Hallo zusammen, ich habe unter 13.2 den Apache2 aus den normalen Repos installiert und den Dienst aktiviert. http ist erreichbar. Allerdings ist auf der DocumentRoot keine index Datei, so wie das früher mal der Fall war. Aber https ist nicht erreichbar. Ich habe jetzt noch nicht nach Fehlern gesucht. In /var/log/apache2 gibt es nur ein access_log und ein error_log Muss da noch etwas besonderes Installiert oder gemacht werden damit https funktioniert oder sollte das out of the box funktionieren ? Ein /etc/apache2/default-vhost-ssl.conf für https ist vorhanden. Danke für einen Tipp. Gruss Werner Franke -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 29.09.2016 um 08:28 schrieb Werner Franke:
Hallo zusammen,
ich habe unter 13.2 den Apache2 aus den normalen Repos installiert und den Dienst aktiviert. http ist erreichbar. Allerdings ist auf der DocumentRoot keine index Datei, so wie das früher mal der Fall war. Aber https ist nicht erreichbar. Ich habe jetzt noch nicht nach Fehlern gesucht. In /var/log/apache2 gibt es nur ein access_log und ein error_log
Muss da noch etwas besonderes Installiert oder gemacht werden damit https funktioniert oder sollte das out of the box funktionieren ?
Ein /etc/apache2/default-vhost-ssl.conf für https ist vorhanden.
Danke für einen Tipp.
Gruss Werner Franke
hi ;) zum einen gibts da noch ein package 'apache-sample-pages' oer so aehnlich ... des macht dann des index file in den document root mit rein. fuer SSL brauchst dann halt noch certificates und und und ... da gibts einige tutorials. google is your best friend ;) https://www.google.de/search?q=apache+ssl+einrichten+opensuse viel erfolg gruesse becki -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 29.09.2016 um 08:28 schrieb Werner Franke:
Hallo zusammen,
ich habe unter 13.2 den Apache2 aus den normalen Repos installiert und den Dienst aktiviert. http ist erreichbar. Allerdings ist auf der DocumentRoot keine index Datei, so wie das früher mal der Fall war. Aber https ist nicht erreichbar. Ich habe jetzt noch nicht nach Fehlern gesucht. In /var/log/apache2 gibt es nur ein access_log und ein error_log
Muss da noch etwas besonderes Installiert oder gemacht werden damit https funktioniert oder sollte das out of the box funktionieren ?
Ein /etc/apache2/default-vhost-ssl.conf für https ist vorhanden.
Danke für einen Tipp.
Gruss Werner Franke Hi,
du musst in der /etc/sysconfig/apache https aktivieren. Prüfen ob der apache auf Port 443 lauscht, kannst du mit netstat -anp. gruß Ingo -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Danke Ingo, Am 29.09.2016 um 09:35 schrieb Ingo:
Am 29.09.2016 um 08:28 schrieb Werner Franke:
Hallo zusammen,
ich habe unter 13.2 den Apache2 aus den normalen Repos installiert und den Dienst aktiviert. http ist erreichbar. Allerdings ist auf der DocumentRoot keine index Datei, so wie das früher mal der Fall war. Aber https ist nicht erreichbar. Ich habe jetzt noch nicht nach Fehlern gesucht. In /var/log/apache2 gibt es nur ein access_log und ein error_log
Muss da noch etwas besonderes Installiert oder gemacht werden damit https funktioniert oder sollte das out of the box funktionieren ?
Ein /etc/apache2/default-vhost-ssl.conf für https ist vorhanden.
Danke für einen Tipp.
Gruss Werner Franke Hi,
du musst in der /etc/sysconfig/apache https aktivieren. Prüfen ob der apache auf Port 443 lauscht, kannst du mit netstat -anp.
Eigentlich will ich zu Hause OwnCloud einrichten und mich dann mit meinem Smartphone damit verbinden. Dazu möchte ich erst einmal eine minimalistische Umgebung einrichten, denn wenn OwnCloud mir nicht gefällt oder nicht so funktioniert, wie ich mir das erwarte, dann kann ich das alles wieder in die Tonne treten. Ich will also erst einmal so wenig Aufwand wie möglich. Werde testet, ob es dann damit funktioniert. Gruss Werner -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 29.09.16 um 11:14 schrieb Werner Franke:
Danke Ingo,
Am 29.09.2016 um 09:35 schrieb Ingo:
Am 29.09.2016 um 08:28 schrieb Werner Franke:
Hallo zusammen,
ich habe unter 13.2 den Apache2 aus den normalen Repos installiert und den Dienst aktiviert. http ist erreichbar. Allerdings ist auf der DocumentRoot keine index Datei, so wie das früher mal der Fall war. Aber https ist nicht erreichbar. Ich habe jetzt noch nicht nach Fehlern gesucht. In /var/log/apache2 gibt es nur ein access_log und ein error_log
Muss da noch etwas besonderes Installiert oder gemacht werden damit https funktioniert oder sollte das out of the box funktionieren ?
Ein /etc/apache2/default-vhost-ssl.conf für https ist vorhanden.
Danke für einen Tipp.
Gruss Werner Franke Hi,
du musst in der /etc/sysconfig/apache https aktivieren. Prüfen ob der apache auf Port 443 lauscht, kannst du mit netstat -anp.
Eigentlich will ich zu Hause OwnCloud einrichten und mich dann mit meinem Smartphone damit verbinden.
Dazu möchte ich erst einmal eine minimalistische Umgebung einrichten, denn wenn OwnCloud mir nicht gefällt oder nicht so funktioniert, wie ich mir das erwarte, dann kann ich das alles wieder in die Tonne treten. Ich will also erst einmal so wenig Aufwand wie möglich.
Ich verwende Owncloud jetzt schon einige Zeit, Kalender und Clients funktionieren super. Es kann sein, das es ohne Zertifikat Probleme gibt. Wobei hier auch zu beachten ist, das es dort Unstimmigkeiten gab, und einige Entwickler nach NextCloud abgewandert sind. http://www.heise.de/suche/?q=nextcloud&search_submit.x=0&search_submit.y=0&rm=search LG Andreas -- ae | Andreas Ernst | IT Spektrum Postfach 5, 65612 Beselich Schupbacher Str. 32, 65614 Beselich, Germany Tel: +49-6484-91002 Fax: +49-6484-91003 ae@ae-online.de | www.ae-online.de www.tachyon-online.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo zusammen, Am 29.09.2016 um 11:14 schrieb Werner Franke:
Danke Ingo,
Am 29.09.2016 um 09:35 schrieb Ingo:
Am 29.09.2016 um 08:28 schrieb Werner Franke:
Hallo zusammen,
[...]
