You are viewing a plain text version of this content. The canonical link for it is here.
Posted to users-de@httpd.apache.org by Jochen Kaechelin <de...@freenet.de> on 2004/04/22 14:30:28 UTC
Probleme mit Zertifikat
Ich hab mir bei thawte eine Zertifikat erstellen lassen
und bekomme nun beim Start von apache-ssl auf Debian/sid
immer folgende Meldung:
[Thu Apr 22 14:28:53 2004] [crit] unable to set private key
[Thu Apr 22 14:28:53 2004] [crit] error:0B080074:x509 certificate
routines:func(128):reason(116)
[Thu Apr 22 14:28:53 2004] [error] ApacheSSLSetCertStuff failed
Kann mir jemand weiterhelfen?
--
Jochen Kaechelin
--------------------------------------------------------------------------
Apache HTTP Server Mailing List "users-de"
unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------
Re: SOLVED: Probleme mit Zertifikat
Posted by Jochen Kaechelin <de...@freenet.de>.
Also ganz kapieren tu ich es nicht,
aber wenn ich meinen Indianer mit
/etc/init.d/apache-ssl start starte
kalppts nicht, wenn ich jedoch
/usr/sbin/apache-sslctl start
aufrufe werde ich auch nach meinem
Passwort gefragt und das Teil startet
und die Website ist auch per https
zu erreichen.
--
Jochen Kaechelin
--------------------------------------------------------------------------
Apache HTTP Server Mailing List "users-de"
unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------
RE: Probleme mit Zertifikat
Posted by Peter Stoehr <st...@pinkmarketing.at>.
> -----Original Message-----
> From: Jochen Kaechelin [mailto:debianfreak@freenet.de]
> Sent: Thursday, April 22, 2004 3:48 PM
> To: users-de@httpd.apache.org
> Subject: Re: Probleme mit Zertifikat
>
>
> > In meinem Fall war es mod_ssl. Hast Du das Testzertifikat
> > installiert?
>
> Nein! Meinst du das von thawtw?
Jep, von Thawte. Du kannst mit dem selben Server-CSR Dir ein Testzert holen, welches 3 Wochen gilt. So kannst testen, ob alles bei Deinem Server funzt, und erst dann das Zertifikat kaufen.
http://www.thawte.com/ucgi/gothawte.cgi?a=w44700158187049000
Greets, Peter
--------------------------------------------------------------------------
Apache HTTP Server Mailing List "users-de"
unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------
Re: Probleme mit Zertifikat
Posted by Jochen Kaechelin <de...@freenet.de>.
> In meinem Fall war es mod_ssl. Hast Du das Testzertifikat
> installiert?
Nein! Meinst du das von thawtw?
--------------------------------------------------------------------------
Apache HTTP Server Mailing List "users-de"
unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------
RE: Probleme mit Zertifikat
Posted by Peter Stoehr <st...@pinkmarketing.at>.
> -----Original Message-----
> From: Jochen Kaechelin [mailto:debianfreak@freenet.de]
> Sent: Thursday, April 22, 2004 3:32 PM
> To: users-de@httpd.apache.org
> Subject: Re: Probleme mit Zertifikat
>
>
> > hmm, hab den apache 1.3.29.0.1-3 aus testing und
> > libapache-mod-ssl/stable (2.8.9-2.1) am laufen, zuvor die selbe
> > Config mit dem apache 1.3.26-0woody3.
>
> Ich hab den Indianer mit ssl fest eingebunden, als kein
> libapache-mod-ssl, dass musste ich bei thawte angeben,
> irendwie scheint es da unterschiede zu geben.
>
> Es gab die Auswahl Apache BEN... ODER mod_ssl!
In meinem Fall war es mod_ssl. Hast Du das Testzertifikat installiert?
--------------------------------------------------------------------------
Apache HTTP Server Mailing List "users-de"
unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------
Re: Probleme mit Zertifikat
Posted by Jochen Kaechelin <de...@freenet.de>.
> hmm, hab den apache 1.3.29.0.1-3 aus testing und
> libapache-mod-ssl/stable (2.8.9-2.1) am laufen, zuvor die selbe
> Config mit dem apache 1.3.26-0woody3.
Ich hab den Indianer mit ssl fest eingebunden, als kein
libapache-mod-ssl, dass musste ich bei thawte angeben,
irendwie scheint es da unterschiede zu geben.
Es gab die Auswahl Apache BEN... ODER mod_ssl!
--
Jochen
--------------------------------------------------------------------------
Apache HTTP Server Mailing List "users-de"
unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------
RE: Probleme mit Zertifikat
Posted by Peter Stoehr <st...@pinkmarketing.at>.
