ubuntuusers.de

Hallo liebe Ubuntuuser-Gemeinde,

ich benötige Hilfe bei der Einrichtung von SSL auf einem apache2 Webserver. Ich bin kurz davor zu verzweifeln, da ich es trotz hundertmaligem Anlauf einfach nicht hin bekomme.

Kurzer Überblick über mein Setting:

• habe Ubuntu Server 11.10 auf einem Rechner laufen, den ich über SSH verwalte (IP: 192.168.178.12)

• nun möchte ich auf diesen Webserver angepasste Facebook Apps laden, die auch über SSL abrufbar sind.

• bei StartSSL habe ich ein Class1 Zertifikat auf meine Domain (example.com über eine statische IP) erstellt

• apache2 ist zum normalen, ungesicherten Betrieb eingerichtet und läuft.

Die apache2.conf ist unverändert.

Meine ports.conf

NameVirtualHost *:80
Listen 80
Listen 443

Meine httpd.conf

ServerName MeinServer

Unter /etc/apache2/sites-enabled habe ich zwei Dateien, einmal ssl für den Port 443 und default für Port 80. Die default ist bist auf den Eintrag ServerAdmin unverändert. Die Datei ssl sieht nun folgendermaßen aus:

<IfModule mod_ssl.c>
NameVirtualHost *:443
<VirtualHost *:443>
...
...

und weiter unten

...
...
SSLCertificateFile      /home/user/ssl/ssl.crt/server.crt
SSLCertificateKeyFile   /home/user/ssl/ssl.key/server.key
SSLCACertificateFile    /home/user/ssl/ca.pem
SSLCertificateChainFile /home/user/ssl/sub.class1.server.ca.pem
...
...

sonst habe ich in ssl nichts verändert.

Wenn ich /etc/init.d/apache2 restart durchführe gibt es keine Fehlermeldungen und unter http://example.com wird die Standard-Apache Seite angezeigt. Mit https://example.com bekomme ich

Fehler 118 (net::ERR_CONNECTION_TIMED_OUT)

in Chrome.

Kann mir vielleicht jemand sagen was ich genau falsch mache?

Liebe Grüße

Don Django

Ist das SSL Modul des Apache geladen, hört der auch auf Port 443 (Prüfbar mit "netstat -tanup | grep 443"), kann der Apache die SSL Zertifikate lesen (normalerweise legt man die nicht in ein Userverzeichnis), was sagt das ErrorLog des Apaches?

Ich denke das ssl Modul ist geladen, denn wenn ich "a2enmod ssl" eingebe kommt Module ssl already enabled

Wenn ich "netstat -tanup | grep 443" abfrage bekomme ich folgenden output:

tcp        0      0 0.0.0.0:443             0.0.0.0:*               LISTEN      2528/apache2

Ich glaube da stimmt was nicht...

Wegen des Userverzeichnisses: ich hatte meine Zertifikate davor in /etc/apache2/ssl/ hab aber den apache wieder deinstalliert (purge) da ich wohl zu viel an den configs rumgefrickelt habe. Das Backup der Zertifikate lagen eben in meinem Userverzeichnis. Wenn es irgendwann klappen sollte, werde ich diese selbstverständlich in einen sichereren Ordner verschieben 😉

Was sagen die Logfiles? Sind die Zertifikate für den Apache aus lesbar?

was sagt eigentlich dein error.log? Ich vermute auch, das Apache die Zertifikate nicht lesen kann.

error.log sagt mir folgendes:

[Thu Dec 01 15:22:07 2011] [notice] Graceful restart requested, doing restart
[Thu Dec 01 15:22:07 2011] [warn] RSA server certificate CommonName (CN) `www.example.de' does NOT match server name!?
[Thu Dec 01 15:22:07 2011] [warn] RSA server certificate CommonName (CN) `www.example.de' does NOT match server name!?
[Thu Dec 01 15:22:07 2011] [warn] Init: Name-based SSL virtual hosts only work for clients with TLS server name indication support (RFC 4366)
[Thu Dec 01 15:22:07 2011] [notice] Apache/2.2.20 (Ubuntu) PHP/5.3.6-13ubuntu3.2 with Suhosin-Patch mod_ssl/2.2.20 OpenSSL/1.0.0e configured -- resuming normal operations

Desweiteren gibt "tail -f error.log" folgendes aus wenn ich versuche über https auf die Homepage zu kommen

[Thu Dec 01 17:37:45 2011] [error] [client 109.143.48.34] File does not exist: /var/www/favicon.ico

(IP Adresse wurde geändert...)

Hat irgendjemand eine Idee?