Muss da noch etwas besonderes Installiert oder gemacht werden damit https funktioniert oder sollte das out of the box funktionieren ?
Ein /etc/apache2/default-vhost-ssl.conf für https ist vorhanden.
Danke für einen Tipp.
Gruss Werner Franke
Hi,
du musst in der /etc/sysconfig/apache https aktivieren. Prüfen ob der apache auf Port 443 lauscht, kannst du mit netstat -anp.
In /etc/sysconfig/apache habe ich https aktiviert. APACHE_SERVER_FLAGS="SSL" hpserver:/etc/apache2 # netstat -anp|grep 443 tcp 0 0 :::443 :::* LISTEN 4381/httpd2-prefork Jetzt lauscht der Apache zwar auf 443, aber es kommt eine Fehlermeldung, die ich nicht weg bekomme. URL: https://hpserver/ Es kommt: Fehler: Gesicherte Verbindung fehlgeschlagen An error occurred during a connection to hpserver. SSL received a record that exceeded the maximum permissible length. Error code: SSL_ERROR_RX_RECORD_TOO_LONG Die Fehlermeldung in error_log habe ich mir nicht ins Büro mitgenommen und jetzt finde ich sie bei Google nicht mehr. Ich habe dann nach verschiedenen Anleitungen versucht ein Certificate zu machen, aber ich hatte keinen Erfolg. https://forums.opensuse.org/showthread.php/517449-Https-SSL-Certificate-and-... openssl genrsa -out /etc/apache2/ssl.key/my.key 2048 openssl req -new -x509 -key /etc/apache2/ssl.key/my.key -out /etc/apache2/ssl.crt/my.crt -days 548 In /etc/apache2/ssl-global.conf SSLCertificateKeyFile /etc/apache2/ssl.key/my.key SSLCertificateFile /etc/apache2/ssl.crt/my.crt oder nach http://www.debacher.de/wiki/Einzelheiten_zur_Apache-Konfiguration openssl genrsa -out server.key 1024 openssl req -new -key server.key -out server.csr openssl x509 -req -days 3650 -in server.csr -signkey server.key -out server.crt SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNUL SSLCertificateFile /etc/apache2/ssl.key/server.crt SSLCertificateKeyFile /etc/apache2/ssl.key/server.key Hat noch jemand einen Tipp ? Danke und Gruss Werner -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo zusammen,
Am 29.09.2016 um 11:14 schrieb Werner Franke:
Danke Ingo,
Am 29.09.2016 um 09:35 schrieb Ingo:
Am 29.09.2016 um 08:28 schrieb Werner Franke:
Hallo zusammen,
[...]
Muss da noch etwas besonderes Installiert oder gemacht werden damit https funktioniert oder sollte das out of the box funktionieren ?
Ein /etc/apache2/default-vhost-ssl.conf für https ist vorhanden.
Danke für einen Tipp.
Gruss Werner Franke Hi,
du musst in der /etc/sysconfig/apache https aktivieren. Prüfen ob der apache auf Port 443 lauscht, kannst du mit netstat -anp.
In /etc/sysconfig/apache habe ich https aktiviert.
APACHE_SERVER_FLAGS="SSL"
hpserver:/etc/apache2 # netstat -anp|grep 443 tcp 0 0 :::443 :::* LISTEN 4381/httpd2-prefork
Jetzt lauscht der Apache zwar auf 443, aber es kommt eine Fehlermeldung, die ich nicht weg bekomme.
URL: https://hpserver/
Es kommt: Fehler: Gesicherte Verbindung fehlgeschlagen
An error occurred during a connection to hpserver. SSL received a record that exceeded the maximum permissible length. Error code: SSL_ERROR_RX_RECORD_TOO_LONG
Die Fehlermeldung in error_log habe ich mir nicht ins Büro mitgenommen und jetzt finde ich sie bei Google nicht mehr.
Ich habe dann nach verschiedenen Anleitungen versucht ein Certificate zu machen, aber ich hatte keinen Erfolg.
https://forums.opensuse.org/showthread.php/517449-Https-SSL-Certificate-and-...
openssl genrsa -out /etc/apache2/ssl.key/my.key 2048 openssl req -new -x509 -key /etc/apache2/ssl.key/my.key -out /etc/apache2/ssl.crt/my.crt -days 548
In /etc/apache2/ssl-global.conf
SSLCertificateKeyFile /etc/apache2/ssl.key/my.key SSLCertificateFile /etc/apache2/ssl.crt/my.crt
oder nach
http://www.debacher.de/wiki/Einzelheiten_zur_Apache-Konfiguration
openssl genrsa -out server.key 1024 openssl req -new -key server.key -out server.csr openssl x509 -req -days 3650 -in server.csr -signkey server.key -out server.crt
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNUL SSLCertificateFile /etc/apache2/ssl.key/server.crt SSLCertificateKeyFile /etc/apache2/ssl.key/server.key
Hat noch jemand einen Tipp ? Du solltest auf jeden Fall das apache-error-log prüfen. Anhand dieser Fehlermeldung, kann man ziemlich gut feststellen, was das Problem ist. Probleme gibt es meist nur, wenn die Dateien nicht am richtige Platz
Am 30.09.2016 um 10:14 schrieb Werner Franke: liegen oder nicht lesbar sind. Aber das steht dann im Log. Ingo -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Sorry für den komischen Subject in den vorherigen Mails. Da meint es unsere IT wieder mal besonders gut ;-) Am 30.09.2016 um 11:39 schrieb Ingo: [...]
Du solltest auf jeden Fall das apache-error-log prüfen. Anhand dieser Fehlermeldung, kann man ziemlich gut feststellen, was das Problem ist. Probleme gibt es meist nur, wenn die Dateien nicht am richtige Platz liegen oder nicht lesbar sind. Aber das steht dann im Log.
