?
Die Warnungen sind doch eindeutig, erstens wird ein Certificate Authority als Server Certificate angeboten, zweitens steht im Zertifikat CN: 10.3.24.4' und aufgerufen wird der Host mit seinem Hostname, der stimmt dann nicht mit dem CN im Zertifikat überein.
Dann die Frage:Der Apache auf dem 10.3 hat die selbe Config und die selben Keys, mosert aber nicht rum...
Weil es eine uralte buggy openSSL Version ist?
Jemand ne Idee wie ich das gerade biegen kann?
Ein Host Certifikat erstellen mit BasicConstraints CA: FALSE und dem richtigen Hostnamen als CN, gegebenenfalls als Subject Alternative Name DNS:10.3.24.4 hinzufügen, dieses dann mit der CA signieren.
Das ganze ist für OCS. Bin auf die neue Version umgestiegen weil ich mit der alten irgendwie keine Dateien verteilen kann. Die server.crt wird auf den CLient kopiert damit der sich über ssl seine Dateien holen kann. Wenn ich jetzt das crt neu verteilen muss (weils nicht mehr zum Key passt) hab ich bei 200 Clients ganz schon was zu laufen.....
Da läuft doch was falsch, ein Server Certificate wird nicht auf einen Client kopiert, sondern nur die CA. Sinn und Zweck des Tranport Layer Security ist doch, daß ein Client das vom Server präsentierte Certificate mittels der CA verifizieren kann, um dann darauf aufbauend einen verschlüsselten Datentransport zu initiieren. -Dieter -- Dieter Klünter | Systemberatung http://dkluenter.de GPG Key ID:DA147B05 53°37'09,95"N 10°08'02,42"E -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Weil es eine uralte buggy openSSL Version ist?
Alt ja, aber das die Buggy war....
Jemand ne Idee wie ich das gerade biegen kann? Ein Host Certifikat erstellen mit BasicConstraints CA: FALSE und dem richtigen Hostnamen als CN, gegebenenfalls als Subject Alternative Name DNS:10.3.24.4 hinzufügen, dieses dann mit der CA signieren.
Das ganze ist für OCS. Bin auf die neue Version umgestiegen weil ich mit der alten irgendwie keine Dateien verteilen kann. Die server.crt wird auf den CLient kopiert damit der sich über ssl seine Dateien holen kann. Wenn ich jetzt das crt neu verteilen muss (weils nicht mehr zum Key passt) hab ich bei 200 Clients ganz schon was zu laufen..... Da läuft doch was falsch, ein Server Certificate wird nicht auf einen Client kopiert, sondern nur die CA. Sinn und Zweck des Tranport Layer Security ist doch, daß ein Client das vom Server präsentierte Certificate mittels der CA verifizieren kann, um dann darauf aufbauend einen verschlüsselten Datentransport zu initiieren.
Ist leider so, kann man in der Doku von ocsinventory-ng nachlesen...... http://wiki.ocsinventory-ng.org/index.php/Documentation:Teledeploy#With_OCS_.... Ich habs halt auf diesem Weg gemacht.... Gruß Daniel
-Dieter
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Moin, From: "Daniel Spannbauer"
Am 03/02/2011 10:59 AM, schrieb Dieter Kluenter:
Am Wed, 02 Mar 2011 10:42:40 +0100 schrieb Daniel Spannbauer
: ich hatte hier einen Apache auf 10.3 mit SSL am laufen. Aus diversen Gründen habe ich jetzt eine 11.3 hochgezogen. Daten habe ich alle auf den neuen Rechner umgezogen, Auch die SSL-Keys des Apache. Leider mosert mir jetzt trotzdem der der Indianer rum das mit den SSL-Schlüsseln was nicht stimmt.
[Wed Mar 02 10:41:13 2011] [warn] RSA server certificate is a CA certificate (BasicConstraints: CA == TRUE !?) [Wed Mar 02 10:41:13 2011] [warn] RSA server certificate CommonName (CN) `10.3.24.4' does NOT match server name!?
Die Warnungen sind doch eindeutig, erstens wird ein Certificate Authority als Server Certificate angeboten, zweitens steht im Zertifikat CN: 10.3.24.4' und aufgerufen wird der Host mit seinem Hostname, der stimmt dann nicht mit dem CN im Zertifikat überein.
Dann die Frage:Der Apache auf dem 10.3 hat die selbe Config und die selben Keys, mosert aber nicht rum...
vielleicht schon gefragt, aber auch die selbe IP? Gruß Daniel -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am 03/03/2011 07:12 AM, schrieb Daniel Bauer:
Moin,
From: "Daniel Spannbauer"
Am 03/02/2011 10:59 AM, schrieb Dieter Kluenter:
Am Wed, 02 Mar 2011 10:42:40 +0100 schrieb Daniel Spannbauer
: ich hatte hier einen Apache auf 10.3 mit SSL am laufen. Aus diversen Gründen habe ich jetzt eine 11.3 hochgezogen. Daten habe ich alle auf den neuen Rechner umgezogen, Auch die SSL-Keys des Apache. Leider mosert mir jetzt trotzdem der der Indianer rum das mit den SSL-Schlüsseln was nicht stimmt.
[Wed Mar 02 10:41:13 2011] [warn] RSA server certificate is a CA certificate (BasicConstraints: CA == TRUE !?) [Wed Mar 02 10:41:13 2011] [warn] RSA server certificate CommonName (CN) `10.3.24.4' does NOT match server name!?
Die Warnungen sind doch eindeutig, erstens wird ein Certificate Authority als Server Certificate angeboten, zweitens steht im Zertifikat CN: 10.3.24.4' und aufgerufen wird der Host mit seinem Hostname, der stimmt dann nicht mit dem CN im Zertifikat überein.
Dann die Frage:Der Apache auf dem 10.3 hat die selbe Config und die selben Keys, mosert aber nicht rum...
vielleicht schon gefragt, aber auch die selbe IP?
Jop. Soll ja als Erstaz für den alten Rechner dienen.... Gruß Daniel
Gruß Daniel
-- Daniel Spannbauer Software Entwicklung marco Systemanalyse und Entwicklung GmbH Tel +49 8333 9233-27 Fax -11 Rechbergstr. 4 - 6, D 87727 Babenhausen Mobil +49 171 4033220 http://www.marco.de/ Email ds@marco.de Geschäftsführer Martin Reuter HRB 171775 Amtsgericht München -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (3)
-
Daniel Bauer
-
Daniel Spannbauer
-
Dieter Kluenter