|
VolkerRaschek
Anmeldungsdatum:
19. August 2014
Beiträge: 358
Wohnort: Eifel
|
Hallo zusammen,
wieder einmal stellt sich mein Apache heute etwas quer.
(Wahrscheinlich liegt es wieder an meiner Wenigkeit) Ich hab mehrere Seiten auf dem Apache gehostet.
Alle Domains sind als Subdomain ansprechbar und liegen in separaten Verzeichnissen unter /var/www/
Jede Domain soll sein eigenes SSL Zertifikat haben und dieses auch nutzen.
Das ist der Punkt der bei mir nicht so richtig funktioniert. Öffne ich beispielsweise wordpress, dann nimmt er sich einfach das Zertifikat von owncloud und meckert, dass die Domain nicht übereinstimmen.
Wie bekomme ich Apache dazu, keine Zertifikate von anderen vHost Einstellungen zu nehmen und sich nicht einfach das erst beste zu nehmen? Hier eine Beispielkonfiguration von einer Subdomain PostFixAdmin. 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24 | <VirtualHost *:80>
# Server Details
ServerName domain.local
ServerAlias postfix.domain.local
ServerAdmin webmaster@domain.local
# Wurzelverzeichnis und deren Einstellungen
DocumentRoot /var/www/postfixadmin
<Directory /var/www/postfixadmin>
Options Indexes FollowSymLinks MultiViews
AllowOverride All
Order allow,deny
Allow from all
</Directory>
# Logs
ErrorLog ${APACHE_LOG_DIR}/postfixadmin/error.log
CustomLog ${APACHE_LOG_DIR}/postfixadmin/access.log combined
# Umleiten auf HTTPS
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}
</VirtualHost>
|
HTTPS 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33 | <virtualhost *:443>
# Server Details
ServerName domain.local
ServerAlias postfix.domain.local
ServerAdmin webmaster@domain.local
# SSL Verschlüsselung
SSLEngine on
SSLCertificateFile /etc/certificates/domain.local.crt
SSLCertificateKeyFile /etc/certificates/domain.local.key
# Hier muss eine PEM - Datei angegeben werden, die von einer externen CA (StartSSL, Comoodo etc. pp.) zugestellt wird.
#SSLCertificateChainFile /etc/certificates/
# SSL erzwingen
# Mit der max-age-Angabe wird dem Browser mitgeteilt, dass die entsprechende Website
# in den nächsten Tagen Angabe in Dekunden Sekunden) nur noch via HTTPS aufgerufen werden soll.
# Zur Benutzung dieser Zeile muss das Model "Header aktiviert werden durch den Befehl "sudo a2enmod headers"
Header always set Strict-Transport-Security "max-age=15768000; includeSubDomains"
# Wurzelverzeichnis und deren Einstellungen
DocumentRoot /var/www/postfixadmin
<Directory /var/www/postfixadmin>
Options Indexes FollowSymLinks MultiViews
AllowOverride All
Order allow,deny
Allow from all
</Directory>
# Logs
ErrorLog ${APACHE_LOG_DIR}/ssl_postfixadmin/error.log
CustomLog ${APACHE_LOG_DIR}/ssl_postfixadmin/access.log combined
</virtualhost>
|
Fehlermeldung unter Firefox
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18 |
Dieser Verbindung wird nicht vertraut
Sie haben Firefox angewiesen, eine gesicherte Verbindung zu postfixadmin.domain.local aufzubauen, es kann aber nicht überprüft werden, ob die Verbindung sicher ist.
Wenn Sie normalerweise eine gesicherte Verbindung aufbauen, weist sich die Website mit einer vertrauenswürdigen Identifikation aus, um zu garantieren, dass Sie die richtige Website besuchen. Die Identifikation dieser Website dagegen kann nicht bestätigt werden.
Was sollte ich tun?
Falls Sie für gewöhnlich keine Probleme mit dieser Website haben, könnte dieser Fehler bedeuten, dass jemand die Website fälscht. Sie sollten in dem Fall nicht fortfahren.
Diese Website verwendet HTTP Strict Transport Security (HSTS), um mitzuteilen, dass Firefox nur über gesicherte Verbindungen mit ihr kommunizieren soll. Daher ist es nicht möglich, eine Ausnahme für dieses Zertifikat anzulegen.
postfixadmin.domain.local verwendet ein ungültiges Sicherheitszertifikat.
Das Zertifikat gilt nur für folgende Namen:
poweradmin.domain.local
(Fehlercode: ssl_error_bad_cert_domain)
|
|
|
misterunknown
Ehemalige
Anmeldungsdatum:
28. Oktober 2009
Beiträge: 4403
Wohnort: Sachsen
|
VolkerRaschek schrieb: Alle Domains sind als Subdomain ansprechbar und liegen in separaten Verzeichnissen unter /var/www/
Jede Domain soll sein eigenes SSL Zertifikat haben und dieses auch nutzen.
Das ist der Punkt der bei mir nicht so richtig funktioniert.
