ubuntuusers.de

Hallo Gemeinde,

nun habe ich Spasseshalber einen MAilserver (courier-mta und courier-pop) installiert. Dazu auch noch courier-webadmin. Lokal kann ich das erreichen, von aussen aus Sicherheitsgruenden nur per SSL. Weil ich das auch gut gefunden habe, habe ich versucht SSL zu aktivieren. Ich habe den Wiki-Artikel gelesen und saemtliche Schritte so befolgt, wie sie dort stehen, doch ich erhalte nun folgende Fehlermeldung, wenn ich mich per HTTPS mit der entsprechenden Seite verbinden moechte:

Sichere Verbindung fehlgeschlagen

Ein Fehler ist während einer Verbindung mit 200.200.200.201 aufgetreten. SSL hat einen Eintrag erhalten, der die maximal erlaubte Länge überschritten hat.

(Fehlercode: ssl_error_rx_record_too_long)

Die aufgerufene Seite kann nicht angezeigt werden, da die Echtheit der Daten nicht verifiziert werden konnte.

* Bitte kontaktieren Sie die Netzpräsenz-Betreiber, um sie über dieses Problem zu informieren.

Welcher Datensatz soll denn zu lang sein? Und vor allem: Wie kann ich dieses Problem nun umgehen?

Also das Problem besteht noch immer...

Zeig mal die zugehörige Konfiguration.

Folgende Vorgehensweise (Der Ordner /etc/apache2/ssl besteht bereits, da ich ja bereits vorhergehende Versuche gestartet hatte):

[user]@[server]:~$ sudo -s
root@[server]:~# openssl req -new -x509 -days 365 -nodes -out /etc/apache2/ssl/apache.pem -keyout /etc/apache2/ssl/apache.pem
Generating a 1024 bit RSA private key
.......++++++
.................++++++
writing new private key to '/etc/apache2/ssl/apache.pem'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:DE
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (eg, YOUR name) []:
Email Address []:
root@[server]:~# ln -sf /etc/apache2/ssl/apache.pem /etc/apache2/ssl/`/usr/bin/openssl x509 -noout -hash < /etc/apache2/ssl/apache.pem`.0
root@[server]:~# chmod 600 /etc/apache2/ssl/apache.pem
root@[server]:~# /etc/init.d/apache2 force-reload
 * Reloading web server config apache2                                          5328
                                                                         [ OK ]
root@[server]:~# exit
exit
[user]@[server]:~$ 

Inhalt von /etc/apache2/ssl:

[user]@[server]:/etc/apache2/ssl$ ls -l
insgesamt 4
lrwxrwxrwx 1 root root   27 2008-10-20 22:38 9f842176.0 -> /etc/apache2/ssl/apache.pem
-rw------- 1 root root 1880 2008-10-20 22:38 apache.pem
[user]@[server]:/etc/apache2/ssl$

Inhalt von /etc/apache2/sites-enabled/ssl:

NameVirtualHost [hostname]
<VirtualHost *>
	ServerAdmin webmaster@localhost
	ServerName [hostname]
	SSLEngine On
        SSLCertificateFile /etc/apache2/ssl/apache.pem
	DocumentRoot /var/www/
	<Directory />
		Options FollowSymLinks
		AllowOverride None
	</Directory>
	<Directory /var/www/>
		Options FollowSymLinks MultiViews
		AllowOverride All
		Order allow,deny
		allow from all
		# This directive allows us to have apache2's default start page
                # in /apache2-default/, but still have / go to the right place
                #RedirectMatch ^/$ /apache2-default/
	</Directory>

	ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
	<Directory "/usr/lib/cgi-bin">
		AllowOverride None
		Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
		Order allow,deny
		Allow from all
	</Directory>

	ErrorLog /var/log/apache2/error.log

	# Possible values include: debug, info, notice, warn, error, crit,
	# alert, emerg.
	LogLevel crit

	CustomLog /var/log/apache2/access.log combined
	ServerSignature On

    Alias /doc/ "/usr/share/doc/"
    <Directory "/usr/share/doc/">
        Options Indexes MultiViews FollowSymLinks
        AllowOverride None
        Order deny,allow
        Deny from all
        Allow from 127.0.0.0/255.0.0.0 ::1/128
    </Directory>

</VirtualHost>

Kannst du damit etwas anfangen?

Welche Ausgabe erhälst du mit

sudo apache2ctl -S

?

Für den Zugriff über SSL solltest du zudem besser einen eigenen VHost konfigurieren:

<VirtualHost <ipadresse>:443>
  ServerAdmin webmaster@localhost
  ServerName [hostname]
  SSLEngine On
  SSLCertificateFile /etc/apache2/ssl/apache.pem
  DocumentRoot /var/www/
</VirtualHost>

Finden sich zudem irgendwelche Angaben im Fehlerlog?

xabbuh schrieb:

Für den Zugriff über SSL solltest du zudem besser einen eigenen VHost konfigurieren:

<VirtualHost <ipadresse>:443>
  ServerAdmin webmaster@localhost
  ServerName [hostname]
  SSLEngine On
  SSLCertificateFile /etc/apache2/ssl/apache.pem
  DocumentRoot /var/www/
</VirtualHost>

Habe ich nun abgeaendert.

