[HaBo]

**bitmuncher** · 24.09.07, 17:20

Ich versuche hier gerade einem Webserver SSL beizubringen, nur will der Kleine nicht so wie ich. Das SSL-Zertifikat (self-signed) habe ich so erstellt, wie ich es sonst auch immer mache. Dazu fuehre ich folgende Schritte aus:

RSA Private Key erstellen:

Code:

openssl genrsa -des3 -out server.key 1024

CSR erstellen:

Code:

openssl req -new -key server.key -out server.csr

Private Key fuer das CA-Zertifikat erstellen:

Code:

openssl genrsa -des3 -out ca.key 1024

Self-Signed CA-Zertifikat erstellen:

Code:

openssl req -new -x509 -days 365 -key ca.key -out ca.crt

Danach nutze ich das Signcert-Skript von Ralf Engelschall - http://www.corserv.com/freebsd/signcert - um das Server-Zertifikat zu signieren:

Code:

signcert server.csr

Die Dateien server.crt und server.key nutze ich dann im Webserver, bei dem das VirtualHost fuer SSL wie folgt aussieht:

Code:

SSLRandomSeed startup builtin
SSLRandomSeed connect builtin
Listen 443
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl    .crl
SSLPassPhraseDialog  builtin
SSLSessionCache         dbm:/var/log/apache2/ssl_scache
SSLSessionCacheTimeout  300
SSLMutex  file:/var/log/apache2/ssl_mutex
<VirtualHost *:443>
        DocumentRoot "/var/www"
        ServerName monitor1.meinedomain.tld:443
        ServerAdmin ich@meindomain.tld
        ErrorLog /var/log/apache2/error_log
        TransferLog /var/log/apache2/access_log
        SSLEngine on
        SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
        SSLCertificateFile /etc/apache2/ssl/server.crt
        SSLCertificateKeyFile /etc/apache2/ssl/server.key
        <Files ~ "\.(cgi|shtml|phtml|php3?)$">
            SSLOptions +StdEnvVars
        </Files>
        CustomLog /var/log/apache2/ssl_request_log \
                  "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
        SetEnvIf User-Agent ".*MSIE.*" \
                nokeepalive ssl-unclean-shutdown \
                downgrade-1.0 force-response-1.0
</VirtualHost>

Soweit funktioniert das auch problemlos bei allen anderen Servern, nur bei diesem einen eben nicht.

Opera wirft mir beim Aufbau einer HTTPS-Verbindung folgenden Fehler aus:

Zitat:

You tried to access the address https://monitor1.meinedomain.tld/, which is currently unavailable. Please make sure that the Web address (URL) is correctly spelled and punctuated, then try reloading the page.

Secure connection: fatal error (554)

The signatures of this certificate could not be verified. While this can be caused by the issuer using the wrong method to sign the certificate, it can also be caused by attempts to modify or fake the certificate.

Firefox sagt mir:

Zitat:

Could not establish an encrypted connection because certificate presented by monitor1.meinedomain.tld has an invalid signature.

Nun stellt sich mir natuerlich die Frage, was hier falsch laeuft, denn diesen Ablauf hab ich eigentlich schon dutzende Male gemacht, nur bei diesem Server geht es nicht. Normalerweise fragen die Browser einfach nach ob ich das Zertifikat trotzdem akzeptieren will und gut ist, nur hier laesst sich garkeine Verbindung aufbauen. Hab ich irgendwas uebersehen oder sonst einen groben Schnitzer drin?

**Elderan** · 24.09.07, 19:38

Hallo,
hmm, liegt dies evt. am Webserver?

Hast du mal ein funktionierendes SSL-Zertifikat verwendet von einem anderen Server? Wenn es dann klappt (mit entsprechenden Meldungen), weiß man immerhin, dass am Server nix kaputt ist.

PS:
Wobei man eigentlich deinen Script eigentlich gar nicht braucht, es reicht doch normalerweise:
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

um sein Zertifikat selber zu unterschreiben, oder nicht?

Anzeige

- Anzeige -

keksinat0r · 24.09.07, 20:11

Also ich erstelle meine Zertifikate auch immer so, und ich habe es eben nochmal durchgespielt -> klappt wunderbar...

Ich habe allerdings mit dem Apache 2.0.55 das Problem dass er SSL bei manchen VHosts aus unerklärlichen Grunden einfach nicht schluckt, und trotz https-Verbindung und entsprechenden Direktiven in der Config einfach im Plaintext überträgt...
Mit 2.2.3 hab bis jetzt keine Probleme...

Update eventuell mal deinen Apachen oder openssl.

MFG - Keks

PS: @Elderan: Ja

EDIT:

Ich erinnere mich wage daran, dass man für SSL NamedVhosts benötigt, und nicht <VirtualHost * : Port> schreiben darf, sondern ein expliziter Hostname / IP angegeben werden muss...
Versuch das mal

**bitmuncher** · 24.09.07, 21:11

Also mit dem Zertifikat, das keksinat0r mir gerade geschickt hatte, funktioniert es. Es scheint also am Zertifikat zu liegen. Seltsamerweise bringt aber auch ein komplettes neuerstellen des Certs keine Abhilfe.

Apache ist übrigens in Version 2.2.3-4+etch1 und SSL in Version 0.9.8c-4 installiert. Ich werde mir jetzt mal ein Zertifikat auf einem Server erstellen, auf dem es schon funktioniert hat und melde mich dann wieder.