Sofern du nicht verschieden IPs hast, wird das nicht funktionieren. Der klassische Weg war, für jeden SSL-VHost eine IP zu verteilen. Denn die Verbindung wird schon bevor der Server gesagt bekommt, welchen VHost er ausliefern soll, verschlüsselt. Die relevanten Parameter dafür sind nur die IP und der Port. Das Problem lässt sich grundsätzlich auf 3 Arten lösen:
Vergebe für jeden SSL-VHost eine eigene IP. Stelle dir ein Multidomain- oder Wildcard-Zertifikat aus, welches alle VHosts enthält. Dann braucht man nur eine IP, da man alle VHosts mit dem gleichen Zertifikat abspeist. Nutze SNI, eine Methode, bei der der Server unverschlüsselt erfährt, welcher VHost angesprochen werden soll, und damit auch ohne zusätzliche IP das korrekte Zertifikat ausliefert. Infos zur Einrichtung mit Apache gibts hier. Hinweis: SNI wird von älteren Browsern/Betriebssystemen (bspw. WinXP) nicht unterstützt. In deinem Fall ist das sicherlich vernachlässigbar, man sollte es aber wissen.
|
|
VolkerRaschek
(Themenstarter)
Anmeldungsdatum:
19. August 2014
Beiträge: 358
Wohnort: Eifel
|
Also ich bin derzeit am SIN Verfahren dran. Im Wiki steht, If SNI is built in, then the error log will show "[warn] Init: Name-based SSL virtual hosts only work for clients with TLS server name indication support (RFC 4366)".
Das ist schon mal sehr gut, da ich die Meldung auch bekomme. | [Thu Aug 27 14:09:36.200133 2015] [ssl:warn] [pid 22114] AH02292: Init: Name-based SSL virtual hosts only work for clients with TLS server name indication support (RFC 4366)
[Thu Aug 27 14:09:36.260835 2015] [ssl:warn] [pid 22115] AH02292: Init: Name-based SSL virtual hosts only work for clients with TLS server name indication support (RFC 4366)
|
Konfigurationsbeispiel muss ich nur die SSL-vHost Direktive noch ergänzen. Ich hab die direktive vor dem ersten SSL-vHost mit dem TAG: <virtualhost *:443> gesetzt.
| SSLStrictSNIVHostCheck on
|
Trozdem bekomme ich im FireFox immer noch eine Fehlermeldung mit der BadDomain poweradmin.domain.loacl verwendet ein ungültiges Sicherheitszertifikat. Das Zertifikat gilt nur für folgende Namen: owncloud.domain.local, doamin.local (Fehlercode: ssl_error_bad_cert_domain)
|
|
misterunknown
Ehemalige
Anmeldungsdatum:
28. Oktober 2009
Beiträge: 4403
Wohnort: Sachsen
|
VolkerRaschek schrieb: SSLStrictSNIVHostCheck on
Das sollte funktionieren, dennoch gehört diese Direktive eher in die ports.conf 😉
Trozdem bekomme ich im FireFox immer noch eine Fehlermeldung mit der BadDomain poweradmin.domain.loacl verwendet ein ungültiges Sicherheitszertifikat. Das Zertifikat gilt nur für folgende Namen: owncloud.domain.local, doamin.local (Fehlercode: ssl_error_bad_cert_domain)
Apache neu gestartet? Kannst du ausschließen, dass der Browser das Zertifikat noch gecached hat? Was sagt ein
| openssl s_client -servername poweradmin.domain.local -connect poweradmin.domain.local:443
|
|
|
VolkerRaschek
(Themenstarter)
Anmeldungsdatum:
19. August 2014
Beiträge: 358
