ubuntuusers.de

Werte Community, da Ihr mir schon seit Jahren mit euren Beiträgen helft, hoffe ich auch hier auf eure Hilfe ☺ Ich habe einen Server laufen mit Ubuntu 16.10 via SSH. Auf dem Server laufen bisher 4 Domains (2 Wordpress Insallationen, eine Private Mailverwaltung und eine Testseite) Alles läuft soweit auch prima und ich bin sehr zufrieden, nur das SSL hakt. Ich erhalte im Errorlog bei jedem Zugriff auf eine der Domains immer die Meldung:

48.691808 2017 [ssl:error] [pid 8501] [client 185.21.xxx.xxx:48526] AH02261: Re-negotiation handshake failed

Außerdem gibt es in allen möglichen browsern sporadisch einen Zertifikatfehler. Die Zertifikate sind 2 Monate alt und wurden bei DomainFactory erworben. Was ich schon versucht habe: SSL Zertifikate getauscht, Pfade geändert,Berechtigungen geändert.

Meine Config Datei in Apache:

#! <VirtualHost *:80>
ServerAdmin webmaster@sxxxxx.de
DocumentRoot /var/www/sxxxxx
ServerName www.sxxxxx.de
DirectoryIndex index.php
ErrorLog /var/log/apache2/sxxxxx-error.log
<Location />
RewriteEngine on
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R]
</Location>
</VirtualHost>
<VirtualHost *:443>
ServerAdmin webmaster@sxxxxx.de
DocumentRoot /var/www/sxxxxx
ServerName www.sxxxxx.de
ServerAlias sxxxxx.de *.sxxxxx.de
DirectoryIndex index.php
ErrorLog /var/log/apache2/sxxxxx-error.log
CustomLog /var/log/apache2/sxxxxx-access.log combined
SSLEngine On
SSLCertificateFile /etc/ssl/www.sxxxxx.de/www.sxxxxx.de.crt
SSLCertificateKeyFile /etc/ssl/www.sxxxxx.de/www.sxxxxx.de.key
SSLCertificateChainFile /etc/ssl/www.sxxxxx.de/Intermediate_CA_Bundle.crt
<Location />
SSLRequireSSL On
SSLVerifyClient optional
SSLVerifyDepth 1
SSLOptions +StdEnvVars +StrictRequire
</Location>
<Directory /var/www/sxxxxx>
Options Indexes FollowSymLinks
AllowOverride All
Require all granted
</Directory>

</VirtualHost>

Wie bekomme ich das in den Griff?

Danke für Hilfe ☺

Also erstmal würde ich deine Seite gegen Link laufen lassen. Dann hast du einen Neutralen Test/Auswertung für deinen Webserver/Domain. Zusätzlich kannst du dir auf Link eine brauchbare SSL Konfiguration erzeugen lassen, die alte Verfahren etc pp kickt.

Wegen dem Zertifikatsfehler: Da müsste man mehr davon wissen, also vor allem die genaue Meldung vom Browser.

mfg Stefan

So, danke für deine Rückmeldung, mit Hilfe von SSLLabs habe ich den Fehler gefunden und zwar nutze ich bisher mod_ssl. Aber laut vielen Usern unterstützt mod_ssl nicht mehrere SSL Zertifikate auf einem Server. Das ist eben auch mein Problem gewesen, da auf meinem Linux Server mittlerweile 6 Domains verwaltet werden. Mit dem Mod GnuTLS habe ich es aber erfolgreich umsetzen können. Die Einrichtung ist ansich genauso simpel wie mit mod_ssl. Man muss nur beachten, das GnuTLS keine SSL Chainfile unterstützt, das heißt man bekommt bei SSLLabs die Fehlermeldung Chain Issues. Um diesen Fehler auch noch zu beheben kopiert man den Inhalt der Root/CA.cert Datei einfac in die normale Cert Datei.

Vielleicht hilft es ja noch jemandem! ☺

Apache kann auch mit mod_ssl das SNI welches du benötigst 😉

Aber wenn eine andere SSL Implementierung dein Problem gelöst hat, dann ist das auch OK.

mfg Stefan