ubuntuusers.de

SSL-Konfiguration fehlerhaft

Status: Ungelöst | Ubuntu-Version: Ubuntu 14.04 (Trusty Tahr)
Antworten |

luggie

Anmeldungsdatum:
17. August 2015

Beiträge: 43

Hi habe eine Seite, die ohne SSL läuft. (Benutze Ubuntu 14.04 lte minimal und apache2.4 auf dem Server, Server gehostet von hetzner, SSL-Zertifikat über Thawte und Hetzner) Die Thwate SSL-Selbstcheck seite meldet mir, dass die SSL Installation nicht korrekt war. Folgende Einstellungen habe ich vorgenommen:

in der VirtualHost configfile zu meiner seite 1234.de

 <VirtualHost *:80>
        ServerAdmin 1234@5678.de
        ServerName 1234.de
        ServerAlias www.1234.de
        DocumentRoot /var/www/1234.de/public_html
        ErrorLog ${APACHE_LOG_DIR}/error.log
        CustomLog ${APACHE_LOG_DIR}/access.log combined
</VirtualHost>

<IfModule mod_ssl.c>
       <VirtualHost *:443>
               SSLEngine on
               SSLCertificateFile /var/www/1234.de/ssl/public.crt
               SSLCertificateKeyFile /var/www/1234.de/ssl/private.key
               SSLCertificateChainFile /var/www/1234.de/ssl/intermediate.crt
              
               ServerAdmin 1234@5678.de
               ServerName 1234.de

               DocumentRoot /var/www/1234.de/public_html
               ErrorLog /var/www/1234.de/
       </VirtualHost>
</IfModule>

Wenn ich nun den Teil in </IfModule> so wie hier aktiviere und apache neustarte, erscheint

Action 'start' failed. The Apache error log may have more information.

Dieser spuckt leider nichts dazu aus, genauso wie jeder andere Log, den ich finden kann.

meine ports.cong sieht folgendermaßen aus:

Listen 80
NameVirtualHost *:80
#<IfModule ssl_module>
#       Listen 443
#</IfModule>

<ifModule mod_ssl.c>
        NameVirtualHost *:443
        Listen 443
</IfModule>

#<IfModule mod_gnutls.c>
#       Listen 443
#</IfModule>

# vim: syntax=apache ts=4 sw=4 sts=4 sr noet

Ich habe ssl_module und mod_gnutls kommentieren müssen, das 443 sonst doppelt belegt wäre, meint der Errorlog.

Die drei ssl key bzw crt files gibt es, sind richtigen Inhalts und am richtigen Ort. ssl_mod ist installiert und läuft.

Danke schonmal luggie

misterunknown Team-Icon

Ehemalige
Avatar von misterunknown

Anmeldungsdatum:
28. Oktober 2009

Beiträge: 4403

Wohnort: Sachsen

luggie schrieb:

<VirtualHost *:80> ... ErrorLog ${APACHE_LOG_DIR}/error.log ... </VirtualHost>

<IfModule mod_ssl.c> <VirtualHost *:443> ... ErrorLog /var/www/1234.de/ </VirtualHost> </IfModule>

Im VirtualHost für SSL hast du als ErrorLog keine Datei, sondern ein Verzeichnis angegeben. Das ist IMHO ein Problem für den Apache.

Action 'start' failed. The Apache error log may have more information.

Dieser spuckt leider nichts dazu aus, genauso wie jeder andere Log, den ich finden kann.

Vermutlich steht im ErrorLog nichts, weil er gar nicht weiß, wohin er es schreiben soll 😉

luggie

(Themenstarter)

Anmeldungsdatum:
17. August 2015

Beiträge: 43

whups stimmt. habs verbessert und folgendes steht nun im Errorlog:

[ssl:emerg] [pid 18114] AH02238: Unable to configure RSA server private key [ssl:emerg] [pid 18114] SSL Library Error: error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch

luggie

(Themenstarter)

Anmeldungsdatum:
17. August 2015

Beiträge: 43

mit

openssl rsa -noout -modulus -in private.key | openssl md5
openssl x509 -noout -modulus -in public.crt | openssl md5

habe ich verschiedene Resulate. Heißt das, dass meine config (wahrscheinlich) stimmt und nur meine Keys schlicht die falschen sind?

Nochmal zur Sicherheit:

SSLCertificateFile ---> hier kommt der Schlüssel hinein, der mir von hetzner bzw thawte nach beendeter Bestellung gegeben wird.
SSLCertificateKeyFile ---> hier kommt die bei der Crs-Erzeugung miterzeugte private.key rein, der mit --- BEGIN RSA PRIVATE KEY--- beginnt.
SSLCertificateChainFile --> hier kommen die Zwischenzertifikate rein (zwei an der Zahl, nacheinander).

misterunknown Team-Icon

Ehemalige
Avatar von misterunknown

Anmeldungsdatum:
28. Oktober 2009

Beiträge: 4403

Wohnort: Sachsen

luggie schrieb:

mit

openssl rsa -noout -modulus -in private.key | openssl md5
openssl x509 -noout -modulus -in public.crt | openssl md5

habe ich verschiedene Resulate. Heißt das, dass meine config (wahrscheinlich) stimmt und nur meine Keys schlicht die falschen sind?

Korrekt, das würde ich vermuten.

Nochmal zur Sicherheit:

SSLCertificateFile ---> hier kommt der Schlüssel hinein, der mir von hetzner bzw thawte nach beendeter Bestellung gegeben wird.

Schlüssel ist das falsche Wort. Dort kommt das Zertifikat rein, welches von Thawte signiert wurde. Es beginnt mit "BEGIN CERTIFICATE" oder so.

SSLCertificateKeyFile ---> hier kommt die bei der Crs-Erzeugung miterzeugte private.key rein, der mit --- BEGIN RSA PRIVATE KEY--- beginnt.

Genau, dort kommt der private Schlüssel zum Zertifikat rein.

SSLCertificateChainFile --> hier kommen die Zwischenzertifikate rein (zwei an der Zahl, nacheinander).

Richtig, Zwischenzertifikate. Bitte beachte, dass Thawte uns in letzter Zeit fehlerhafte Links zu den Zwischenzertifikaten in den Mails geschickt hat (bei bestimmten Produkten). Du solltest also selbst nochmal auf die Seite gehen und die/das korrekte Zwischenzertifikat(e) laden.

Antworten |