Wohnort: Eifel
|
Der Befehl gibt mir folgendes aus. 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112 | root@www:/etc/apache2# openssl s_client -servername poweradmin.domain.local -connect poweradmin.domain.local:443
CONNECTED(00000003)
depth=0 C = DE, CN = owncloud.domain.local, emailAddress = webmaster@domain.local
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 C = DE, CN = owncloud.domain.local, emailAddress = webmaster@domain.local
verify error:num=27:certificate not trusted
verify return:1
depth=0 C = DE, CN = owncloud.domain.local, emailAddress = webmaster@domain.local
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
0 s:/C=DE/CN=owncloud.domain.local/emailAddress=webmaster@domain.local
i:/C=IL/O=StartCom Ltd./OU=Secure Digital Certificate Signing/CN=StartCom Class 1 Primary Intermediate Server CA
---
Server certificate
-----BEGIN CERTIFICATE-----
MIIJUjCCCDqgAwIBAgIHBYSXYlczHzANBgkqhkiG9w0BAQsFADCBjDELMAkGA1UE
BhMCSUwxFjAUBgNVBAoTDVN0YXJ0Q29tIEx0ZC4xKzApBgNVBAsTIlNlY3VyZSBE
aWdpdGFsIENlcnRpZmljYXRlIFNpZ25pbmcxODA2BgNVBAMTL1N0YXJNSFJKWMDD
lcm1lZGlhdGUgU2VydmVyIENBMB4XDTE1MDQxMDE3DFVWDFVSWFWSFSAFDEFEWEF
NTY0N1oXDTE2MDQxMTE1MTkxMFowVDELMAkGA1UEBhMCREUxITAfBgNVBAMTGG93
bmNsb3VkLmNyeXB0aWMuc3lzdGVtczEiMCAGCSqGSIb3DQEJARYTbWFya3VzLnBl
c2NoQHdlYi5kZTCCBCIwDQYJKoZIhvcNAQEBBQADggQPADCCBAoCggQBAMOzK+wL
bnq/43/hUliR3S0o/pbF5B2bZzkDQX09mHy5JO5hbOsNwwzWQbe/o4E+PM7rBCm+
MrkHJk9sYfev3vA8ocDWyEa/NvNbxc98CPv/dPBkkYNFYvurpFTmzIZ5tXc7jCxL
65uq/dkglIV4FN9awwVpyo3lshZ2d2j2BMg2Urj/mYCI1F5CfrqCkz/4eMY9waqL
d41HBWMGFmBdH01mk2jBLaoA0ltsYQlE+PkNHSYgdXeiFl3dPVSELKR9nCu6uRib
6UVchAUx6DWRpQ5qw2CpJzCbM3cn5S/EylNMBC8k0cSJYuPaR/KkSo7pkFDhUsF2
TXr0MHMTVY+T6owgR/Gr4x7Y64bLZrRnBO2OVacjegycQDrfutfnq+bU6pzZu0Qa
ycQ9D3P5wuKt+LVHAqWrt7y5PNWpxrbUlInlvti8otLkBa6lkws40iACVGGV3WCx
gK5NHmEw4GK4mDnhIDKNlLeDXKwRLgMxISo+fMwVh+xTkqzgbfdIao127theSDyA
KloK45EP4twheZVfpLETxiXrDXHukced0m2EeA3qKUXHEeBhP4SZInNTVG3i9w46
hlWd6rPQjbHFVeR4QxzzAbzJfOaJB0fqy9+BRQ3Q3fYvbBrj0fTqLh1Urt3TZZP8
1eoFh14BAd6PZuttJj79uq1Jkq3BAxkc3udekyB1CpHO+F4yzevqRmnaoZ47lmxV
p3ydKJK/A4IwsR7U3rCSd7iiT5HjtWulFmT4sSyq+dhH3kn4xzX/DB2zFWNDpFUO
f4LRsrngwXbiFbYCMCC7GBWruZbMNLnrBH0civr96EBbEcFEpVxPF/d+V1OQ3R0W
89opeqUNClbts4Fm+3M8dA6W12wTg0k45Vm0v2gv/jVmNu+t7VzW+betOTdj8F1u
FWFsRsCH9/Edom/5uFNQ5aj12PcXr1sWsktErI7w5onfE8E5IXDvMFbesXXmVP8i
I1VecbBkprnh5mvR/oXZsGc8xhj/uGj7TvJ0CKGYGRP0QaMYgetFDkvuuHihfbGd
PPD6kuwitoYzQF0rN1iaTiNxEsGAVSLJS33eqVzBqntM0DbKsYXeTWQbzDsOlVfC
n14iqMN8EotwlqrsmRpy0qVtUay9AMLumomWSbVD2EDiQfamfUrc7tHkzXp31UTp
rAdFEWboyUhEIWQyiFHlDtkrdHCIaK31kpcwJIcpnyz1oqRHl4G4Yk51E0tEM41F
mdUyTbkl3TT/WgMvAPK5alVpAvPeJPwISomzVpM1khXBuo2ZrFAUy7YHsnIcxNoW
x9+F9MqBRta8f6IlH5rbqG0AG7iotb2lU0KcAszdLK0feKTTplUQ+Mgk0ouAiYBQ
v+Bg258taVdxqCcCAwEAAaOCAu4wggLqMAkGA1UdEwQCMAAwCwYDVR0PBAQDAgOo
MBMGA1UdJQQMMAoGCCsGAQUFBwMBMB0GA1UdDgQWBBS2Re9K34c7kiHmyDqzNrI1
w6qkzjAfBgNVHSMEGDAWgBTrQjTQmLCrn/Qbawj3zGQu7w4sRTA0BgNVHREELTAr
ghhvd25jbG91ZC5jcnlwdGljLnN5c3RlbXOCD2NyeXB0aWMuc3lzdGVtczCCAVYG