> -----Original Message-----
> From: Jochen Kaechelin [mailto:debianfreak@freenet.de]
> Sent: Thursday, April 22, 2004 3:20 PM
> To: users-de@httpd.apache.org
> Subject: Re: Probleme mit Zertifikat
>
>
> > SSLLogLevel debug
>
> Geht bei mir nicht, ich hab den 1.3.29er!
> Hat jemand das gleiche Teil unter Debian/sid
> laufen?
hmm, hab den apache 1.3.29.0.1-3 aus testing und libapache-mod-ssl/stable (2.8.9-2.1) am laufen, zuvor die selbe Config mit dem apache 1.3.26-0woody3.
Greets, Peter
--------------------------------------------------------------------------
Apache HTTP Server Mailing List "users-de"
unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------
Re: Probleme mit Zertifikat
Posted by Jochen Kaechelin <de...@freenet.de>.
> SSLLogLevel debug
Geht bei mir nicht, ich hab den 1.3.29er!
Hat jemand das gleiche Teil unter Debian/sid
laufen?
--
Jochen Kaechelin
--------------------------------------------------------------------------
Apache HTTP Server Mailing List "users-de"
unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------
Re: Probleme mit Zertifikat
Posted by Erik Abele <er...@codefaktor.de>.
On 24.04.2004, at 07:33, Jochen Kaechelin wrote:
> Am Donnerstag, 22. April 2004 14:50 schrieb Peter Stoehr:
>
>> SSLPassPhraseDialog exec:/etc/apache/pass.sh
>
> Kann es sein, dass dieser Parameter nur verwendet
> werden kann, wenn man mod_ssl einsetzt, jedoch
> nicht bei apache-ssl (ben)??
In der Tat gibt es dieses Feature bei Apache-SSL *nicht*, siehe dessen
Dokumentation unter http://www.apache-ssl.org/docs.html
> wenn ich dieses in eine VirtualHost reinpacke
> versteht mein Indianer das gar nicht.
Klar, s.o.
> kann man das mod_ssl auch noch "dazupacken" wenn
> man den apache mit hauseigenem ssl installiert
> hat?
Was soll das für einen Sinn machen? Apache-SSL ist eine Alternative zu
mod_ssl, Du solltest Dich schon für eins entscheiden. Siehe auch
http://www.apache-ssl.org/#mod_ssl
Cheers,
Erik
> --
> Jochen Kaechelin
RE: Probleme mit Zertifikat
Posted by Peter Stoehr <st...@pinkmarketing.at>.
> -----Original Message-----
> From: Jochen Kaechelin [mailto:debianfreak@freenet.de]
> Sent: Saturday, April 24, 2004 7:33 AM
> To: users-de@httpd.apache.org
> Subject: Re: Probleme mit Zertifikat
>
>
> Am Donnerstag, 22. April 2004 14:50 schrieb Peter Stoehr:
>
> > SSLPassPhraseDialog exec:/etc/apache/pass.sh
[..]
> wenn ich dieses in eine VirtualHost reinpacke
> versteht mein Indianer das gar nicht.
Ist bei mir _global_ eingestellt, also nicht in einem VirtualHost-Container.
> kann man das mod_ssl auch noch "dazupacken" wenn
> man den apache mit hauseigenem ssl installiert
> hat?
Habe mit ApacheSSL leider keine Erfahrung, aber wie Erik schon sagte, entscheide Dich fuer ein System (ApacheSSL oder Apache + mod_ssl)
Greets, Peter
--------------------------------------------------------------------------
Apache HTTP Server Mailing List "users-de"
unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------
Re: Probleme mit Zertifikat
Posted by Jochen Kaechelin <de...@freenet.de>.
Am Donnerstag, 22. April 2004 14:50 schrieb Peter Stoehr:
> SSLPassPhraseDialog exec:/etc/apache/pass.sh
Kann es sein, dass dieser Parameter nur verwendet
werden kann, wenn man mod_ssl einsetzt, jedoch
nicht bei apache-ssl (ben)??
wenn ich dieses in eine VirtualHost reinpacke
versteht mein Indianer das gar nicht.
kann man das mod_ssl auch noch "dazupacken" wenn
man den apache mit hauseigenem ssl installiert
hat?
--
Jochen Kaechelin
--------------------------------------------------------------------------
Apache HTTP Server Mailing List "users-de"
unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------
RE: Probleme mit Zertifikat
Posted by Peter Stoehr <st...@pinkmarketing.at>.
> -----Original Message-----
> From: Jochen Kaechelin [mailto:debianfreak@freenet.de]
> Sent: Thursday, April 22, 2004 2:40 PM
> To: users-de@httpd.apache.org
> Subject: Re: Probleme mit Zertifikat
>
>
> > hast Du eventuell eine Passphrase im Cert?
