ubuntuusers.de

Apache2/SSL - Meldung: ssl_error_rx_record_too_long

Status: Gelöst | Ubuntu-Version: Xubuntu 7.10 (Gutsy Gibbon)
Antworten |

vigidr

(Themenstarter)
Avatar von vigidr

Anmeldungsdatum:
22. Januar 2008

Beiträge: 198

Leider alles ohne Erfolg. Fehler bleibt.

Gwen-Dragon

Anmeldungsdatum:
4. August 2008

Beiträge: 189

Und was sagt ein Connect über openssl?

vigidr

(Themenstarter)
Avatar von vigidr

Anmeldungsdatum:
22. Januar 2008

Beiträge: 198

Gwen-Dragon schrieb:

Und was sagt ein Connect über openssl?

Entschuldige, hab ich ganz vergessen:

[user]@[server]:~$ openssl s_client -connect localhost:443 -state -debug
CONNECTED(00000003)
SSL_connect:before/connect initialization
write to 0x80c10f8 [0x80c2070] (118 bytes => 118 (0x76))
0000 - 80 74 01 03 01 00 4b 00-00 00 20 00 00 39 00 00   .t....K... ..9..
0010 - 38 00 00 35 00 00 16 00-00 13 00 00 0a 07 00 c0   8..5............
0020 - 00 00 33 00 00 32 00 00-2f 03 00 80 00 00 05 00   ..3..2../.......
0030 - 00 04 01 00 80 00 00 15-00 00 12 00 00 09 06 00   ................
0040 - 40 00 00 14 00 00 11 00-00 08 00 00 06 04 00 80   @...............
0050 - 00 00 03 02 00 80 a8 7f-d6 3f f0 cf 89 2a 2e 8b   .........?...*..
0060 - 8a 95 79 1b f7 e3 8a 38-3b 08 78 ad b3 81 b3 00   ..y....8;.x.....
0070 - b5 f6 e3 2b 5c 29                                 ...+\)
SSL_connect:SSLv2/v3 write client hello A
read from 0x80c10f8 [0x80c75d0] (7 bytes => 7 (0x7))
0000 - 3c 21 44 4f 43 54 59                              <!DOCTY
SSL_connect:error in SSLv2/v3 read server hello A
19443:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:567:
[user]@[server]:~$

vigidr

(Themenstarter)
Avatar von vigidr

Anmeldungsdatum:
22. Januar 2008

Beiträge: 198

Mit Opera erhalte ich uebrigens:

Die von Ihnen aufgerufene Adresse, https://[hostname]/, ist zurzeit nicht erreichbar. Bitte überprüfen Sie die korrekte Schreibweise der Webadresse (URL) und versuchen Sie dann die Seite neu zu laden.

Sichere Verbindung: Schwerer Fehler (552)

https://[hostname]/

Opera konnte keine Verbindung zum Server herstellen. Der Server könnte das nicht unterstützte SSL 2 Protokol benutzen, welches als nicht sicher genug für eine sichere Kommunikation gilt. Der Besitzer der Site sollte auf TLS 1.0 oder neuer umstellen. Stellen Sie sicher, dass eine Verbindung mit dem Internet besteht und überprüfen Sie, ob andere Programme mit der selben Verbindung funktionieren.

Nur bin ich der Meinung, das ssl-cert-Paket erst letztens neu installiert zu haben.. 🙄

Gwen-Dragon

Anmeldungsdatum:
4. August 2008

Beiträge: 189

1) Wenn du jetzt SSL2 erzwingst, was kommt dann?

openssl s_client -connect localhost:443 -state -debug -ssl2

2) Welche SSLOptions, SSLCipherSuite, SSLProtocol hast du für den Server eingestellt

http://httpd.apache.org/docs/2.2/mod/mod_ssl.html

vigidr

(Themenstarter)
Avatar von vigidr

Anmeldungsdatum:
22. Januar 2008

Beiträge: 198

Gwen-Dragon schrieb:

1) Wenn du jetzt SSL2 erzwingst, was kommt dann?

