You are viewing a plain text version of this content. The canonical link for it is here.
Posted to users-de@httpd.apache.org by ISP-Account ISP <is...@plansee.at> on 2002/10/08 16:51:18 UTC
Re:RE: Probleme mit dem von THWATE erhaltenen SSL-
Hallo Peter,
ich vermute, dass die httpd.conf Einstellungen richtig sind da ich nur mit dem erhaltenen Zert Probleme habe.
Wenn ich mir ein Testzert erstelle (Snake Oil ;-) dann habe ich keine Probleme den Apache mit SSL zu starten.
Nachfolgend aber noch die gesetzten Directiven aus der httpd.conf:
##
## SSL Global Context
##
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl .crl
SSLPassPhraseDialog builtin
SSLSessionCache dbm:/var/run/ssl_scache
SSLSessionCacheTimeout 300
SSLMutex file:/var/run/ssl_mutex
SSLRandomSeed startup builtin
SSLRandomSeed connect builtin
SSLLog /var/log/httpd/ssl_engine_log
SSLLogLevel info
##
## SSL Virtual Host Context
##
<VirtualHost _default_:443>
# General setup for the virtual host
DocumentRoot "/usr/local/httpd/htdocs"
ServerName www.xxx.com
ServerAdmin xxx@xxx
ErrorLog /var/log/httpd/error_log
TransferLog /var/log/httpd/access_log
SSLEngine on
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
SSLCertificateFile /etc/httpd/ssl.crt/server.crt
SSLCertificateKeyFile /etc/httpd/ssl.key/server.key
SetEnvIf User-Agent ".*MSIE.*" \
nokeepalive ssl-unclean-shutdown \
downgrade-1.0 force-response-1.0
CustomLog /var/log/httpd/ssl_request_log \
"%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
</VirtualHost>
Gruß
Martin
Ich verwende auch Thawte Zertifikate, bei mir läuft aber alles.
Wie sieht denn Deine httpd.conf für den SSL Bereich aus?
LG, Peter
>-----Original Message-----
>From: ISP-Account ISP [mailto:isp@plansee.at]
>Sent: Tuesday, October 08, 2002 12:44
PM
>To: users-de@httpd.apache.org
>Subject: Probleme mit dem von THWATE erhaltenen SSL-Zert
>
>
>Hi,
>
>ich habe Probleme bei der Implementierung des von THWATE erhaltenen Zert's.
>
>Ich habe auf meinem Apache ein RSA-Zert erstellt und das
>ent
standene "server.csr"-File an die CA gesendet.
>Nun habe ich mir das von der CA erstellte Zert heruntergeladen und
>unter der Bezeichnung "server.crt" in das Directory
>/etc/httpd/ssl.crt gespeichert.
>
>Wenn ich nun meinen Apache starten möchte wird
der Vorgang mit
>FAILD abgebrochen.
>
>Das Passwort für den Private-SSL-Key stimmt und die
>HTTPD_START_TIMEOUT ist hoch genug angesetzt.
>
>Im error_log des Apache erhalte ich folgene Fehlermeldungen:
>
>[Tue Oct 8 11:21:12 2002] [warn] pid fil
e /var/run/httpd.pid
>overwritten -- Unclean shutdown of previous Apache run?
>[Tue Oct 8 11:21:12 2002] [error] mod_ssl: Init:
>(www.plansee.com:443) Unable to configure RSA server private key
>(OpenSSL library error follows)
>[Tue Oct 8 11:21:12
2002] [error] OpenSSL: error:0B080074:lib(11):func
>(128):reason(116)
>
>
>Kann mir jemand einen Tip geben?
>
>Gruß
>Martin
>
>--------------------------------------------------------------------------
> Apache HTTP Server Mailing
List "users-de"
> unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
> sonstige Anfragen an users-de-help@httpd.apache.org
>--------------------------------------------------------------------------
>
>
---------------
-----------------------------------------------------------
Apache HTTP Server Mailing List "users-de"
unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------
RE: RE: Probleme mit dem von THWATE erhaltenen SSL-
Posted by Peter Stoehr <st...@gaynet.at>.
>-----Original Message-----
>From: ISP-Account ISP [mailto:isp@plansee.at]
>Sent: Tuesday, October 08, 2002 4:51 PM
>To: users-de@httpd.apache.org; Peter Stoehr
>Subject: Re:RE: Probleme mit dem von THWATE erhaltenen SSL-
>
>
>Hallo Peter,
Hi,
>
>ich vermute, dass die httpd.conf Einstellungen richtig sind da ich
>nur mit dem erhaltenen Zert Probleme habe.