A1UdIASCAU0wggFJMAgGBmeBDAECATCCATsGCysGAQQBgbU3AQIDMIIBKjAuBggr
BgEFBQcCARYiaHR0cDovL3d3dy5zdGFydHNzbC5jb20vcG9saWN5LnBkZjCB9wYI
KwYBBQUHAgIwgeowJxYgU3RhcnRDb20gQ2VydGlmaWNhdGlvbiBBdXRob3JpdHkw
AwIBARqBvlRoaXMgY2VydGlmaWNhdGUgd2FzIGlzc3VlZCBhY2NvcmRpbmcgdG8g
dGhlIENsYXNzIDEgVmFsaWRhdGlvbiByZXF1aXJlbWVudHMgb2YgdGhlIFN0YXJ0
Q29tIENBIHBvbGljeSwgcmVsaWFuY2Ugb25seSBmb3IgdGhlIGludGVuZGVkIHB1
cnBvc2UgaW4gY29tcGxpYW5jZSBvZiB0aGUgcmVseWluZyBwYXJ0eSBvYmxpZ2F0
aW9ucy4wNQYDVR0fBC4wLDAqoCigJoYkaHR0cDovL2NybC5zdGFydHNzbC5jb20v
Y3J0MS1jcmwuY3JsMIGOBggrBgEFBQcBAQSBgTB/MDkGCCsGAQUFBzABhi1odHRw
Oi8vb2NzcC5zdGFydHNzbC5jb20vc3ViL2NsYXNzMS9zZXJ2ZXIvY2EwQgYIKwYB
BQUHMAKGNmh0dHA6Ly9haWEuc3RhcnRzc2wuY29tL2NlcnRzL3N1Yi5jbGFzczEu
c2VydmVyLmNhLmNydDAjBgNVHRIEHDAahhhodHRwOi8vd3d3LnN0YXJ0c3NsLmNv
bS8wDQYJKoZIhvcNAQELBQADggEBAF6HVbLyVMDWO9nTkPE4J0YxJGOMneuiOW33
cbZbBB+Qex1Gd7hFnS2vJE+iJJUvbnDmiAwXp2qQ9ntnnOTaxt7/nc32RX+pUXHz
RNv2b1lR6C2wPTgDGsxsl/ZXTfSbq1i5vsLh28+bbIZ4XrZINzNGvoy5fJPOK+Qx
2PUpFq20YMgPchSYkbcfYO59KlIoFFmrWZ5W8PfWQOA71HeI8/KrFRPo/84GcSnD
aRKkwD/e4hDXusMdrfSp968OLdus9wI7AX3fs4Kp6w35O3nTCwcQ2PhtynY/kcU3
zdKvkFs0EZNvPyb3r0oYbs68hl+LuUhKMPKLA73OkImN0964prc=
-----END CERTIFICATE-----
subject=/C=DE/CN=owncloud.domain.local/emailAddress=webmaster.domain.local
issuer=/C=IL/O=StartCom Ltd./OU=Secure Digital Certificate Signing/CN=StartCom Class 1 Primary Intermediate Server CA
---
No client certificate CA names sent
---
SSL handshake has read 3885 bytes and written 456 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 8192 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1.2
Cipher : ECDHE-RSA-AES256-GCM-SHA384
Session-ID: D1206655F4EF6ABAF4B83FF1130020E9C85A44D8433331B0F72A47D23048217E
Session-ID-ctx:
Master-Key: 87167CB9EFB8F5AEB64C09CEBB9D1E2E6D52BABABC402B37525D0972D1164ED35A6B58DE83FB6138EADD7802152E333D
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
TLS session ticket lifetime hint: 300 (seconds)
TLS session ticket:
0000 - eb aa 9a 4b 38 e0 63 00-59 81 db 48 4e 6f 9b c3 ...K8.c.Y..HNo..
0010 - 18 5d cc 2b 52 9b 54 de-7b 78 cb e2 ca 48 73 e9 .].+R.T.{x...Hs.
0020 - 2c 1d f1 02 62 01 aa 34-2d 3e 36 12 ac 8a 26 65 ,...b..4->6...&e
0030 - 04 52 23 d5 51 dd eb 6d-9e ff 89 af 54 9f c8 31 .R#.Q..m....T..1
0040 - 28 c5 49 75 54 bd 46 fd-5d 6a 3f 05 fb 2a 02 0e (.IuT.F.]j?..*..
0050 - 56 9d ea 68 cf 42 82 a1-5a d0 c2 6d 2a 9a f1 8d V..h.B..Z..m*...
0060 - 21 2a f4 a5 a1 ec f5 38-ec c7 dc 16 e9 ce 01 b6 !*.....8........
0070 - 2a 75 28 ea 80 4c f6 e2-98 4b 18 c7 3e 60 3b 87 *u(..L...K..>`;.
0080 - 13 74 d5 5e 52 dd bd e8-ed 39 3d 6e a9 7f 25 5a .t.^R....9=n..%Z
0090 - ab 5c 3d cf 01 94 35 03-e8 25 29 29 da d1 55 c1 .\=...5..%))..U.
00a0 - 5d a3 db c4 1d 2d 7f 70-05 42 70 df b0 33 f9 33 ]....-.p.Bp..3.3
00b0 - 66 a2 2d 41 c4 8c 5b 6b-4c 4f e0 b3 58 eb b7 0b f.-A..[kLO..X...
00c0 - 8e 63 e7 28 a5 b5 57 48-38 8b a2 eb cb 19 f9 d5 .c.(..WH8.......
00d0 - 0f 4c 7b c1 12 a5 1b 01-41 9b a2 9b cb a4 b4 19 .L{.....A.......