Danke Ingo. Im error_log ist eine Fehlermeldung, die zu einem Bug führt, wenn man sie goggelt. Aber da ich die jetzt nicht parat habe, ist es müßig darüber zu reden. Ich melde mich nächste Woche nochmal... schönes Wochenende Werner -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo Ingo, alle, Am 30.09.2016 um 11:39 schrieb Ingo:
Am 30.09.2016 um 10:14 schrieb Werner Franke: [...]
Muss da noch etwas besonderes Installiert oder gemacht werden damit https funktioniert oder sollte das out of the box funktionieren ?
[...]
In /etc/sysconfig/apache habe ich https aktiviert.
APACHE_SERVER_FLAGS="SSL"
[...]
An error occurred during a connection to hpserver. SSL received a record that exceeded the maximum permissible length. Error code: SSL_ERROR_RX_RECORD_TOO_LONG
Die Fehlermeldung in error_log habe ich mir nicht ins Büro mitgenommen und jetzt finde ich sie bei Google nicht mehr.
Du solltest auf jeden Fall das apache-error-log prüfen. Anhand dieser Fehlermeldung, kann man ziemlich gut feststellen, was das Problem ist. Probleme gibt es meist nur, wenn die Dateien nicht am richtige Platz liegen oder nicht lesbar sind. Aber das steht dann im Log.
Im error_log kommt folgende Fehlermeldung: [core:info] [pid 1603] [client 192.168..] AH00566: request failed: invalid characters in URI Wenn ich das bei Google suche, finde ich [Bug 53197] SSL enable, AH00566: request failed: invalid ... [Bug 54816] New: AH00566: request failed: invalid characters in URI [Bug 59018] New: AH00566: request failed:invalid characters in URI ... was mich aber auch irgendwie nicht weiterbringt. Gruss Werner -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 05.10.2016 um 08:42 schrieb Werner Franke:
Hallo Ingo, alle,
Am 30.09.2016 um 11:39 schrieb Ingo:
Am 30.09.2016 um 10:14 schrieb Werner Franke: [...]
Muss da noch etwas besonderes Installiert oder gemacht werden damit https funktioniert oder sollte das out of the box funktionieren ?
[...]
In /etc/sysconfig/apache habe ich https aktiviert.
APACHE_SERVER_FLAGS="SSL"
[...]
An error occurred during a connection to hpserver. SSL received a record that exceeded the maximum permissible length. Error code: SSL_ERROR_RX_RECORD_TOO_LONG
Die Fehlermeldung in error_log habe ich mir nicht ins Büro mitgenommen und jetzt finde ich sie bei Google nicht mehr.
Du solltest auf jeden Fall das apache-error-log prüfen. Anhand dieser Fehlermeldung, kann man ziemlich gut feststellen, was das Problem ist. Probleme gibt es meist nur, wenn die Dateien nicht am richtige Platz liegen oder nicht lesbar sind. Aber das steht dann im Log.
Im error_log kommt folgende Fehlermeldung:
[core:info] [pid 1603] [client 192.168..] AH00566: request failed: invalid characters in URI
Wenn ich das bei Google suche, finde ich [Bug 53197] SSL enable, AH00566: request failed: invalid ... [Bug 54816] New: AH00566: request failed: invalid characters in URI [Bug 59018] New: AH00566: request failed:invalid characters in URI ... was mich aber auch irgendwie nicht weiterbringt.
Gruss Werner Ich habe in meiner sysconfig/apache folgendes aktiv:
APACHE_SERVER_FLAGS="SSL" APACHE_MODULES="actions alias auth_basic authn_file authz_host authz_groupfile authz_user autoindex cgi dir env expires include log_config mime negotiation setenvif ssl userdir reqtimeout rewrite suexec fcgid proxy proxy_http socache_shmcb authn_core authz_core deflate headers filter version" folgende Einträge beim host (bei dir wohl ssl-gobal.conf ich verwende einen Server mit mehreren Host hier gibt es vermutlich einige Unterschiede zu deiner Konfiguration) Alternativ kannst du auch prüfen ob unter /etc/apache2/vhosts.d/ die Templates aktiv sind umbenenen (Endung .conf): SSLCertificateKeyFile /etc/apache2/sslcerts/server.key SSLCertificateFile /etc/apache2/sslcerts/server_signed.crt SSLCACertificateFile /etc/apache2/sslcerts/server_signed.ca Diese Dateien solltest du am besten mit der Konsole erstellen. Um irgendwelche Steuerzeichen zu vermeiden. Restarte den Apache neu und schau dann ins error-log evtl. steht ja dann schon was da, was auf den Fehler hindeutet? Ingo -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo Ingo, Am 05.10.2016 um 09:54 schrieb Ingo:
Am 05.10.2016 um 08:42 schrieb Werner Franke:
Hallo Ingo, alle,
Am 30.09.2016 um 11:39 schrieb Ingo:
Am 30.09.2016 um 10:14 schrieb Werner Franke:
[...]
Ich habe in meiner sysconfig/apache folgendes aktiv:
APACHE_SERVER_FLAGS="SSL" APACHE_MODULES="actions alias auth_basic authn_file authz_host authz_groupfile authz_user autoindex cgi dir env expires include log_config mime negotiation setenvif ssl userdir reqtimeout rewrite suexec fcgid proxy proxy_http socache_shmcb authn_core authz_core deflate headers filter version"
folgende Einträge beim host (bei dir wohl ssl-gobal.conf ich verwende einen Server mit mehreren Host hier gibt es vermutlich einige Unterschiede zu deiner Konfiguration) Alternativ kannst du auch prüfen ob unter /etc/apache2/vhosts.d/ die Templates aktiv sind umbenenen (Endung .conf):
/etc/apache2/vhosts.d/ habe ich jetzt nicht nachgesehen, aber ich dachte in /etc/apache2/default-vhost.conf und /etc/apache2/default-vhost-ssl.conf ist alles wichtige definiert. Habe da nur sehr wenig angepasst nur: ServerName und ServerAlias Und die SSLCertificate Settings habe ich erst einmal in /etc/apache2/ssl-global.conf angepasst.