Welche Ausgabe erhälst du mit

sudo apache2ctl -S

?

[user]@[server]:/etc/apache2/sites-available$ sudo apache2ctl -S             VirtualHost configuration:
xx.xx.xx.xx:*        is a NameVirtualHost
         default server [servername] (/etc/apache2/sites-enabled/ssl:2)
         port 443 namevhost [servername] (/etc/apache2/sites-enabled/ssl:2)
wildcard NameVirtualHosts and _default_ servers:
*:*                    is a NameVirtualHost
         default server localhost (/etc/apache2/sites-enabled/000-default:2)
         port * namevhost localhost (/etc/apache2/sites-enabled/000-default:2)
         port * namevhost [servername] (/etc/apache2/sites-enabled/cdb:2)
Syntax OK
[user]@[server]:/etc/apache2/sites-available$

Finden sich zudem irgendwelche Angaben im Fehlerlog?

Werde ich nachher nochmal nachsehen. HAbe jetzt gerade keine Zeit.

Achja, seit ich /etc/apache2/sites-enabled/ssl umgeschrieben habe, erhalte ich zusaetzlich noch die Fehlermeldung als Popup (Firefox).

Zeig bitte mal den aktuellen Inhalt von /etc/apache2/sites-available/ssl.

[hostname] ist eine DynDNS-Adresse.

NameVirtualHost [hostname]
<VirtualHost [hostname]:443>
	ServerAdmin webmaster@localhost
	ServerName [hostname]
	SSLEngine On
        SSLCertificateFile /etc/apache2/ssl/apache.pem
	DocumentRoot /var/www/
	<Directory />
		Options FollowSymLinks
		AllowOverride None
	</Directory>
	<Directory /var/www/>
		Options FollowSymLinks MultiViews
		AllowOverride All
		Order allow,deny
		allow from all
		# This directive allows us to have apache2's default start page
                # in /apache2-default/, but still have / go to the right place
                #RedirectMatch ^/$ /apache2-default/
	</Directory>

	ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
	<Directory "/usr/lib/cgi-bin">
		AllowOverride None
		Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
		Order allow,deny
		Allow from all
	</Directory>

	ErrorLog /var/log/apache2/error.log

	# Possible values include: debug, info, notice, warn, error, crit,
	# alert, emerg.
	LogLevel crit

	CustomLog /var/log/apache2/access.log combined
	ServerSignature On

    Alias /doc/ "/usr/share/doc/"
    <Directory "/usr/share/doc/">
        Options Indexes MultiViews FollowSymLinks
        AllowOverride None
        Order deny,allow
        Deny from all
        Allow from 127.0.0.0/255.0.0.0 ::1/128
    </Directory>

</VirtualHost>

Was wird dir denn bei einem Connect mit openssl gezeigt?

openssl s_client -connect localhost:443 -state -debug

http://www.mozilla.org/projects/security/pki/nss/ref/ssl/sslerr.html#1040263 sagt zu deiner Firefoxmeldung:

SL_ERROR_RX_RECORD_TOO_LONG -12263 "SSL received a record that exceeded the maximum permissible length." This generally indicates that the remote peer system has a flawed implementation of SSL, and is violating the SSL specification.

Da wird für den Transfer eine unsichere Implementation von SSL verwendet.

Oder es ist dieses Problem: http://www.knaupes.net/firefox-fehlermeldung-ssl_error_rx_record_too_long-12263/

NameVirtualHost solltest du für SSL-Hosts entfernen. Rufst du die Seite von Außen oder in deinem internen Netz auf?

Auszug aus /var/log/apache2/error.log:

[Mon Oct 20 22:45:41 2008] [notice] Graceful restart requested, doing restart
[Mon Oct 20 22:45:41 2008] [notice] Apache/2.2.4 (Ubuntu) DAV/2 SVN/1.4.4 PHP/5.2.3-1ubuntu6.4 mod_ssl/2.2.4 OpenSSL/0.9.8e configured -- resuming normal operations
[Tue Oct 21 11:48:31 2008] [notice] Graceful restart requested, doing restart
[Tue Oct 21 11:48:32 2008] [notice] Apache/2.2.4 (Ubuntu) DAV/2 SVN/1.4.4 PHP/5.2.3-1ubuntu6.4 mod_ssl/2.2.4 OpenSSL/0.9.8e configured -- resuming normal operations
[Tue Oct 21 14:22:50 2008] [notice] Graceful restart requested, doing restart
[Tue Oct 21 14:22:50 2008] [notice] (10)No child processes: cannot send signal 10 to pid 11566 (non-child or already dead)
[Tue Oct 21 14:22:50 2008] [notice] (10)No child processes: cannot send signal 10 to pid 11567 (non-child or already dead)
[Tue Oct 21 14:22:50 2008] [notice] (10)No child processes: cannot send signal 10 to pid 11568 (non-child or already dead)

