You are viewing a plain text version of this content. The canonical link for it is here.
Posted to users-de@httpd.apache.org by ISP-Account ISP <is...@plansee.at> on 2002/10/08 12:44:22 UTC
Probleme mit dem von THWATE erhaltenen SSL-Zert
Hi,
ich habe Probleme bei der Implementierung des von THWATE erhaltenen Zert's.
Ich habe auf meinem Apache ein RSA-Zert erstellt und das entstandene "server.csr"-File an die CA gesendet.
Nun habe ich mir das von der CA erstellte Zert heruntergeladen und unter der Bezeichnung "server.crt" in das Directory /etc/httpd/ssl.crt gespeichert.
Wenn ich nun meinen Apache starten möchte wird der Vorgang mit FAILD abgebrochen.
Das Passwort für den Private-SSL-Key stimmt und die HTTPD_START_TIMEOUT ist hoch genug angesetzt.
Im error_log des Apache erhalte ich folgene Fehlermeldungen:
[Tue Oct 8 11:21:12 2002] [warn] pid file /var/run/httpd.pid overwritten -- Unclean shutdown of previous Apache run?
[Tue Oct 8 11:21:12 2002] [error] mod_ssl: Init: (www.plansee.com:443) Unable to configure RSA server private key (OpenSSL library error follows)
[Tue Oct 8 11:21:12 2002] [error] OpenSSL: error:0B080074:lib(11):func
(128):reason(116)
Kann mir jemand einen Tip geben?
Gruß
Martin
Re:Re: Probleme mit dem von THWATE erhaltenen SSL-
Posted by ISP-Account ISP <is...@plansee.at>.
Sorry
aber der ISP-Account ist für unsere Administrationstruppe ein Sammelaccount über den wir auf unsere Linux- und Viren-Mailinglisten zugreifen.
Wir haben uns einen gemeinsamen eingerichtet da es keinen Sinn macht, daß sich 6 Administratoren, die in der gleichen Abteilung arbeiten, die ganzen Listen seperat bestellen (Mailtrafic und unsere Datenbank).
Aber wir versehen wenigstens unsere Mails mit Namen.
Gruß
Martin
Hallo ISP,
nur so nebenbei: In dieser modernen Welt kann man kaum noch Vor- und
Nachname unterscheiden. "ISP-Account" ist wohl eher ein
zusammengesetzter Nachname, oder ?!
ISP-Account ISP wrote:
> Hi,
>
> ich habe Probleme bei der Implemen
tierung des von THWATE erhaltenen
> Zert's.
>
[...]
>
> Wenn ich nun meinen Apache starten möchte wird der Vorgang mit FAILD
> abgebrochen.
>
> Das Passwort für den Private-SSL-Key stimmt und die
> HTTPD_START_TIMEOUT ist hoch genug anges
etzt.
>
> Im error_log des Apache erhalte ich folgene Fehlermeldungen:
>
> [Tue Oct 8 11:21:12 2002] [warn] pid file /var/run/httpd.pid
> overwritten -- Unclean shutdown of previous Apache run? [Tue Oct 8
> 11:21:12 2002] [error] mod_ssl: In
it: (www.plansee.com:443) Unable to
> configure RSA server private key (OpenSSL library error follows) [Tue
> Oct 8 11:21:12 2002] [error] OpenSSL: error:0B080074:lib(11):func
> (128):reason(116)
Zum OpenSSL-Paket gehört auch die kaum erwähnte F
unktion "errstr". Diese
übersetzt vermutlich Fehlercodes in Textmitteilungen. Zumindest ergibt
der Aufruf mit dem von Dir angegebenen Fehlercode "0B080074":
$ openssl errstr 0B080074
error:0B080074:x509 certificate routines:X509_check_private_ke
y:key
values mismatch
Das könnte auf eine Differenz zwischen dem konfiguriertem Schlüssel
(SSLCertificateKeyFile) und dem durch "THWATE" (?) zertifizierten
Schlüssel (SSLCertificateFile) hinweisen. Um das auszuschliessen kannst
Du die MD5-Prüfs
umme des in Cert und Key enthaltenen Modulus vergleichen:
$ openssl x509 -noout -modulus -in server.crt 2>/dev/null | openssl md5
$ openssl rsa -noout -modulus -in server.key 2>/dev/null | openssl md5
Vielleicht hilft das weiter.