SSLCertificateKeyFile /etc/apache2/sslcerts/server.key SSLCertificateFile /etc/apache2/sslcerts/server_signed.crt SSLCACertificateFile /etc/apache2/sslcerts/server_signed.ca
Diese Dateien solltest du am besten mit der Konsole erstellen. Um irgendwelche Steuerzeichen zu vermeiden. Restarte den Apache neu und schau dann ins error-log evtl. steht ja dann schon was da, was auf den Fehler hindeutet?
Kannst du mir schreiben wie du zu den SSLCertificate Files gekommen bist. Eine URL würde mir schon reichen, denn bei den Beschreibungen, die ich so gesehen habe, kam das "server_signed.ca" nie vor. Gruss Werner -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 06.10.2016 um 13:10 schrieb Werner Franke:
Hallo Ingo,
Am 05.10.2016 um 09:54 schrieb Ingo:
Am 05.10.2016 um 08:42 schrieb Werner Franke:
Hallo Ingo, alle,
Am 30.09.2016 um 11:39 schrieb Ingo:
Am 30.09.2016 um 10:14 schrieb Werner Franke:
[...]
Ich habe in meiner sysconfig/apache folgendes aktiv:
APACHE_SERVER_FLAGS="SSL" APACHE_MODULES="actions alias auth_basic authn_file authz_host authz_groupfile authz_user autoindex cgi dir env expires include log_config mime negotiation setenvif ssl userdir reqtimeout rewrite suexec fcgid proxy proxy_http socache_shmcb authn_core authz_core deflate headers filter version"
folgende Einträge beim host (bei dir wohl ssl-gobal.conf ich verwende einen Server mit mehreren Host hier gibt es vermutlich einige Unterschiede zu deiner Konfiguration) Alternativ kannst du auch prüfen ob unter /etc/apache2/vhosts.d/ die Templates aktiv sind umbenenen (Endung .conf):
/etc/apache2/vhosts.d/ habe ich jetzt nicht nachgesehen, aber ich dachte in /etc/apache2/default-vhost.conf und /etc/apache2/default-vhost-ssl.conf ist alles wichtige definiert. Habe da nur sehr wenig angepasst nur: ServerName und ServerAlias
Und die SSLCertificate Settings habe ich erst einmal in /etc/apache2/ssl-global.conf angepasst.
SSLCertificateKeyFile /etc/apache2/sslcerts/server.key SSLCertificateFile /etc/apache2/sslcerts/server_signed.crt SSLCACertificateFile /etc/apache2/sslcerts/server_signed.ca
Diese Dateien solltest du am besten mit der Konsole erstellen. Um irgendwelche Steuerzeichen zu vermeiden. Restarte den Apache neu und schau dann ins error-log evtl. steht ja dann schon was da, was auf den Fehler hindeutet?
Kannst du mir schreiben wie du zu den SSLCertificate Files gekommen bist. Eine URL würde mir schon reichen, denn bei den Beschreibungen, die ich so gesehen habe, kam das "server_signed.ca" nie vor.
Gruss Werner
Das ca brauchst du eigentlich nicht, so lange du mit selbstsignierten Zertifikaten rummachst. Du brauchst eigentlich nur den key und das crt (also 2 Schritte). Hast du denn beim Neustart mal ins Log geschaut? Erstelle den Key und das Zertfikat am besten noch einmal neu und achte (beim einbinden) darauf, dass die Pfade korrekt und lesbar sind. Die einzigen Probleme die ich bisher damit hatte, waren eben die Pfad (Tippfehler) und seltsame Windowssteuerzeichen im Zertifikat. Meist meckert der Apache schon rum, wenn etwas nicht stimmt. Läuft http ganz normal? Anleitungen findest du überall z. B. https://wiki.ubuntuusers.de/Apache/SSL/ Du kannst auch gerne mal das Errorlog posten und ein Blick ins message-Log werfen. Gruß Ingo -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hi Ingo, Am 06.10.2016 um 14:33 schrieb Ingo:
Am 06.10.2016 um 13:10 schrieb Werner Franke:
Hallo Ingo,
Am 05.10.2016 um 09:54 schrieb Ingo:
Am 05.10.2016 um 08:42 schrieb Werner Franke:
Hallo Ingo, alle,
Am 30.09.2016 um 11:39 schrieb Ingo:
Am 30.09.2016 um 10:14 schrieb Werner Franke:
[...]
[...]
Das ca brauchst du eigentlich nicht, so lange du mit selbstsignierten Zertifikaten rummachst. Du brauchst eigentlich nur den key und das crt (also 2 Schritte). Hast du denn beim Neustart mal ins Log geschaut? Erstelle den Key und das Zertfikat am besten noch einmal neu und achte (beim einbinden) darauf, dass die Pfade korrekt und lesbar sind. Die einzigen Probleme die ich bisher damit hatte, waren eben die Pfad (Tippfehler) und seltsame Windowssteuerzeichen im Zertifikat. Meist meckert der Apache schon rum, wenn etwas nicht stimmt. Läuft http ganz normal? Anleitungen findest du überall z. B. https://wiki.ubuntuusers.de/Apache/SSL/ Du kannst auch gerne mal das Errorlog posten und ein Blick ins message-Log werfen.
Ich hatte die Zertfikate auf verschiedenen Wegen erzeugt und im Error-Log war immer nur die eine Fehlermeldung, wenn ich die https URL aufgerufen hatte. AH00566: request failed: invalid characters in URI Blöd ist halt, dass die fehlerhafte URI nicht gemeldet wird. Ich habe nun gestern nach https://www.schirmacher.de/display/Linux/Apache+SSL+Zertifikat+erstellen ein neues Zertfikat erstellt und denke, dass mein Problem da begraben ist: Erstellen des "private key": openssl genrsa -des3 -out /etc/ssl/private/self-signed-certificate.key 4096 Certificate Signing Request (CSR) anlegen: openssl req -new -x509 -key ./self-signed-certificate.key -days 3650 -sha256 -out ./self-signed-certificate.csr CSR überprüfen: openssl req -noout -text -in ./self-signed-certificate.csr unable to load X509 request 140415681615504:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:703:Expecting: CERTIFICATE REQUEST erwarteter Text: Certificate Request: Data: Version: 0 (0x0) Subject: C=DE, ST=BAYERN, L=NBG, O=PRIVAT, Was ist das denn ?? Kann mein openssl keine CSR's anlegen ? Ich werde das hier im Büro unter RedHat nochmal testen... Gruss Werner -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 07.10.2016 um 08:51 schrieb Werner Franke <Werner.Franke@nokia.com>: Certificate Signing Request (CSR) anlegen: openssl req -new -x509 -key ./self-signed-certificate.key -days 3650 -sha256 -out ./self-signed-certificate.csr
CSR überprüfen: openssl req -noout -text -in ./self-signed-certificate.csr unable to load X509 request 140415681615504:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:703:Expecting: CERTIFICATE REQUEST
erwarteter Text: Certificate Request: Data: Version: 0 (0x0) Subject: C=DE, ST=BAYERN, L=NBG, O=PRIVAT,
Was ist das denn ?? Kann mein openssl keine CSR's anlegen ?