openssl s_client -connect localhost:443 -state -debug -ssl2

[user]@[server]:~$ openssl s_client -connect localhost:443 -state -debug -ssl2
CONNECTED(00000003)
SSL_connect:before/connect initialization
write to 0x80d1618 [0x80c90e1] (45 bytes => 45 (0x2D))
0000 - 80 2b 01 00 02 00 12 00-00 00 10 07 00 c0 03 00   .+..............
0010 - 80 01 00 80 06 00 40 04-00 80 02 00 80 df 71 5e   ......@.......q^
0020 - 62 1a 79 05 97 08 a6 d1-0a 4b 79 a5 d9            b.y......Ky..
SSL_connect:SSLv2 write client hello A
read from 0x80d1618 [0x80c10d8] (2 bytes => 2 (0x2))
0000 - 3c 21                                             <!
read from 0x80d1618 [0x80c10da] (15394 bytes => 271 (0x10F))
0000 - 44 4f 43 54 59 50 45 20-48 54 4d 4c 20 50 55 42   DOCTYPE HTML PUB
0010 - 4c 49 43 20 22 2d 2f 2f-49 45 54 46 2f 2f 44 54   LIC "-//IETF//DT
0020 - 44 20 48 54 4d 4c 20 32-2e 30 2f 2f 45 4e 22 3e   D HTML 2.0//EN">
0030 - 0a 3c 68 74 6d 6c 3e 3c-68 65 61 64 3e 0a 3c 74   .<html><head>.<t
0040 - 69 74 6c 65 3e 35 30 31-20 4d 65 74 68 6f 64 20   itle>501 Method
0050 - 4e 6f 74 20 49 6d 70 6c-65 6d 65 6e 74 65 64 3c   Not Implemented<
0060 - 2f 74 69 74 6c 65 3e 0a-3c 2f 68 65 61 64 3e 3c   /title>.</head><
0070 - 62 6f 64 79 3e 0a 3c 68-31 3e 4d 65 74 68 6f 64   body>.<h1>Method
0080 - 20 4e 6f 74 20 49 6d 70-6c 65 6d 65 6e 74 65 64    Not Implemented
0090 - 3c 2f 68 31 3e 0a 3c 70-3e 80 2b 01 20 74 6f 20   </h1>.<p>.+. to
00a0 - 2f 69 6e 64 65 78 2e 68-74 6d 20 6e 6f 74 20 73   /index.htm not s
00b0 - 75 70 70 6f 72 74 65 64-2e 3c 62 72 20 2f 3e 0a   upported.<br />.
00c0 - 3c 2f 70 3e 0a 3c 68 72-3e 0a 3c 61 64 64 72 65   </p>.<hr>.<addre
00d0 - 73 73 3e 41 70 61 63 68-65 20 53 65 72 76 65 72   ss>Apache Server
00e0 - 20 61 74 20 6c 6f 63 61-6c 68 6f 73 74 20 50 6f    at localhost Po
00f0 - 72 74 20 38 30 3c 2f 61-64 64 72 65 73 73 3e 0a   rt 80</address>.
0100 - 3c 2f 62 6f 64 79 3e 3c-2f 68 74 6d 6c 3e 0a      </body></html>.
read from 0x80d1618 [0x80c11e9] (15123 bytes => 0 (0x0))
SSL_connect:failed in SSLv2 read server hello A
10912:error:1407F0E5:SSL routines:SSL2_WRITE:ssl handshake failure:s2_pkt.c:428:
[user]@[server]:~$

2) Welche SSLOptions, SSLCipherSuite, SSLProtocol hast du für den Server eingestellt

Keine. Welche sind denn erforderlich / empfehlenswert? Kenne mich da noch gar nicht aus.. Danke aber fuer den Link.

paulut

Anmeldungsdatum:
20. Oktober 2006

Beiträge: 62

–> Habe das gleiche Problem unter Ubuntu 8.10 Std-Konfiguration ...

rhc

Anmeldungsdatum:
26. April 2008

Beiträge: Zähle...