Gruss,
.max
P.S.:
X-Mailer: SAP R/3 Internet Mail Gateway 4.6D2beta14
^^^^ # ;)
--------------------------------------------------------------------------
Apache HTTP Server Mailing List "use
rs-de"
unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------
Re: Probleme mit dem von THWATE erhaltenen SSL-Zert
Posted by Max Dittrich <Ma...@t-online.de>.
Hallo ISP,
nur so nebenbei: In dieser modernen Welt kann man kaum noch Vor- und
Nachname unterscheiden. "ISP-Account" ist wohl eher ein
zusammengesetzter Nachname, oder ?!
ISP-Account ISP wrote:
> Hi,
>
> ich habe Probleme bei der Implementierung des von THWATE erhaltenen
> Zert's.
>
[...]
>
> Wenn ich nun meinen Apache starten möchte wird der Vorgang mit FAILD
> abgebrochen.
>
> Das Passwort für den Private-SSL-Key stimmt und die
> HTTPD_START_TIMEOUT ist hoch genug angesetzt.
>
> Im error_log des Apache erhalte ich folgene Fehlermeldungen:
>
> [Tue Oct 8 11:21:12 2002] [warn] pid file /var/run/httpd.pid
> overwritten -- Unclean shutdown of previous Apache run? [Tue Oct 8
> 11:21:12 2002] [error] mod_ssl: Init: (www.plansee.com:443) Unable to
> configure RSA server private key (OpenSSL library error follows) [Tue
> Oct 8 11:21:12 2002] [error] OpenSSL: error:0B080074:lib(11):func
> (128):reason(116)
Zum OpenSSL-Paket gehört auch die kaum erwähnte Funktion "errstr". Diese
übersetzt vermutlich Fehlercodes in Textmitteilungen. Zumindest ergibt
der Aufruf mit dem von Dir angegebenen Fehlercode "0B080074":
$ openssl errstr 0B080074
error:0B080074:x509 certificate routines:X509_check_private_key:key
values mismatch
Das könnte auf eine Differenz zwischen dem konfiguriertem Schlüssel
(SSLCertificateKeyFile) und dem durch "THWATE" (?) zertifizierten
Schlüssel (SSLCertificateFile) hinweisen. Um das auszuschliessen kannst
Du die MD5-Prüfsumme des in Cert und Key enthaltenen Modulus vergleichen:
$ openssl x509 -noout -modulus -in server.crt 2>/dev/null | openssl md5
$ openssl rsa -noout -modulus -in server.key 2>/dev/null | openssl md5
Vielleicht hilft das weiter.
Gruss,
.max
P.S.:
X-Mailer: SAP R/3 Internet Mail Gateway 4.6D2beta14
^^^^ # ;)
RE: RE: Probleme mit dem von THWATE erhaltenen SSL-
Posted by Peter Stoehr <st...@gaynet.at>.
>-----Original Message-----
>From: ISP-Account ISP [mailto:isp@plansee.at]
>Sent: Tuesday, October 08, 2002 4:51 PM
>To: users-de@httpd.apache.org; Peter Stoehr
>Subject: Re:RE: Probleme mit dem von THWATE erhaltenen SSL-
>
>
>Hallo Peter,
Hi,
>
>ich vermute, dass die httpd.conf Einstellungen richtig sind da ich
>nur mit dem erhaltenen Zert Probleme habe.
>Wenn ich mir ein Testzert erstelle (Snake Oil ;-) dann habe ich
>keine Probleme den Apache mit SSL zu starten.
Thawte bietet ein kostenloses Testzertifikat für 30 Tage an. Das solltest Du
zuerst installiert haben um zu testen, ob es später mit dem _echten_ Zert
auch funzt.
>
>Nachfolgend aber noch die gesetzten Directiven aus der httpd.conf:
>
>##
>## SSL Global Context
>##
>AddType application/x-x509-ca-cert .crt
>AddType application/x-pkcs7-crl .crl
^^^^^^
Diese zwei Eintraege habe ich gar nicht drinnen
>
>
>SSLPassPhraseDialog builtin
>
>SSLSessionCache dbm:/var/run/ssl_scache
>SSLSessionCacheTimeout 300
>
>SSLMutex file:/var/run/ssl_mutex
sind die Permissions korrekt? Der Webserver muss auf ssl_mutex zugreifen
koennen. In meinem Fall ist es
-rw------- www-data root
>
>SSLRandomSeed startup builtin
>SSLRandomSeed connect builtin
>SSLLog /var/log/httpd/ssl_engine_log
>SSLLogLevel info
>
>
>
>##
>## SSL Virtual Host Context
>##
>
><VirtualHost _default_:443>
Warum verwendest Du _VirtualHost_ wenn Du auf die DocRoot des Main-Servers
verweist?
