ubuntuusers.de

Wildcard SSL-Zertifikat und die Config im Apache

Status: Ungelöst | Ubuntu-Version: Server 6.06 (Dapper Drake)
Antworten |

Daimonion

Avatar von Daimonion

Anmeldungsdatum:
21. November 2005

Beiträge: 387

Wohnort: Vöhrenbach

Hallo Leute

Ich hab hier ein Server mit Dapper Drake und darauf läuft ein Apache Server der unser Intranet versorgt. Ich hab mir ein Root-CA und ein SSL-Zertifikat für diesen Rechner erstellt, damit die Verbindung mittels SSL verschlüsselt wird. Nun, um nicht jedem der darauf zugreift, das ROOT-CA installieren zu müssen, hab ich mich mit dem RZ meiner Hochschule, wo der Server steht, in Verbindung gesetzt und mir die Files für das hochschulweite Wildcard SSL-Zertifikat gegeben. Installiert ist es schnell im Apache, jedoch sobald dieses Zertifikat läuft motzen die Browser mit der Fehlermeldung, dass der Servername nicht zum Zertifikatsnamen passt.

Meine Frage an euch ist, ob und wenn ja, was ich beachten muß, wenn ich das Wildcardzertifikat einsetze. Ich vermute eine fehlerhafte Konfiguration im Apache. Kann auch noch das Konfigfile online stellen, wenn ihr es braucht.

Kennt jemand das Problem?

Danke für eure Hilfe.

Grüße Daimonion

uname

Anmeldungsdatum:
28. März 2007

Beiträge: 6030

Wohnort: 127.0.0.1

jedoch sobald dieses Zertifikat läuft motzen die Browser mit der Fehlermeldung, dass der Servername nicht zum Zertifikatsnamen passt.

Bei der Erstellung eines Zertifikates gibt man den sogenannten CommonName (CN) an. Dieser muss mit dem Zielrechner (Webserver) übereinstimmen. Ich denke bei Wildcard-Zertifikaten (die ich nicht kenne) müssen zumindestens die Domains oder Unterdomains übereinstimmen, was hier wohl nicht der Fall ist.

Poste evtl. mal die Rechnernamen und die Zertifikatsinformationen, kannst sie ja evtl. verfremden.

Daimonion

(Themenstarter)
Avatar von Daimonion

Anmeldungsdatum:
21. November 2005

Beiträge: 387

Wohnort: Vöhrenbach

Hi, Danke für deine Antwort

Also der Rechnername ist unter "intranet.cee.hs-furtwangen.de" zu erreichen.

Das Zertifikat ist auf *.hs-furtwangen.de ausgestellt und wird auch von diversen Systemen wie Webmail und Felix2 bei uns im Hause eingesetzt.

Ich poste nochmal einen Ausschnitt aus dem VirtualHosts Teil meiner Konfig

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
VirtualHost *:80
<VirtualHost *:80>
RewriteEngine on
        RewriteLog "/var/log/apache2/rewrite.log"
        RewriteLogLevel 3
        RewriteCond %{SERVER_PORT}  ^80$
        RewriteRule ^.*$ https://%{SERVER_NAME}%{REQUEST_URI} [QSA]
</VirtualHost>
NameVirtualHost intranet.cee.hs-furtwangen.de:443
<VirtualHost intranet.cee.hs-furtwangen.de:443>
        ServerName intranet.cee.hs-furtwangen.de
        ServerAdmin *****@hs-furtwangen.de

        SSLEngine on
#       SSLCertificateFile      /Pfad_zum_CRT_File.crt
#       SSLCertificateKeyFile   /Pfad_zum_Key_File.key
#       SSLCACertificateFile    /Pfad zum Root_CA_File.root.crt
.....

Hoffe das reicht mal.

Wenn ihr noch irgendwelche Ideen habt, oder noch mehr Infos braucht, dann einfach schnell schreiben.

Danke und Grüße Daimonion

PS.: Peinlich peinlich, aber mit welchem Befehl kann ich denn die bestehenden Zertifikatsinfos aus einem File rausholen?

uname

Anmeldungsdatum:
28. März 2007

Beiträge: 6030

Wohnort: 127.0.0.1

PS.: Peinlich peinlich, aber mit welchem Befehl kann ich denn die bestehenden Zertifikatsinfos aus einem File rausholen?

http://www.openssl.org/docs/

http://www.openssl.org/docs/apps/openssl.html

http://www.openssl.org/docs/apps/x509.html#

und dann ein paar Beispiele für diese Syntax ("openssl x509 ...")

https://www.magenbrot.net/wiki/linux/kryptographie/openssl-zertifikate

Daimonion

(Themenstarter)
Avatar von Daimonion

Anmeldungsdatum:
21. November 2005

Beiträge: 387

Wohnort: Vöhrenbach

Danke Uname für die Links!

Zum Thema:

Also im CN des Zertifikates steht auch das, was ich erwartet hatte:

CN=*.hs-furtwangen.de

Grüße Daimonion

Daimonion

(Themenstarter)
Avatar von Daimonion

Anmeldungsdatum:
21. November 2005

Beiträge: 387

Wohnort: Vöhrenbach

So, ich hab mal das Zertifikat laufen. Wer möchte kann mal unter http://intranet.cee.hs-furtwangen.de/ schauen.

Momentaner Fehler im Opera.

"Der Name des Servers entspricht nicht dem des Zertifikats."

Hoffe jemand von euch kann mir einen Tipp geben.

Daimonion

(Themenstarter)
Avatar von Daimonion

Anmeldungsdatum:
21. November 2005

Beiträge: 387

Wohnort: Vöhrenbach

Keiner ne Idee?

Daimonion

(Themenstarter)
Avatar von Daimonion

Anmeldungsdatum:
21. November 2005

Beiträge: 387

Wohnort: Vöhrenbach

So Problem gelöst:

Fehler war nicht die Config im Apache, sondern ein Punkt in der Subdomain. Das wollen die Wildcardzertifikate nicht.

Antworten |