Start Time: 1440679996
Timeout : 300 (sec)
Verify return code: 21 (unable to verify the first certificate)
---
|
|
|
misterunknown
Ehemalige
Anmeldungsdatum:
28. Oktober 2009
Beiträge: 4403
Wohnort: Sachsen
|
Das ist komisch. Der Server liefert, selbst wenn man einen Servername mitgibt, das falsche Zertifikat. Bist du dir sicher, dass die Pfade und Zertifikatsnamen in den VHost-Konfigurationen stimmen? Wie sieht dein Owncloud-VHost aus? Was sagt ein
| openssl x509 -text -noout -in /etc/certificates/domain.local.crt
|
|
|
VolkerRaschek
(Themenstarter)
Anmeldungsdatum:
19. August 2014
Beiträge: 358
Wohnort: Eifel
|
Ich muss dazu sagen,
dass ich für die owncloud ein SSL Zertifikat von StartCOM einsetze. Die domain-Endungen und E-Mail Adressen sind für das Forum editiert. Websiten sind aus dem Internet aufrufbar. Für postfix.domain.local → openssl x509 -text -noout -in /etc/certificates/postfix.domain.local.crt 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142 | Certificate:
Data:
Version: 1 (0x0)
Serial Number: 13221750721692614533 (0xb77d183ac340bf85)
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=DE, ST=NRW, L=Hellenthal, O=domain.local, CN=postfix.domain.local/emailAddress=webmaster@domain.local
Validity
Not Before: Aug 27 08:48:39 2015 GMT
Not After : Aug 26 08:48:39 2016 GMT
Subject: C=DE, ST=NRW, L=Hellenthal, O=domain.local, CN=postfix.domain.local/emailAddress=webmaster@domain.local
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (8192 bit)
Modulus:
00:c3:b3:2b:ec:0b:6e:7a:bf:e3:7f:e1:52:58:91:
dd:2d:28:fe:96:c5:e4:1d:9b:67:39:03:41:7d:3d:
98:7c:b9:24:ee:61:6c:eb:0d:c3:0c:d6:41:b7:bf:
a3:81:3e:3c:ce:eb:04:29:be:32:b9:07:26:4f:6c:
61:f7:af:de:f0:3c:a1:c0:d6:c8:46:bf:36:f3:5b:
c5:cf:7c:08:fb:ff:74:f0:64:91:83:45:62:fb:ab:
a4:54:e6:cc:86:79:b5:77:3b:8c:2c:4b:eb:9b:aa:
fd:d9:20:94:85:78:14:df:5a:c3:05:69:ca:8d:e5:
b2:16:76:77:68:f6:04:c8:36:52:b8:ff:99:80:88:
d4:5e:42:7e:ba:82:93:3f:f8:78:c6:3d:c1:aa:8b:
77:8d:47:05:63:06:16:60:5d:1f:4d:66:93:68:c1:
2d:aa:00:d2:5b:6c:61:09:44:f8:f9:0d:1d:26:20:
75:77:a2:16:5d:dd:3d:54:84:2c:a4:7d:9c:2b:ba:
b9:18:9b:e9:45:5c:84:05:31:e8:35:91:a5:0e:6a:
c3:60:a9:27:30:9b:33:77:27:e5:2f:c4:ca:53:4c:
04:2f:24:d1:c4:89:62:e3:da:47:f2:a4:4a:8e:e9:
90:50:e1:52:c1:76:4d:7a:f4:30:73:13:55:8f:93:
ea:8c:20:47:f1:ab:e3:1e:d8:eb:86:cb:66:b4:67:
04:ed:8e:55:a7:23:7a:0c:9c:40:3a:df:ba:d7:e7:
ab:e6:d4:ea:9c:d9:bb:44:1a:c9:c4:3d:0f:73:f9:
c2:e2:ad:f8:b5:47:02:a5:ab:b7:bc:b9:3c:d5:a9:
c6:b6:d4:94:89:e5:be:d8:bc:a2:d2:e4:05:ae:a5:
93:0b:38:d2:20:02:54:61:95:dd:60:b1:80:ae:4d:
1e:61:30:e0:62:b8:98:39:e1:20:32:8d:94:b7:83:
5c:ac:11:2e:03:31:21:2a:3e:7c:cc:15:87:ec:53:
92:ac:e0:6d:f7:48:6a:8d:76:ee:d8:5e:48:3c:80:
2a:5a:0a:e3:91:0f:e2:dc:21:79:95:5f:a4:b1:13:
c6:25:eb:0d:71:ee:91:c7:9d:d2:6d:84:78:0d:ea:
29:45:c7:11:e0:61:3f:84:99:22:73:53:54:6d:e2:
f7:0e:3a:86:55:9d:ea:b3:d0:8d:b1:c5:55:e4:78:
43:1c:f3:01:bc:c9:7c:e6:89:07:47:ea:cb:df:81:
45:0d:d0:dd:f6:2f:6c:1a:e3:d1:f4:ea:2e:1d:54:
ae:dd:d3:65:93:fc:d5:ea:05:87:5e:01:01:de:8f:
66:eb:6d:26:3e:fd:ba:ad:49:92:ad:c1:03:19:1c:
de:e7:5e:93:20:75:0a:91:ce:f8:5e:32:cd:eb:ea:
46:69:da:a1:9e:3b:96:6c:55:a7:7c:9d:28:92:bf:
03:82:30:b1:1e:d4:de:b0:92:77:b8:a2:4f:91:e3:
b5:6b:a5:16:64:f8:b1:2c:aa:f9:d8:47:de:49:f8:
c7:35:ff:0c:1d:b3:15:63:43:a4:55:0e:7f:82:d1:
b2:b9:e0:c1:76:e2:15:b6:02:30:20:bb:18:15:ab:
b9:96:cc:34:b9:eb:04:7d:1c:8a:fa:fd:e8:40:5b:
11:c1:44:a5:5c:4f:17:f7:7e:57:53:90:dd:1d:16:
f3:da:29:7a:a5:0d:0a:56:ed:b3:81:66:fb:73:3c:
74:0e:96:d7:6c:13:83:49:38:e5:59:b4:bf:68:2f:
fe:35:66:36:ef:ad:ed:5c:d6:f9:b7:ad:39:37:63:
f0:5d:6e:15:61:6c:46:c0:87:f7:f1:1d:a2:6f:f9:
b8:53:50:e5:a8:f5:d8:f7:17:af:5b:16:b2:4b:44:
ac:8e:f0:e6:89:df:13:c1:39:21:70:ef:30:56:de:
b1:75:e6:54:ff:22:23:55:5e:71:b0:64:a6:b9:e1:
e6:6b:d1:fe:85:d9:b0:67:3c:c6:18:ff:b8:68:fb:
4e:f2:74:08:a1:98:19:13:f4:41:a3:18:81:eb:45:
0e:4b:ee:b8:78:a1:7d:b1:9d:3c:f0:fa:92:ec:22:
b6:86:33:40:5d:2b:37:58:9a:4e:23:71:12:c1:80:
55:22:c9:4b:7d:de:a9:5c:c1:aa:7b:4c:d0:36:ca:
b1:85:de:4d:64:1b:cc:3b:0e:95:57:c2:9f:5e:22:
a8:c3:7c:12:8b:70:96:aa:ec:99:1a:72:d2:a5:6d:
51:ac:bd:00:c2:ee:9a:89:96:49:b5:43:d8:40:e2:
41:f6:a6:7d:4a:dc:ee:d1:e4:cd:7a:77:d5:44:e9:
ac:07:45:11:66:e8:c9:48:44:21:64:32:88:51:e5:
0e:d9:2b:74:70:88:68:ad:f5:92:97:30:24:87:29:
9f:2c:f5:a2:a4:47:97:81:b8:62:4e:75:13:4b:44:
33:8d:45:99:d5:32:4d:b9:25:dd:34:ff:5a:03:2f:
00:f2:b9:6a:55:69:02:f3:de:24:fc:08:4a:89:b3:
56:93:35:92:15:c1:ba:8d:99:ac:50:14:cb:b6:07:
b2:72:1c:c4:da:16:c7:df:85:f4:ca:81:46:d6:bc:
7f:a2:25:1f:9a:db:a8:6d:00:1b:b8:a8:b5:bd:a5:
53:42:9c:02:cc:dd:2c:ad:1f:78:a4:d3:a6:55:10:
f8:c8:24:d2:8b:80:89:80:50:bf:e0:60:db:9f:2d:
69:57:71:a8:27
Exponent: 65537 (0x10001)
Signature Algorithm: sha256WithRSAEncryption
6f:49:e5:94:b6:a2:31:16:37:2d:55:28:f5:57:86:7b:0c:87:
1c:bb:95:c4:02:ab:a5:ee:2d:3a:1d:05:ff:b5:20:1c:fe:13:
6b:cb:75:a3:0f:d6:02:80:58:29:dd:a7:ab:73:ee:aa:03:8f:
2c:d5:2c:48:22:11:ee:a7:43:18:82:26:4e:90:07:10:2f:15:
77:54:38:37:05:c6:ca:2b:60:8a:98:a1:b5:ed:a3:02:00:d8:
4d:29:cf:7f:ee:8f:3d:bb:0a:6d:6e:b8:76:80:6b:9b:b4:a7:
15:1e:0f:80:ec:fd:72:d5:7e:33:90:f7:32:30:3e:74:15:e6:
e1:65:56:f2:e2:9f:c0:b6:58:0e:f4:07:7e:c0:39:c8:6c:14:
0e:a2:c9:1d:54:c8:07:47:82:17:8f:fe:5f:17:d5:71:36:e6:
6a:f1:bc:6c:24:bb:26:bb:cb:2e:03:47:97:23:f6:f8:8a:35:
c9:03:69:7b:18:7b:9d:77:dd:a3:f2:2a:8c:95:85:7f:68:5f:
63:f8:71:3b:3c:cf:06:e6:c5:04:8e:62:bf:11:87:42:8d:ab:
8e:fe:39:27:ab:f3:e4:ef:a3:39:1e:cd:a9:0f:ba:34:83:b4:
24:0d:85:e0:0f:ed:dc:ea:a5:20:4e:cc:9a:f2:e2:1d:02:49:
41:a7:90:86:db:f0:11:0f:2f:33:f4:f1:42:2b:d6:24:e4:74:
4b:e0:07:a6:18:1b:1b:fa:6f:4a:a8:91:a3:86:2e:98:f7:54:
29:8a:78:a8:5d:7b:9a:e8:e2:f8:1c:bf:03:e3:8b:06:d2:63:
3c:9f:9b:93:d0:92:7a:8a:38:7b:a3:e1:ca:09:f0:97:4b:a0:
1c:30:b0:0c:5f:cd:e2:8b:7a:28:98:cb:d2:ee:7e:8f:43:11:
d8:ef:b9:d2:76:1d:b2:e4:f1:0c:34:ff:12:e8:c1:ac:01:cc:
a0:b6:7c:64:c4:f9:08:d8:c5:a3:87:6c:1e:66:87:a2:23:88:
bc:72:78:e1:ec:90:ed:59:ac:b9:da:4c:85:66:83:f0:90:62:
a9:6a:0b:cb:75:e5:7d:e5:a9:a7:c7:d0:61:22:c9:18:a0:b5:
96:e3:1c:b9:fc:b3:05:96:7f:4f:47:c4:4b:56:a7:ea:9d:8e:
b2:02:b8:c5:19:c7:43:14:ad:9c:52:5e:9c:55:13:83:7f:81:
fd:55:ae:65:97:1f:8f:f5:3d:ad:ce:40:26:32:b5:9e:0d:82:
2f:a3:ba:d2:f2:db:47:34:95:ae:1d:f1:21:ce:d6:32:46:4c:
d2:ad:f4:77:48:52:8d:52:6b:c7:f3:d7:c1:6f:74:8a:43:3d:
16:4b:b1:3a:d5:ee:1d:79:4c:90:9c:72:1a:19:96:7e:c7:a2:
0a:02:a9:a6:88:6c:8d:91:e2:88:0e:eb:5c:42:5d:ae:0d:0d:
b7:b4:06:55:58:e5:1d:ad:db:1b:a9:a7:2e:80:76:7e:97:9e:
8b:9f:a8:26:93:8e:b2:6b:ac:c3:1d:4a:eb:9b:28:de:47:e5:
89:68:4d:58:c7:18:db:45:90:83:3e:a9:20:c5:d9:86:b1:48:
d5:4d:d7:0c:56:b8:1a:43:fa:63:c2:35:93:37:ab:08:26:bd:
84:50:ab:1a:f7:ea:83:d0:18:9d:47:e7:c3:e8:e8:2e:b2:17:
7d:5f:2d:6a:66:84:e9:6a:e9:96:04:bd:42:8e:15:92:31:a2:
01:bd:d7:ab:15:93:24:3a:b8:14:ce:0a:f0:11:03:cd:ec:4e:
bc:e9:ce:10:76:ee:aa:31:fe:25:e8:80:bf:0c:6f:91:09:b8:
34:a7:ec:d7:03:1b:f5:86:1e:96:ac:a2:3d:b2:ab:c1:ad:95:
49:31:63:05:62:16:50:a9:ac:bd:40:5e:98:de:e7:9a:69:07:
f3:f3:22:2c:e6:71:48:76:88:ce:d9:c0:22:4c:8f:57:26:1c:
5e:97:2b:1c:12:2a:7e:d2:04:a2:de:d4:9d:2f:1e:1d:87:18:
f0:ab:a1:08:25:2e:5a:d3:a6:1d:f2:16:8a:72:3d:5a:f0:69:
e7:3a:a8:aa:74:44:93:b3:21:a9:d1:89:26:55:49:cd:96:cf:
7e:90:53:d6:1f:b1:1c:8b:b8:49:14:9c:18:f9:3c:60:c7:47:
bc:0f:04:d9:03:d2:96:48:31:03:f0:d3:d0:1e:43:ec:b8:16:
af:b7:38:63:bf:97:c3:1a:e8:e4:15:39:d9:f3:5c:24:d2:ba:
9f:fe:81:2d:82:50:79:84:f1:76:5a:9a:2e:a1:e3:6a:9c:8d:
86:8e:8a:fe:88:0f:2c:43:fa:5e:ec:38:34:f3:8f:aa:2a:f9:
d5:ac:f9:31:ee:84:b9:3f:6a:b6:0a:55:6c:e2:70:28:37:52:
04:44:33:f4:c0:d6:02:14:71:72:35:b1:e1:f3:a7:15:2f:98:
71:d4:01:ec:01:c2:3a:d7:41:c7:48:0d:fe:08:8a:c4:b6:03:
ab:9b:c3:40:fa:6b:2b:20:e4:a5:da:4a:81:23:0b:c0:d3:a4:
3e:e5:c2:63:45:ba:b7:c2:b7:92:14:53:8b:51:91:6f:cb:39:
0e:fd:fe:48:08:13:99:26:3d:ff:93:19:3b:6f:54:95:52:b5:
31:1b:41:5b:85:cd:8f:c2:1e:ad:ac:d4:b0:db:fc:0b:df:cb:
3b:7d:d1:77:61:05:df:08:5c:3b:79:9b:5c:6a:bb:6d
|
Für owncloud.domain.local → openssl x509 -text -noout -in /etc/certificates/owncloud.domain.local.crt
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134 | Certificate:
Data:
Version: 3 (0x2)
Serial Number: 1553160608363295 (0x584976257331f)