>Wenn ich mir ein Testzert erstelle (Snake Oil ;-) dann habe ich
>keine Probleme den Apache mit SSL zu starten.
Thawte bietet ein kostenloses Testzertifikat für 30 Tage an. Das solltest Du
zuerst installiert haben um zu testen, ob es später mit dem _echten_ Zert
auch funzt.
>
>Nachfolgend aber noch die gesetzten Directiven aus der httpd.conf:
>
>##
>## SSL Global Context
>##
>AddType application/x-x509-ca-cert .crt
>AddType application/x-pkcs7-crl .crl
^^^^^^
Diese zwei Eintraege habe ich gar nicht drinnen
>
>
>SSLPassPhraseDialog builtin
>
>SSLSessionCache dbm:/var/run/ssl_scache
>SSLSessionCacheTimeout 300
>
>SSLMutex file:/var/run/ssl_mutex
sind die Permissions korrekt? Der Webserver muss auf ssl_mutex zugreifen
koennen. In meinem Fall ist es
-rw------- www-data root
>
>SSLRandomSeed startup builtin
>SSLRandomSeed connect builtin
>SSLLog /var/log/httpd/ssl_engine_log
>SSLLogLevel info
>
>
>
>##
>## SSL Virtual Host Context
>##
>
><VirtualHost _default_:443>
Warum verwendest Du _VirtualHost_ wenn Du auf die DocRoot des Main-Servers
verweist?
>
># General setup for the virtual host
>DocumentRoot "/usr/local/httpd/htdocs"
>ServerName www.xxx.com
>ServerAdmin xxx@xxx
>ErrorLog /var/log/httpd/error_log
>TransferLog /var/log/httpd/access_log
>
>SSLEngine on
>
>SSLCipherSuite
>ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
^^^^
steht bei mir ausserhalb von virt.Host
>
>SSLCertificateFile /etc/httpd/ssl.crt/server.crt
>
>SSLCertificateKeyFile /etc/httpd/ssl.key/server.key
>
>
>
>
>SetEnvIf User-Agent ".*MSIE.*" \
> nokeepalive ssl-unclean-shutdown \
> downgrade-1.0 force-response-1.0
>
>CustomLog /var/log/httpd/ssl_request_log \
> "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
>
></VirtualHost>
>
Schau Dir mal meine Einstellungen an, vielleicht hilft Dir das weiter
(Debian):
# intranet
<VirtualHost 192.168.x.x:80>
ServerName intranet
ServerAlias intranet intern
DocumentRoot /var/www/intranet/htdocs/
ScriptAlias /cgi-bin/ /var/www/intranet/cgi-bin/
TransferLog "|/usr/sbin/cronolog /var/www/intranet/logs/access_log.%Y%m%d"
LogFormat combined
ErrorLog "|/usr/sbin/cronolog /var/www/intranet/logs/error_log.%Y%m%d"
CustomLog "|/usr/sbin/cronolog /var/www/intranet/logs/mod_gzip.%Y%m%d"
common_with_mod_gzip_info2
</VirtualHost>
# SSL Config global
SSLPassPhraseDialog exec:/etc/apache/pass.sh
SSLSessionCache dbm:/var/tmp/ssl_scache
SSLSessionCacheTimeout 300
SSLMutex file:/var/tmp/ssl_mutext
SSLRandomSeed startup builtin
SSLRandomSeed connect builtin
SSLProtocol all -TLSv1
SSLCipherSuite
ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
# SSL intranet
<VirtualHost 192.168.x.x:443>
ServerName intranet
ServerAlias intranet intern
DocumentRoot /var/www/intranet/htdocs/
ScriptAlias /cgi-bin/ /var/www/intranet/cgi-bin/
TransferLog "|/usr/sbin/cronolog
/var/www/intranet/logs/ssl_access_log.%Y%m%d"
LogFormat combined
ErrorLog "|/usr/sbin/cronolog /var/www/intranet/logs/ssl_error_log.%Y%m%d"
CustomLog "|/usr/sbin/cronolog /var/www/intranet/logs/ssl_mod_gzip.%Y%m%d"
common_with_mod_gzip_info2
SSLEngine on
SSLCertificateFile "/etc/apache/intranet.crt"
SSLCertificateKeyFile "/etc/apache/intranet.key"
SetEnvIf User-Agent ".*MSIE.*" \
nokeepalive ssl-unclean-shutdown \
downgrade-1.0 force-response-1.0
</VirtualHost>
LG, Peter