Was sagt denn ein "head -1 self-signed-certificate.csr"? Rainer
Am 07.10.2016 um 10:01 schrieb Rainer Sokoll:
Am 07.10.2016 um 08:51 schrieb Werner Franke <Werner.Franke@nokia.com>: Certificate Signing Request (CSR) anlegen: openssl req -new -x509 -key ./self-signed-certificate.key -days 3650 -sha256 -out ./self-signed-certificate.csr
CSR überprüfen: openssl req -noout -text -in ./self-signed-certificate.csr unable to load X509 request 140415681615504:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:703:Expecting: CERTIFICATE REQUEST
erwarteter Text: Certificate Request: Data: Version: 0 (0x0) Subject: C=DE, ST=BAYERN, L=NBG, O=PRIVAT,
Was ist das denn ?? Kann mein openssl keine CSR's anlegen ?
Was sagt denn ein "head -1 self-signed-certificate.csr"?
Hi Rainer, unter CentOS der gleiche Effekt. $ head -1 self-signed-certificate.csr -----BEGIN CERTIFICATE----- Gruss Werner -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 07.10.2016 um 10:10 schrieb Werner Franke <Werner.Franke@nokia.com>:
Was sagt denn ein "head -1 self-signed-certificate.csr"?
Hi Rainer,
unter CentOS der gleiche Effekt.
$ head -1 self-signed-certificate.csr -----BEGIN CERTIFICATE-----
Das ist kein csr, sondern ein Zertifikat. Ich hab' die Syntax für einen CSR nicht im Kopf und gerade keine Zeit, mußt Du selber suchen :-) Rainer
Am Fri, 7 Oct 2016 08:51:57 +0200 schrieb Werner Franke <Werner.Franke@nokia.com>:
Hi Ingo,
Am 06.10.2016 um 14:33 schrieb Ingo:
Am 06.10.2016 um 13:10 schrieb Werner Franke:
Hallo Ingo,
Am 05.10.2016 um 09:54 schrieb Ingo:
Am 05.10.2016 um 08:42 schrieb Werner Franke:
Hallo Ingo, alle,
Am 30.09.2016 um 11:39 schrieb Ingo:
Am 30.09.2016 um 10:14 schrieb Werner Franke:
[...]
[...]
Das ca brauchst du eigentlich nicht, so lange du mit selbstsignierten Zertifikaten rummachst. Du brauchst eigentlich nur den key und das crt (also 2 Schritte). Hast du denn beim Neustart mal ins Log geschaut? Erstelle den Key und das Zertfikat am besten noch einmal neu und achte (beim einbinden) darauf, dass die Pfade korrekt und lesbar sind. Die einzigen Probleme die ich bisher damit hatte, waren eben die Pfad (Tippfehler) und seltsame Windowssteuerzeichen im Zertifikat. Meist meckert der Apache schon rum, wenn etwas nicht stimmt. Läuft http ganz normal? Anleitungen findest du überall z. B. https://wiki.ubuntuusers.de/Apache/SSL/ Du kannst auch gerne mal das Errorlog posten und ein Blick ins message-Log werfen.
Ich hatte die Zertfikate auf verschiedenen Wegen erzeugt und im Error-Log war immer nur die eine Fehlermeldung, wenn ich die https URL aufgerufen hatte. AH00566: request failed: invalid characters in URI
Blöd ist halt, dass die fehlerhafte URI nicht gemeldet wird.
Ich habe nun gestern nach https://www.schirmacher.de/display/Linux/Apache+SSL+Zertifikat+erstellen ein neues Zertfikat erstellt und denke, dass mein Problem da begraben ist:
Erstellen des "private key": openssl genrsa -des3 -out /etc/ssl/private/self-signed-certificate.key 4096
Certificate Signing Request (CSR) anlegen: openssl req -new -x509 -key ./self-signed-certificate.key -days 3650 -sha256 -out ./self-signed-certificate.csr
CSR überprüfen: openssl req -noout -text -in ./self-signed-certificate.csr unable to load X509 request 140415681615504:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:703:Expecting: CERTIFICATE REQUEST
erwarteter Text: Certificate Request: Data: Version: 0 (0x0) Subject: C=DE, ST=BAYERN, L=NBG, O=PRIVAT,
Da fehlen das zu signierende Zertifikat, der Common Name und möglichweise noch weitere X .509 Anforderungen. Eine ausführliche Beschreibung zu Erstellung von X.509 Zertifikaten findest du u.a. hier: https://sys4.de/de/blog/2013/08/20/how-create-and-administer-x509-certificat... -Dieter -- Dieter Klünter | Systemberatung http://sys4.de GPG Key ID: E9ED159B 53°37'09,95"N 10°08'02,42"E -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Dieter, Am 07.10.2016 um 10:40 schrieb Dieter Klünter:
Am Fri, 7 Oct 2016 08:51:57 +0200 schrieb Werner Franke <Werner.Franke@nokia.com>:
Hi Ingo,
Am 06.10.2016 um 14:33 schrieb Ingo:
Am 06.10.2016 um 13:10 schrieb Werner Franke:
Hallo Ingo,
Am 05.10.2016 um 09:54 schrieb Ingo:
Am 05.10.2016 um 08:42 schrieb Werner Franke:
Hallo Ingo, alle,
Am 30.09.2016 um 11:39 schrieb Ingo: > Am 30.09.2016 um 10:14 schrieb Werner Franke:
[...]