Feste IP im VirtualHost eintragen wirkt Wunder:

<VirtualHost 127.0.0.1:443> ... </VirtualHost>

Die Kiste ist dann allerdings nur lokal erreichbar. Hat bei mir das Problem mit der ssl_error_rx_record_too_long Fehlermeldung beseitigt!

vigidr

(Themenstarter)
Avatar von vigidr

Anmeldungsdatum:
22. Januar 2008

Beiträge: 198

rhc schrieb:

<VirtualHost 127.0.0.1:443> ... </VirtualHost>

Die Kiste ist dann allerdings nur lokal erreichbar.

Nur gibt es bei mir keine feste IP-Adresse. „Die Kiste“ soll auch von aussen erreichbar sein. Bei mir ist eine DynDNS-Adresse eingetragen, sollte eigtl. ja auch funktionieren; beim „Port 80“-Host funktioniert's ja auch. :roll

Lutki

Avatar von Lutki

Anmeldungsdatum:
17. Juni 2006

Beiträge: 372

Ich mache es mit:

<VirtualHost *:443> ... </VirtualHost>

MFG

vigidr

(Themenstarter)
Avatar von vigidr

Anmeldungsdatum:
22. Januar 2008

Beiträge: 198

Lutki schrieb:

<VirtualHost *:443> ... </VirtualHost>

Funktioniert leider auch nicht. Welche SSL-Optionen hast du denn gesetzt?

Lutki

Avatar von Lutki

Anmeldungsdatum:
17. Juni 2006

Beiträge: 372

Nichts besonderes:

<VirtualHost *:80>
    ServerAdmin webmaster@localhost
    DocumentRoot /XXX/DYNDNS
    ServerName DYNDNS.host.netz
    ServerAlias *.DYNDNS.host.netz
    ErrorLog /var/log/apache2/DYNDNS-error.log
    CustomLog /var/log/apache2/DYNDNS-access.log combined
    LogLevel warn
    ServerSignature Off
</VirtualHost>

<VirtualHost *:443>
    ServerAdmin webmaster@localhost
    DocumentRoot /XXX/DYNDNS
    ServerName DYNDNS.host.netz
    ServerAlias *.DYNDNS.host.netz
    SSLEngine On
    SSLCertificateFile /etc/apache2/ssl/DYNDNS.pem
    ErrorLog /var/log/apache2/DYNDNS-error.log
    CustomLog /var/log/apache2/DYNDNS-access.log combined
    LogLevel warn
    ServerSignature Off
</VirtualHost>

Alle default-Einstellungen (sites-available) vom Server wurden deaktiviert. Einzelne Verzeichnisse habe ich aus diesem Beispiel entfernt (ist nicht wichtig).

MFG

melc

Anmeldungsdatum:
28. Dezember 2008

Beiträge: 181

Wohnort: Karlsruhe

vigidr schrieb:

Nur gibt es bei mir keine feste IP-Adresse. „Die Kiste“ soll auch von aussen erreichbar sein. Bei mir ist eine DynDNS-Adresse eingetragen, sollte eigtl. ja auch funktionieren; beim „Port 80“-Host funktioniert's ja auch.

Was ist denn die Ausgabe von

cat /etc/apache2/sites-enabled/*

vigidr schrieb:

Funktioniert leider auch nicht. Welche SSL-Optionen hast du denn gesetzt?

Die Standardeinträge aus /etc/apache2/mods-enabled/ssl.conf sind erstmal ausreichend.

vigidr

(Themenstarter)
Avatar von vigidr

Anmeldungsdatum:
22. Januar 2008

Beiträge: 198

melc schrieb:

Was ist denn die Ausgabe von

cat /etc/apache2/sites-enabled/*

Es gibt drei virtuelle Hosts: cdb, default und ssl.