>
> Ja, aber ich werde nicht aufgefordert es
> anzugeben!
bei mir hab ichs so in der httpd.conf:
# SSL Config global
SSLLog /var/log/apache/ssl_engine_log
SSLLogLevel debug
SSLPassPhraseDialog exec:/etc/apache/pass.sh
SSLSessionCache dbm:/var/tmp/ssl_scache
SSLSessionCacheTimeout 300
SSLMutex file:/var/tmp/ssl_mutext
SSLRandomSeed startup builtin
SSLRandomSeed connect builtin
SSLProtocol all
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
SSLVerifyClient 0
<VirtualHost 192.168.1.70:443>
ServerName intranet
DocumentRoot /var/www/intranet/htdocs/
ScriptAlias /cgi-bin/ /var/www/intranet/cgi-bin/
TransferLog "|/usr/sbin/cronolog /var/www/intranet/logs/ssl_access_log.%Y%m%d"
LogFormat combined
ErrorLog "|/usr/sbin/cronolog /var/www/intranet/logs/ssl_error_log.%Y%m%d"
#CustomLog "|/usr/sbin/cronolog /var/www/intranet/logs/ssl_mod_gzip.%Y%m%d" common_with_mod_gzip_info2
SSLEngine on
SSLCertificateFile "/etc/apache/intranet.crt"
SSLCertificateKeyFile "/etc/apache/intranet.key"
SetEnvIf User-Agent ".*MSIE.*" \
nokeepalive ssl-unclean-shutdown \
downgrade-1.0 force-response-1.0
CustomLog /var/www/intranet/logs/ssl_request_log \
"%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
</VirtualHost>
<snip>
in die /etc/apache/pass.sh (chmod 700, UID/GID: root/root) schreibst Deine PassPharse rein, damit bei einem Restart Du nicht immer das Passwort eintippen mußt (praktisch wenn die Kiste nicht im Haus steht).
/etc/apache/pass.sh
#!/bin/sh
echo "abcdefgh" <-- durch Deine PassPhrase ersetzen
<snap>
In diesem Beispiel liegt intranet.key und intranet.crt in /etc/apache
Greets, Peter
--------------------------------------------------------------------------
Apache HTTP Server Mailing List "users-de"
unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------
Re: Probleme mit Zertifikat
Posted by Jochen Kaechelin <de...@freenet.de>.
> hast Du eventuell eine Passphrase im Cert?
Ja, aber ich werde nicht aufgefordert es
anzugeben!
also das
SSLCertificateFile ist die .crt - Datei, oder?
SSLertificateKeyFile ist die .key - Datei, oder?
Was passiert mit der privkey.pem?
--
Jochen
--------------------------------------------------------------------------
Apache HTTP Server Mailing List "users-de"
unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------
RE: Probleme mit Zertifikat
Posted by Peter Stoehr <st...@pinkmarketing.at>.
> -----Original Message-----
> From: Emilio Paolini [mailto:ep@im-netz.de]
> Sent: Thursday, April 22, 2004 2:34 PM
> To: users-de@httpd.apache.org; stp@pinkmarketing.at
> Cc: debianfreak@freenet.de
> Subject: RE: Probleme mit Zertifikat
>
>
> On Thu, 22 Apr 2004, Peter Stoehr wrote:
> > [..]
> > > Kann mir jemand weiterhelfen?
> >
> > hast Du eventuell eine Passphrase im Cert?
>
> Dann würde er eigentlich beim Starten danach fragen ...
Mein Apache aus Debian/testing nicht...
lg, Peter
--------------------------------------------------------------------------
Apache HTTP Server Mailing List "users-de"
unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------
RE: Probleme mit Zertifikat
Posted by Emilio Paolini <ep...@im-netz.de>.
On Thu, 22 Apr 2004, Peter Stoehr wrote:
> [..]
> > Kann mir jemand weiterhelfen?
>
> hast Du eventuell eine Passphrase im Cert?
Dann würde er eigentlich beim Starten danach fragen ...
Emu
--
| Emilio Paolini <ep...@IM-NETZ.de>......................... 10553 Berlin
| IM-NETZ GROUP, Berlin......................... http://www.IM-NETZ.de
| Telekom .................... ++49 30 3900 1600 (Q) und 0177 451 2000
--------------------------------------------------------------------------
Apache HTTP Server Mailing List "users-de"
unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------
RE: Probleme mit Zertifikat
Posted by Peter Stoehr <st...@pinkmarketing.at>.
> -----Original Message-----
> From: Jochen Kaechelin [mailto:debianfreak@freenet.de]
> Sent: Thursday, April 22, 2004 2:30 PM
> To: users-de@httpd.apache.org
> Subject: Probleme mit Zertifikat
>
Hi Jochen,
[..]
> Kann mir jemand weiterhelfen?
hast Du eventuell eine Passphrase im Cert?
Greets, Peter
--------------------------------------------------------------------------
Apache HTTP Server Mailing List "users-de"
unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------