[...]
[...]
Ich habe nun gestern nach https://www.schirmacher.de/display/Linux/Apache+SSL+Zertifikat+erstellen ein neues Zertfikat erstellt und denke, dass mein Problem da begraben ist:
Erstellen des "private key": openssl genrsa -des3 -out /etc/ssl/private/self-signed-certificate.key 4096
Certificate Signing Request (CSR) anlegen: openssl req -new -x509 -key ./self-signed-certificate.key -days 3650 -sha256 -out ./self-signed-certificate.csr
CSR überprüfen: openssl req -noout -text -in ./self-signed-certificate.csr unable to load X509 request 140415681615504:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:703:Expecting: CERTIFICATE REQUEST
erwarteter Text: Certificate Request: Data: Version: 0 (0x0) Subject: C=DE, ST=BAYERN, L=NBG, O=PRIVAT,
Da fehlen das zu signierende Zertifikat, der Common Name und möglichweise noch weitere X .509 Anforderungen. Eine ausführliche Beschreibung zu Erstellung von X.509 Zertifikaten findest du u.a. hier: https://sys4.de/de/blog/2013/08/20/how-create-and-administer-x509-certificat... Der erwartete Text oben ist nicht vollständig. Ich habe den CSR mit folgenden Werten, die abgefragt wurden, erzeugt:
openssl req -new -x509 -key ./self-signed-certificate.key -days 3650 \ -sha256 -out ./self-signed-certificate.csr Enter pass phrase for ./self-signed-certificate.key: : : : Country Name (2 letter code) [XX]:DE State or Province Name (full name) []:BAYERN Locality Name (eg, city) [Default City]:NBG Organization Name (eg, company) [Default Company Ltd]:PRIVAT Organizational Unit Name (eg, section) []: Common Name (eg, your name or your server's hostname) []:hpserver Email Address []:wfr1@mail.de Gruss Werner -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 07.10.16 um 10:44 schrieb Werner Franke:
Dieter,
[...]
Country Name (2 letter code) [XX]:DE State or Province Name (full name) []:BAYERN Locality Name (eg, city) [Default City]:NBG Organization Name (eg, company) [Default Company Ltd]:PRIVAT Organizational Unit Name (eg, section) []: Common Name (eg, your name or your server's hostname) []:hpserver
Als Common Name würde ich www.server.local oder server.local nehmen, manche Browser zicken bei "hpserver". Des weiteren muß der Name über den DNS für den Apache auflösbar sein. -- ae | Andreas Ernst | IT Spektrum Postfach 5, 65612 Beselich Schupbacher Str. 32, 65614 Beselich, Germany Tel: +49-6484-91002 Fax: +49-6484-91003 ae@ae-online.de | www.ae-online.de www.tachyon-online.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 07.10.2016 um 12:19 schrieb Andreas Ernst <ae@ae-online.de>:
Als Common Name würde ich www.server.local oder server.local nehmen, manche Browser zicken bei "hpserver".
Des weiteren muß der Name über den DNS für den Apache auflösbar sein.
Nein! Niemals nicht gar niemals .local ins DNS nehmen! .local wird von mDNS (Avahi, Zeroconf, Bonjour…) verwendet. https://tools.ietf.org/html/rfc6762 Rainer
Hallo Andreas, Am 07.10.2016 um 12:19 schrieb Andreas Ernst:
Am 07.10.16 um 10:44 schrieb Werner Franke:
Country Name (2 letter code) [XX]:DE State or Province Name (full name) []:BAYERN Locality Name (eg, city) [Default City]:NBG Organization Name (eg, company) [Default Company Ltd]:PRIVAT Organizational Unit Name (eg, section) []: Common Name (eg, your name or your server's hostname) []:hpserver
Als Common Name würde ich www.server.local oder server.local nehmen, manche Browser zicken bei "hpserver".
Des weiteren muß der Name über den DNS für den Apache auflösbar sein.
ich hätte da mal ne Frage... Das ganze soll eine OwnCloud werden, mit der ich mich dann zu Hause über WLAN vom Handy her verbinden will und statt in die Google Cloud auf die OwnCloud meine Daten sichern will. Beim Handy kann ich aber nicht www.server.local nehmen, sondern muss die IP Adresse 192.168.178.x verwenden (oder ??) Handy Rooten will ich nicht. Sind dann meine Bemühungen überhaupt sinnvoll, oder wird das so nicht funktionieren ? Hat das mit den Zertifikaten dann überhaupt Sinn ? Danke und Gruss Werner -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 07.10.16 um 12:29 schrieb Werner Franke:
Hallo Andreas,
Am 07.10.2016 um 12:19 schrieb Andreas Ernst:
Am 07.10.16 um 10:44 schrieb Werner Franke:
Country Name (2 letter code) [XX]:DE State or Province Name (full name) []:BAYERN Locality Name (eg, city) [Default City]:NBG Organization Name (eg, company) [Default Company Ltd]:PRIVAT Organizational Unit Name (eg, section) []: Common Name (eg, your name or your server's hostname) []:hpserver
Als Common Name würde ich www.server.local oder server.local nehmen, manche Browser zicken bei "hpserver".
Des weiteren muß der Name über den DNS für den Apache auflösbar sein.
ich hätte da mal ne Frage...
Das ganze soll eine OwnCloud werden, mit der ich mich dann zu Hause über WLAN vom Handy her verbinden will und statt in die Google Cloud auf die OwnCloud meine Daten sichern will.
Beim Handy kann ich aber nicht www.server.local nehmen, sondern muss die IP Adresse 192.168.178.x verwenden (oder ??)
Wie Rainer gerade schrieb, kein .local verwenden. Es ist hier egal was du als Suffix verwendest, es darf halt keine offizielle TLD etc sein. Nimm .loc, iirc hast du eine FritzBox dort mußt Du den DNS auf den Linux Server umstellen, zumindest den ersten. (Internet->Zugangsdaten->DNS Server). Es kann sein, dass es reicht unter /etc/resolv.conf diese Daten einzutragen. Dann kannst du über das WLAN darauf zurück greifen. -- ae | Andreas Ernst | IT Spektrum Postfach 5, 65612 Beselich Schupbacher Str. 32, 65614 Beselich, Germany Tel: +49-6484-91002 Fax: +49-6484-91003 ae@ae-online.de | www.ae-online.de www.tachyon-online.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Andreas, Am 07.10.2016 um 12:41 schrieb Andreas Ernst:
Am 07.10.16 um 12:29 schrieb Werner Franke:
Hallo Andreas,
[...]
ich hätte da mal ne Frage...