NameVirtualHost *
<VirtualHost *>
	ServerAdmin webmaster@localhost
	ServerName localhost
	
	DocumentRoot /var/www/
	<Directory />
		Options FollowSymLinks
		AllowOverride None
	</Directory>
	<Directory /var/www/>
		Options FollowSymLinks MultiViews
		AllowOverride All
		Order allow,deny
		allow from all
		# This directive allows us to have apache2's default start page
                # in /apache2-default/, but still have / go to the right place
                #RedirectMatch ^/$ /apache2-default/
	</Directory>

	ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
	<Directory "/usr/lib/cgi-bin">
		AllowOverride None
		Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
		Order allow,deny
		Allow from all
	</Directory>

	ErrorLog /var/log/apache2/error.log

	# Possible values include: debug, info, notice, warn, error, crit,
	# alert, emerg.
	LogLevel crit

	CustomLog /var/log/apache2/access.log combined
	ServerSignature On

    Alias /doc/ "/usr/share/doc/"
    <Directory "/usr/share/doc/">
        Options Indexes MultiViews FollowSymLinks
        AllowOverride None
        Order deny,allow
        Deny from all
        Allow from 127.0.0.0/255.0.0.0 ::1/128
    </Directory>

</VirtualHost>
NameVirtualHost [DynDNS-Adresse]
<VirtualHost *>
	ServerAdmin webmaster@localhost
	ServerName [DynDNS-Adresse]
	
	DocumentRoot [Anderer Ordner]
	<Directory />
		Options FollowSymLinks
		AllowOverride None
	</Directory>
	<Directory [Anderer Ordner]>
		Options FollowSymLinks MultiViews
		AllowOverride All
		Order allow,deny
		allow from all
		# This directive allows us to have apache2's default start page
                # in /apache2-default/, but still have / go to the right place
                #RedirectMatch ^/$ /apache2-default/
	</Directory>

	ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
	<Directory "/usr/lib/cgi-bin">
		AllowOverride None
		Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
		Order allow,deny
		Allow from all
	</Directory>

	ErrorLog /var/log/apache2/error.log

	# Possible values include: debug, info, notice, warn, error, crit,
	# alert, emerg.
	LogLevel crit

	CustomLog /var/log/apache2/access.log combined
	ServerSignature On

    Alias /doc/ "/usr/share/doc/"
    <Directory "/usr/share/doc/">
        Options Indexes MultiViews FollowSymLinks
        AllowOverride None
        Order deny,allow
        Deny from all
        Allow from 127.0.0.0/255.0.0.0 ::1/128
    </Directory>

</VirtualHost>
NameVirtualHost *
<VirtualHost *:443>
	ServerAdmin webmaster@localhost
	ServerName localhost
	SSLEngine On
	SSLCertificateFile /etc/apache2/ssl/apache.pem
	DocumentRoot [Anderer Ordner]
	<Directory />
		Options FollowSymLinks
		AllowOverride None
	</Directory>
	<Directory [Anderer Ordner]>
		Options FollowSymLinks MultiViews
		AllowOverride All
		Order allow,deny
		allow from all
		# This directive allows us to have apache2's default start page
                # in /apache2-default/, but still have / go to the right place
                #RedirectMatch ^/$ /apache2-default/
	</Directory>

	ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
	<Directory "/usr/lib/cgi-bin">
		AllowOverride None
		Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
		Order allow,deny
		Allow from all
	</Directory>

	ErrorLog /var/log/apache2/error.log

	# Possible values include: debug, info, notice, warn, error, crit,
	# alert, emerg.
	LogLevel crit

	CustomLog /var/log/apache2/access.log combined
	ServerSignature On

    Alias /doc/ "/usr/share/doc/"
    <Directory "/usr/share/doc/">
        Options Indexes MultiViews FollowSymLinks
        AllowOverride None
        Order deny,allow
        Deny from all
        Allow from 127.0.0.0/255.0.0.0 ::1/128
    </Directory>

</VirtualHost>

melc

Anmeldungsdatum:
28. Dezember 2008

Beiträge: 181

Wohnort: Karlsruhe

Diese Konfiguration läuft bei dir ohne Warnungen?

sudo apache2ctl configtest

Hast du noch weitere Virtualhosts definiert? Und hängt dein Server direkt am Internet oder hinter einem Router?