Die Anpassung von /etc/apache2/sites-available/ssl ergab leider keinen Erfolg:

<VirtualHost [hostname]:443>
	ServerAdmin webmaster@localhost
	ServerName [hostname]
	ServerAlias [hostname]
	SSLEngine On
        SSLCertificateFile /etc/apache2/ssl/apache.pem
	DocumentRoot /var/www/
	<Directory />
		Options FollowSymLinks
		AllowOverride None
	</Directory>
	<Directory /var/www/>
		Options FollowSymLinks MultiViews
		AllowOverride All
		Order allow,deny
		allow from all
		# This directive allows us to have apache2's default start page
                # in /apache2-default/, but still have / go to the right place
                #RedirectMatch ^/$ /apache2-default/
	</Directory>

	ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
	<Directory "/usr/lib/cgi-bin">
		AllowOverride None
		Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
		Order allow,deny
		Allow from all
	</Directory>

	ErrorLog /var/log/apache2/error.log

	# Possible values include: debug, info, notice, warn, error, crit,
	# alert, emerg.
	LogLevel crit

	CustomLog /var/log/apache2/access.log combined
	ServerSignature On

    Alias /doc/ "/usr/share/doc/"
    <Directory "/usr/share/doc/">
        Options Indexes MultiViews FollowSymLinks
        AllowOverride None
        Order deny,allow
        Deny from all
        Allow from 127.0.0.0/255.0.0.0 ::1/128
    </Directory>

</VirtualHost>

Gwen-Dragon schrieb:

Was wird dir denn bei einem Connect mit openssl gezeigt?

openssl s_client -connect localhost:443 -state -debug

http://www.mozilla.org/projects/security/pki/nss/ref/ssl/sslerr.html#1040263 sagt zu deiner Firefoxmeldung:

SL_ERROR_RX_RECORD_TOO_LONG -12263 "SSL received a record that exceeded the maximum permissible length." This generally indicates that the remote peer system has a flawed implementation of SSL, and is violating the SSL specification.

Da wird für den Transfer eine unsichere Implementation von SSL verwendet.

Und wie wuerde man dieses Problem nun beheben?

Oder es ist dieses Problem: http://www.knaupes.net/firefox-fehlermeldung-ssl_error_rx_record_too_long-12263/

Also ich habe mal die Beispielkonfiguration mit meiner verglichen. Mir sind diese Zeilen aufgefallen:

SSLCertificateFile /etc/apache2/ssl/meinZertifikat.crt
SSLCertificateKeyFile /etc/apache2/ssl/meinKey.key

Und bei mir steht nur:

SSLCertificateFile /etc/apache2/ssl/apache.pem

Abgesehen von den unterschiedlichen Endungen, was ist denn die Schluesseldatei (*.key)? Die habe ich bei mir nicht.

xabbuh schrieb:

NameVirtualHost solltest du für SSL-Hosts entfernen. Rufst du die Seite von Außen oder in deinem internen Netz auf?

Bringt leider keinen Erfolg. :/ Ich rufe die Seite von aussen auf. Portweiterleitung im Router ist aktiv. Daran liegt's also nicht.

Kann es sein, dass ich Apache2 richtig neustarten muss und force-reload nicht wirklich ausreicht? 🙄 Das werd' ich gleich nochmal probieren. Melde mich dann zurueck.

vigidr schrieb:

Also ich habe mal die Beispielkonfiguration mit meiner verglichen. Mir sind diese Zeilen aufgefallen:

SSLCertificateFile /etc/apache2/ssl/meinZertifikat.crt
SSLCertificateKeyFile /etc/apache2/ssl/meinKey.key

Und bei mir steht nur:

SSLCertificateFile /etc/apache2/ssl/apache.pem

Abgesehen von den unterschiedlichen Endungen, was ist denn die Schluesseldatei (*.key)? Die habe ich bei mir nicht.

Das ist unerheblich. In deiner Konfiguration befinden sich das Zertifikat und der private Schlüssel in der gleichen Datei.

xabbuh schrieb:

NameVirtualHost solltest du für SSL-Hosts entfernen. Rufst du die Seite von Außen oder in deinem internen Netz auf?

Bringt leider keinen Erfolg. :/ Ich rufe die Seite von aussen auf. Portweiterleitung im Router ist aktiv. Daran liegt's also nicht.

Funktioniert es denn, wenn du die Seite aus dem internen Netz aufrufst?

xabbuh schrieb:

Das ist unerheblich. In deiner Konfiguration befinden sich das Zertifikat und der private Schlüssel in der gleichen Datei.

Gut.

Funktioniert es denn, wenn du die Seite aus dem internen Netz aufrufst?

Nein, auch nicht. Gleiches Fehlverhalten.

Funktioniert es, wenn du temporär alle anderen virtuellen Hosts deaktivierst?