Das ganze soll eine OwnCloud werden, mit der ich mich dann zu Hause über WLAN vom Handy her verbinden will und statt in die Google Cloud auf die OwnCloud meine Daten sichern will.
Beim Handy kann ich aber nicht www.server.local nehmen, sondern muss die IP Adresse 192.168.178.x verwenden (oder ??)
Wie Rainer gerade schrieb, kein .local verwenden. Es ist hier egal was du als Suffix verwendest, es darf halt keine offizielle TLD etc sein.
Nimm .loc, iirc hast du eine FritzBox dort mußt Du den DNS auf den Linux Server umstellen, zumindest den ersten. (Internet->Zugangsdaten->DNS Server).
Es kann sein, dass es reicht unter /etc/resolv.conf diese Daten einzutragen. Dann kannst du über das WLAN darauf zurück greifen.
Ja, das mit dem '.local' habe ich schon verstanden und werde ich auch nicht verwenden. Aber ich wollte auf was anderes hinaus. Im Handy kann ich /etc/resolv.conf nicht verändern. Also werde ich die IP nehmen müssen. Und wenn ich in dem Zertifikat 'hpserver' (oder anderes) eintrage, sich das Handy aber über https://192.168.178.x/owncloud verbinden wird, bringt dann der Name 'hpserver' in dem Zertifikat überhaupt etwas ? Danke und Gruss Werner -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 07.10.16 um 13:11 schrieb Werner Franke: [...]
Ja, das mit dem '.local' habe ich schon verstanden und werde ich auch nicht verwenden. Aber ich wollte auf was anderes hinaus. Im Handy kann ich /etc/resolv.conf nicht verändern. Also werde ich die IP nehmen müssen.
Nicht im Handy, auf dem Server auf dem Owncloud läuft. Der CommonName muß über das Netzwerk auflösbar sein.
Und wenn ich in dem Zertifikat 'hpserver' (oder anderes) eintrage, sich das Handy aber über https://192.168.178.x/owncloud verbinden wird, bringt dann der Name 'hpserver' in dem Zertifikat überhaupt etwas ?
Es kann sein, dass das nicht klappt, da das Zertifikat nicht mit dem CommonName über einstimmt. -- ae | Andreas Ernst | IT Spektrum Postfach 5, 65612 Beselich Schupbacher Str. 32, 65614 Beselich, Germany Tel: +49-6484-91002 Fax: +49-6484-91003 ae@ae-online.de | www.ae-online.de www.tachyon-online.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Fri, 7 Oct 2016 13:11:23 +0200 schrieb Werner Franke <Werner.Franke@nokia.com>:
Andreas,
Am 07.10.2016 um 12:41 schrieb Andreas Ernst:
Am 07.10.16 um 12:29 schrieb Werner Franke:
Hallo Andreas,
[...]
ich hätte da mal ne Frage...
Das ganze soll eine OwnCloud werden, mit der ich mich dann zu Hause über WLAN vom Handy her verbinden will und statt in die Google Cloud auf die OwnCloud meine Daten sichern will.
Beim Handy kann ich aber nicht www.server.local nehmen, sondern muss die IP Adresse 192.168.178.x verwenden (oder ??)
Wie Rainer gerade schrieb, kein .local verwenden. Es ist hier egal was du als Suffix verwendest, es darf halt keine offizielle TLD etc sein.
Nimm .loc, iirc hast du eine FritzBox dort mußt Du den DNS auf den Linux Server umstellen, zumindest den ersten. (Internet->Zugangsdaten->DNS Server).
Es kann sein, dass es reicht unter /etc/resolv.conf diese Daten einzutragen. Dann kannst du über das WLAN darauf zurück greifen.
Ja, das mit dem '.local' habe ich schon verstanden und werde ich auch nicht verwenden. Aber ich wollte auf was anderes hinaus. Im Handy kann ich /etc/resolv.conf nicht verändern. Also werde ich die IP nehmen müssen.
Da bleibt dir nichts Anderes übrig, dazu kommt, dass du vermutlich täglich eine andere IP bekommst, es sei denn du hast einen Vertrag mit fester IP.
Und wenn ich in dem Zertifikat 'hpserver' (oder anderes) eintrage, sich das Handy aber über https://192.168.178.x/owncloud verbinden wird, bringt dann der Name 'hpserver' in dem Zertifikat überhaupt etwas ?
Das Problem wird sein, dass der Browser deines Mobilen Endgerätes nicht die CA hat um das Hostzertifikat zu überprüfen. Selbst habe ich dass noch nicht getestet, aber manche Browser fragen dann, ob das Zertifikat trotzdem als vertrauenswürdig akzeptiert werden soll, also einfach mal selbst testen. -Dieter -- Dieter Klünter | Systemberatung http://sys4.de GPG Key ID: E9ED159B 53°37'09,95"N 10°08'02,42"E -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo zusammen, Am Freitag, 7. Oktober 2016, 13:31:11 CEST schrieb Dieter Klünter:
Am Fri, 7 Oct 2016 13:11:23 +0200
schrieb Werner Franke <Werner.Franke@nokia.com>:
Andreas,
Am 07.10.2016 um 12:41 schrieb Andreas Ernst:
Am 07.10.16 um 12:29 schrieb Werner Franke:
Hallo Andreas,
[...]
ich hätte da mal ne Frage...
Das ganze soll eine OwnCloud werden, mit der ich mich dann zu Hause über WLAN vom Handy her verbinden will und statt in die Google Cloud auf die OwnCloud meine Daten sichern will.
Beim Handy kann ich aber nicht www.server.local nehmen, sondern muss die IP Adresse 192.168.178.x verwenden (oder ??)
Wie Rainer gerade schrieb, kein .local verwenden. Es ist hier egal was du als Suffix verwendest, es darf halt keine offizielle TLD etc sein.