Zu den NamedVirtualHosts: Das würde garnicht funktionieren 2 verschiedene Ports in den NamedVirtualHosts zu nutzen. Daher muß des SSL-Vhost immer über den NamedVirtualHosts stehen, damit es sauber läuft.

keksinat0r · 24.09.07, 21:23

Also meine Config läuft mit SSL und 2 verschiedenen Named V-Hosts -siehe https://keksinat0r.fumuga.com

config

MFG - Keks

**bitmuncher** · 24.09.07, 21:33

Ok, mit 2 NameVirtualHost-Direktiven hab ich es noch nicht probiert. Ich nutze (fast schon aus Gewohnheit) eher die Kombination

Code:

# Not-Named-VHost fuer SSL
<VirtualHost *:443>

</VirtualHost>

NameVirtualHost *:80

<VirtualHost *:80>
....
</VirtualHost>

Funktioniert auch ohne Probleme.

Edit: Also mit einem Zertifikat, das ich auf einem anderen Server erstelle (auch mit Etch und somit der gleichen SSL-Version) funktioniert es problemlos. Es bleibt also ein Rätsel warum ich auf diesem Server kein Zertifikat erstellen kann.

@Elderan: Das Skript sorgt dafür daß das CA-Zertifikat von mir genutzt wird und ich mir die Parameter nicht merken muß.

Anzeige

- Anzeige -

24.09.07, 21:11	#4 (permalink)
bitmuncher Moderator Themenstarter Registriert seit: 30.09.06 Likes: 443	Also mit dem Zertifikat, das keksinat0r mir gerade geschickt hatte, funktioniert es. Es scheint also am Zertifikat zu liegen. Seltsamerweise bringt aber auch ein komplettes neuerstellen des Certs keine Abhilfe. Apache ist übrigens in Version 2.2.3-4+etch1 und SSL in Version 0.9.8c-4 installiert. Ich werde mir jetzt mal ein Zertifikat auf einem Server erstellen, auf dem es schon funktioniert hat und melde mich dann wieder. Zu den NamedVirtualHosts: Das würde garnicht funktionieren 2 verschiedene Ports in den NamedVirtualHosts zu nutzen. Daher muß des SSL-Vhost immer über den NamedVirtualHosts stehen, damit es sauber läuft. __________________ Mein Blog - Mein Job - Diaspora Der Ring uns zu knechten besteht aus 12 Sternen auf blauem Grund. Neue Beiträge im Habo via Twitter - Das HaBo auf FB - Das HaBo bei G+

24.09.07, 21:33	#6 (permalink)
bitmuncher Moderator Themenstarter Registriert seit: 30.09.06 Likes: 443	Ok, mit 2 NameVirtualHost-Direktiven hab ich es noch nicht probiert. Ich nutze (fast schon aus Gewohnheit) eher die Kombination Code: # Not-Named-VHost fuer SSL <VirtualHost :443> </VirtualHost> NameVirtualHost :80 <VirtualHost *:80> .... </VirtualHost> Funktioniert auch ohne Probleme. Edit: Also mit einem Zertifikat, das ich auf einem anderen Server erstelle (auch mit Etch und somit der gleichen SSL-Version) funktioniert es problemlos. Es bleibt also ein Rätsel warum ich auf diesem Server kein Zertifikat erstellen kann. @Elderan: Das Skript sorgt dafür daß das CA-Zertifikat von mir genutzt wird und ich mir die Parameter nicht merken muß. __________________ Mein Blog - Mein Job - Diaspora Der Ring uns zu knechten besteht aus 12 Sternen auf blauem Grund. Neue Beiträge im Habo via Twitter - Das HaBo auf FB - Das HaBo bei G+

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
SSL Zertifikat - Static IP notwendig?	da_fighter	Cryptography & Encryption	3	16.06.09 15:38
Signatur	Valentin	Hackerboard.de-Feedback	2	23.03.07 16:09
Icons in der Signatur	sheep89	Hackerboard.de-Feedback	11	18.08.06 16:57
Signatur anzeigen	etnies92	Off topic-Zone	6	11.01.06 23:53
Digitale Signatur / Zertifikat	Firstday	(In)security allgemein	4	21.01.05 22:10

24.09.07, 19:38	#2 (permalink)
Elderan Moderator Registriert seit: 30.03.04 Likes: 14	Hallo, hmm, liegt dies evt. am Webserver? Hast du mal ein funktionierendes SSL-Zertifikat verwendet von einem anderen Server? Wenn es dann klappt (mit entsprechenden Meldungen), weiß man immerhin, dass am Server nix kaputt ist. PS: Wobei man eigentlich deinen Script eigentlich gar nicht braucht, es reicht doch normalerweise: openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt um sein Zertifikat selber zu unterschreiben, oder nicht?

24.09.07, 20:11	#3 (permalink)
keksinat0r Registriert seit: 06.01.07 Likes: 0	Also ich erstelle meine Zertifikate auch immer so, und ich habe es eben nochmal durchgespielt -> klappt wunderbar... Ich habe allerdings mit dem Apache 2.0.55 das Problem dass er SSL bei manchen VHosts aus unerklärlichen Grunden einfach nicht schluckt, und trotz https-Verbindung und entsprechenden Direktiven in der Config einfach im Plaintext überträgt... Mit 2.2.3 hab bis jetzt keine Probleme... Update eventuell mal deinen Apachen oder openssl. MFG - Keks PS: @Elderan: Ja EDIT: Ich erinnere mich wage daran, dass man für SSL NamedVhosts benötigt, und nicht <VirtualHost * : Port> schreiben darf, sondern ein expliziter Hostname / IP angegeben werden muss... Versuch das mal

[HaBo]

ungueltige Signatur fuer SSL-Zertifikat