>
># General setup for the virtual host
>DocumentRoot "/usr/local/httpd/htdocs"
>ServerName www.xxx.com
>ServerAdmin xxx@xxx
>ErrorLog /var/log/httpd/error_log
>TransferLog /var/log/httpd/access_log
>
>SSLEngine on
>
>SSLCipherSuite
>ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
^^^^
steht bei mir ausserhalb von virt.Host
>
>SSLCertificateFile /etc/httpd/ssl.crt/server.crt
>
>SSLCertificateKeyFile /etc/httpd/ssl.key/server.key
>
>
>
>
>SetEnvIf User-Agent ".*MSIE.*" \
> nokeepalive ssl-unclean-shutdown \
> downgrade-1.0 force-response-1.0
>
>CustomLog /var/log/httpd/ssl_request_log \
> "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
>
></VirtualHost>
>
Schau Dir mal meine Einstellungen an, vielleicht hilft Dir das weiter
(Debian):
# intranet
<VirtualHost 192.168.x.x:80>
ServerName intranet
ServerAlias intranet intern
DocumentRoot /var/www/intranet/htdocs/
ScriptAlias /cgi-bin/ /var/www/intranet/cgi-bin/
TransferLog "|/usr/sbin/cronolog /var/www/intranet/logs/access_log.%Y%m%d"
LogFormat combined
ErrorLog "|/usr/sbin/cronolog /var/www/intranet/logs/error_log.%Y%m%d"
CustomLog "|/usr/sbin/cronolog /var/www/intranet/logs/mod_gzip.%Y%m%d"
common_with_mod_gzip_info2
</VirtualHost>
# SSL Config global
SSLPassPhraseDialog exec:/etc/apache/pass.sh
SSLSessionCache dbm:/var/tmp/ssl_scache
SSLSessionCacheTimeout 300
SSLMutex file:/var/tmp/ssl_mutext
SSLRandomSeed startup builtin
SSLRandomSeed connect builtin
SSLProtocol all -TLSv1
SSLCipherSuite
ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
# SSL intranet
<VirtualHost 192.168.x.x:443>
ServerName intranet
ServerAlias intranet intern
DocumentRoot /var/www/intranet/htdocs/
ScriptAlias /cgi-bin/ /var/www/intranet/cgi-bin/
TransferLog "|/usr/sbin/cronolog
/var/www/intranet/logs/ssl_access_log.%Y%m%d"
LogFormat combined
ErrorLog "|/usr/sbin/cronolog /var/www/intranet/logs/ssl_error_log.%Y%m%d"
CustomLog "|/usr/sbin/cronolog /var/www/intranet/logs/ssl_mod_gzip.%Y%m%d"
common_with_mod_gzip_info2
SSLEngine on
SSLCertificateFile "/etc/apache/intranet.crt"
SSLCertificateKeyFile "/etc/apache/intranet.key"
SetEnvIf User-Agent ".*MSIE.*" \
nokeepalive ssl-unclean-shutdown \
downgrade-1.0 force-response-1.0
</VirtualHost>
LG, Peter
Re:RE: Probleme mit dem von THWATE erhaltenen SSL-
Posted by ISP-Account ISP <is...@plansee.at>.
Hallo Peter,
ich vermute, dass die httpd.conf Einstellungen richtig sind da ich nur mit dem erhaltenen Zert Probleme habe.
Wenn ich mir ein Testzert erstelle (Snake Oil ;-) dann habe ich keine Probleme den Apache mit SSL zu starten.
Nachfolgend aber noch die gesetzten Directiven aus der httpd.conf:
##
## SSL Global Context
##
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl .crl
SSLPassPhraseDialog builtin
SSLSessionCache dbm:/var/run/ssl_scache
SSLSessionCacheTimeout 300
SSLMutex file:/var/run/ssl_mutex
SSLRandomSeed startup builtin
SSLRandomSeed connect builtin
SSLLog /var/log/httpd/ssl_engine_log
SSLLogLevel info
##
## SSL Virtual Host Context
##
<VirtualHost _default_:443>
# General setup for the virtual host
DocumentRoot "/usr/local/httpd/htdocs"
ServerName www.xxx.com
ServerAdmin xxx@xxx
ErrorLog /var/log/httpd/error_log
TransferLog /var/log/httpd/access_log
SSLEngine on
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
SSLCertificateFile /etc/httpd/ssl.crt/server.crt
SSLCertificateKeyFile /etc/httpd/ssl.key/server.key
SetEnvIf User-Agent ".*MSIE.*" \
nokeepalive ssl-unclean-shutdown \
downgrade-1.0 force-response-1.0
CustomLog /var/log/httpd/ssl_request_log \
"%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
</VirtualHost>
Gruß
Martin
Ich verwende auch Thawte Zertifikate, bei mir läuft aber alles.