Nimm .loc, iirc hast du eine FritzBox dort mußt Du den DNS auf den Linux Server umstellen, zumindest den ersten. (Internet->Zugangsdaten->DNS Server).
Es kann sein, dass es reicht unter /etc/resolv.conf diese Daten einzutragen. Dann kannst du über das WLAN darauf zurück greifen.
Ja, das mit dem '.local' habe ich schon verstanden und werde ich auch nicht verwenden. Aber ich wollte auf was anderes hinaus. Im Handy kann ich /etc/resolv.conf nicht verändern. Also werde ich die IP nehmen müssen.
Da bleibt dir nichts Anderes übrig, dazu kommt, dass du vermutlich täglich eine andere IP bekommst, es sei denn du hast einen Vertrag mit fester IP.
Da drängt sich doch ein dyndns-Anbieter wie "selfhost.de" auf. (Auf dem server dann sowas wie ddclient zum Aktualisieren der ip) Zumindest wenn das von aussen funktionieren soll. Im Haus kann man sich ja feste IPs zuordnen und im dns des Routers eintragen.
Und wenn ich in dem Zertifikat 'hpserver' (oder anderes) eintrage, sich das Handy aber über https://192.168.178.x/owncloud verbinden wird, bringt dann der Name 'hpserver' in dem Zertifikat überhaupt etwas ?
Das Problem wird sein, dass der Browser deines Mobilen Endgerätes nicht die CA hat um das Hostzertifikat zu überprüfen. Selbst habe ich dass noch nicht getestet, aber manche Browser fragen dann, ob das Zertifikat trotzdem als vertrauenswürdig akzeptiert werden soll, also einfach mal selbst testen.
Wie wäre es mit letsencrypt ?
-Dieter
Gruß Markus -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 07.10.2016 um 13:11 schrieb Werner Franke <Werner.Franke@nokia.com>:
Und wenn ich in dem Zertifikat 'hpserver' (oder anderes) eintrage, sich das Handy aber über https://192.168.178.x/owncloud verbinden wird, bringt dann der Name 'hpserver' in dem Zertifikat überhaupt etwas ?
Achtung: Geek-mode! Hast Du IPv6? ("curl icanhazip.com" sagt Dir das) Wenn ja: Statisch? (Du solltest mindestens ein fixes /64 haben zu Hause) Dann nur noch einen AAAA-Record für den Webserver ins DNS werfen und das ganze Amish networking vergessen. Das kommt bei den Mädels fast so gut an wie Gitarre spielen können ;-)) Rainer
Hallo Dieter, Am 07.10.2016 um 10:40 schrieb Dieter Klünter:
Am Fri, 7 Oct 2016 08:51:57 +0200 schrieb Werner Franke <Werner.Franke@nokia.com>:
Hi Ingo,
Am 06.10.2016 um 14:33 schrieb Ingo:
Am 06.10.2016 um 13:10 schrieb Werner Franke:
Hallo Ingo,
Am 05.10.2016 um 09:54 schrieb Ingo:
Am 05.10.2016 um 08:42 schrieb Werner Franke:
Hallo Ingo, alle,
Am 30.09.2016 um 11:39 schrieb Ingo: > Am 30.09.2016 um 10:14 schrieb Werner Franke:
[...]
[...]
Das ca brauchst du eigentlich nicht, so lange du mit selbstsignierten Zertifikaten rummachst. Du brauchst eigentlich nur den key und das crt (also 2 Schritte). Hast du denn beim Neustart mal ins Log geschaut? Erstelle den Key und das Zertfikat am besten noch einmal neu und achte (beim einbinden) darauf, dass die Pfade korrekt und lesbar sind. Die einzigen Probleme die ich bisher damit hatte, waren eben die Pfad (Tippfehler) und seltsame Windowssteuerzeichen im Zertifikat. Meist meckert der Apache schon rum, wenn etwas nicht stimmt. Läuft http ganz normal? Anleitungen findest du überall z. B. https://wiki.ubuntuusers.de/Apache/SSL/ Du kannst auch gerne mal das Errorlog posten und ein Blick ins message-Log werfen.
Ich hatte die Zertfikate auf verschiedenen Wegen erzeugt und im Error-Log war immer nur die eine Fehlermeldung, wenn ich die https URL aufgerufen hatte. AH00566: request failed: invalid characters in URI
Blöd ist halt, dass die fehlerhafte URI nicht gemeldet wird.
Ich habe nun gestern nach https://www.schirmacher.de/display/Linux/Apache+SSL+Zertifikat+erstellen ein neues Zertfikat erstellt und denke, dass mein Problem da begraben ist:
Erstellen des "private key": openssl genrsa -des3 -out /etc/ssl/private/self-signed-certificate.key 4096
Certificate Signing Request (CSR) anlegen: openssl req -new -x509 -key ./self-signed-certificate.key -days 3650 -sha256 -out ./self-signed-certificate.csr
CSR überprüfen: openssl req -noout -text -in ./self-signed-certificate.csr unable to load X509 request 140415681615504:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:703:Expecting: CERTIFICATE REQUEST
erwarteter Text: Certificate Request: Data: Version: 0 (0x0) Subject: C=DE, ST=BAYERN, L=NBG, O=PRIVAT,
Da fehlen das zu signierende Zertifikat, der Common Name und möglichweise noch weitere X .509 Anforderungen. Eine ausführliche Beschreibung zu Erstellung von X.509 Zertifikaten findest du u.a. hier: https://sys4.de/de/blog/2013/08/20/how-create-and-administer-x509-certificat...
Danke für Deinen Hinweis und die URL. Die Kommandos, die ich für die Erzeugung verwendet habe, waren wohl falsch. openssl genrsa -des3 -out self-signed-certificate.key 2048 openssl req -new -key self-signed-certificate.key -out self-signed-certificate.csr openssl req -noout -text -in self-signed-certificate.csr Certificate Request: Data: Version: 0 (0x0) Subject: C=DE, ST=BAYERN, L=NBG, O=PRIVAT, ... Damit kann ich dann jetzt zu Hause weitermachen... Gruss Werner -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
participants (7)
-
Admin Beckspaced -
Andreas Ernst -
Dieter Klünter -
Ingo -
Markus Dellermann -
Rainer Sokoll -
Werner Franke