Wie sieht denn Deine httpd.conf für den SSL Bereich aus?
LG, Peter
>-----Original Message-----
>From: ISP-Account ISP [mailto:isp@plansee.at]
>Sent: Tuesday, October 08, 2002 12:44
PM
>To: users-de@httpd.apache.org
>Subject: Probleme mit dem von THWATE erhaltenen SSL-Zert
>
>
>Hi,
>
>ich habe Probleme bei der Implementierung des von THWATE erhaltenen Zert's.
>
>Ich habe auf meinem Apache ein RSA-Zert erstellt und das
>ent
standene "server.csr"-File an die CA gesendet.
>Nun habe ich mir das von der CA erstellte Zert heruntergeladen und
>unter der Bezeichnung "server.crt" in das Directory
>/etc/httpd/ssl.crt gespeichert.
>
>Wenn ich nun meinen Apache starten möchte wird
der Vorgang mit
>FAILD abgebrochen.
>
>Das Passwort für den Private-SSL-Key stimmt und die
>HTTPD_START_TIMEOUT ist hoch genug angesetzt.
>
>Im error_log des Apache erhalte ich folgene Fehlermeldungen:
>
>[Tue Oct 8 11:21:12 2002] [warn] pid fil
e /var/run/httpd.pid
>overwritten -- Unclean shutdown of previous Apache run?
>[Tue Oct 8 11:21:12 2002] [error] mod_ssl: Init:
>(www.plansee.com:443) Unable to configure RSA server private key
>(OpenSSL library error follows)
>[Tue Oct 8 11:21:12
2002] [error] OpenSSL: error:0B080074:lib(11):func
>(128):reason(116)
>
>
>Kann mir jemand einen Tip geben?
>
>Gruß
>Martin
>
>--------------------------------------------------------------------------
> Apache HTTP Server Mailing
List "users-de"
> unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
> sonstige Anfragen an users-de-help@httpd.apache.org
>--------------------------------------------------------------------------
>
>
---------------
-----------------------------------------------------------
Apache HTTP Server Mailing List "users-de"
unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------
RE: Probleme mit dem von THWATE erhaltenen SSL-Zert
Posted by Peter Stoehr <st...@gaynet.at>.
Ich verwende auch Thawte Zertifikate, bei mir läuft aber alles.
Wie sieht denn Deine httpd.conf für den SSL Bereich aus?
LG, Peter
>-----Original Message-----
>From: ISP-Account ISP [mailto:isp@plansee.at]
>Sent: Tuesday, October 08, 2002 12:44 PM
>To: users-de@httpd.apache.org
>Subject: Probleme mit dem von THWATE erhaltenen SSL-Zert
>
>
>Hi,
>
>ich habe Probleme bei der Implementierung des von THWATE erhaltenen Zert's.
>
>Ich habe auf meinem Apache ein RSA-Zert erstellt und das
>entstandene "server.csr"-File an die CA gesendet.
>Nun habe ich mir das von der CA erstellte Zert heruntergeladen und
>unter der Bezeichnung "server.crt" in das Directory
>/etc/httpd/ssl.crt gespeichert.
>
>Wenn ich nun meinen Apache starten möchte wird der Vorgang mit
>FAILD abgebrochen.
>
>Das Passwort für den Private-SSL-Key stimmt und die
>HTTPD_START_TIMEOUT ist hoch genug angesetzt.
>
>Im error_log des Apache erhalte ich folgene Fehlermeldungen:
>
>[Tue Oct 8 11:21:12 2002] [warn] pid file /var/run/httpd.pid
>overwritten -- Unclean shutdown of previous Apache run?
>[Tue Oct 8 11:21:12 2002] [error] mod_ssl: Init:
>(www.plansee.com:443) Unable to configure RSA server private key
>(OpenSSL library error follows)
>[Tue Oct 8 11:21:12 2002] [error] OpenSSL: error:0B080074:lib(11):func
>(128):reason(116)
>
>
>Kann mir jemand einen Tip geben?
>
>Gruß
>Martin
>
>--------------------------------------------------------------------------
> Apache HTTP Server Mailing List "users-de"
> unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
> sonstige Anfragen an users-de-help@httpd.apache.org
>--------------------------------------------------------------------------
>
>