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=IL, O=StartCom Ltd., OU=Secure Digital Certificate Signing, CN=StartCom Class 1 Primary Intermediate Server CA
Validity
Not Before: Apr 10 17:56:47 2015 GMT
Not After : Apr 11 15:19:10 2016 GMT
Subject: C=DE, CN=owncloud.domain.local/emailAddress=webmaster@domain.local
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (8192 bit)
Modulus:
00:c3:b3:2b:ec:0b:6e:7a:bf:e3:7f:e1:52:58:91:
dd:2d:28:fe:96:c5:e4:1d:9b:67:39:03:41:7d:3d:
98:7c:b9:24:ee:61:6c:eb:0d:c3:0c:d6:41:b7:bf:
a3:81:3e:3c:ce:eb:04:29:be:32:b9:07:26:4f:6c:
61:f7:af:de:f0:3c:a1:c0:d6:c8:46:bf:36:f3:5b:
c5:cf:7c:08:fb:ff:74:f0:64:91:83:45:62:fb:ab:
a4:54:e6:cc:86:79:b5:77:3b:8c:2c:4b:eb:9b:aa:
fd:d9:20:94:85:78:14:df:5a:c3:05:69:ca:8d:e5:
b2:16:76:77:68:f6:04:c8:36:52:b8:ff:99:80:88:
d4:5e:42:7e:ba:82:93:3f:f8:78:c6:3d:c1:aa:8b:
77:8d:47:05:63:06:16:60:5d:1f:4d:66:93:68:c1:
2d:aa:00:d2:5b:6c:61:09:44:f8:f9:0d:1d:26:20:
75:77:a2:16:5d:dd:3d:54:84:2c:a4:7d:9c:2b:ba:
b9:18:9b:e9:45:5c:84:05:31:e8:35:91:a5:0e:6a:
c3:60:a9:27:30:9b:33:77:27:e5:2f:c4:ca:53:4c:
04:2f:24:d1:c4:89:62:e3:da:47:f2:a4:4a:8e:e9:
90:50:e1:52:c1:76:4d:7a:f4:30:73:13:55:8f:93:
ea:8c:20:47:f1:ab:e3:1e:d8:eb:86:cb:66:b4:67:
04:ed:8e:55:a7:23:7a:0c:9c:40:3a:df:ba:d7:e7:
ab:e6:d4:ea:9c:d9:bb:44:1a:c9:c4:3d:0f:73:f9:
c2:e2:ad:f8:b5:47:02:a5:ab:b7:bc:b9:3c:d5:a9:
c6:b6:d4:94:89:e5:be:d8:bc:a2:d2:e4:05:ae:a5:
93:0b:38:d2:20:02:54:61:95:dd:60:b1:80:ae:4d:
1e:61:30:e0:62:b8:98:39:e1:20:32:8d:94:b7:83:
5c:ac:11:2e:03:31:21:2a:3e:7c:cc:15:87:ec:53:
92:ac:e0:6d:f7:48:6a:8d:76:ee:d8:5e:48:3c:80:
2a:5a:0a:e3:91:0f:e2:dc:21:79:95:5f:a4:b1:13:
c6:25:eb:0d:71:ee:91:c7:9d:d2:6d:84:78:0d:ea:
29:45:c7:11:e0:61:3f:84:99:22:73:53:54:6d:e2:
f7:0e:3a:86:55:9d:ea:b3:d0:8d:b1:c5:55:e4:78:
43:1c:f3:01:bc:c9:7c:e6:89:07:47:ea:cb:df:81:
45:0d:d0:dd:f6:2f:6c:1a:e3:d1:f4:ea:2e:1d:54:
ae:dd:d3:65:93:fc:d5:ea:05:87:5e:01:01:de:8f:
66:eb:6d:26:3e:fd:ba:ad:49:92:ad:c1:03:19:1c:
de:e7:5e:93:20:75:0a:91:ce:f8:5e:32:cd:eb:ea:
46:69:da:a1:9e:3b:96:6c:55:a7:7c:9d:28:92:bf:
03:82:30:b1:1e:d4:de:b0:92:77:b8:a2:4f:91:e3:
b5:6b:a5:16:64:f8:b1:2c:aa:f9:d8:47:de:49:f8:
c7:35:ff:0c:1d:b3:15:63:43:a4:55:0e:7f:82:d1:
b2:b9:e0:c1:76:e2:15:b6:02:30:20:bb:18:15:ab:
b9:96:cc:34:b9:eb:04:7d:1c:8a:fa:fd:e8:40:5b:
11:c1:44:a5:5c:4f:17:f7:7e:57:53:90:dd:1d:16:
f3:da:29:7a:a5:0d:0a:56:ed:b3:81:66:fb:73:3c:
74:0e:96:d7:6c:13:83:49:38:e5:59:b4:bf:68:2f:
fe:35:66:36:ef:ad:ed:5c:d6:f9:b7:ad:39:37:63:
f0:5d:6e:15:61:6c:46:c0:87:f7:f1:1d:a2:6f:f9:
b8:53:50:e5:a8:f5:d8:f7:17:af:5b:16:b2:4b:44:
ac:8e:f0:e6:89:df:13:c1:39:21:70:ef:30:56:de:
b1:75:e6:54:ff:22:23:55:5e:71:b0:64:a6:b9:e1:
e6:6b:d1:fe:85:d9:b0:67:3c:c6:18:ff:b8:68:fb:
4e:f2:74:08:a1:98:19:13:f4:41:a3:18:81:eb:45:
0e:4b:ee:b8:78:a1:7d:b1:9d:3c:f0:fa:92:ec:22:
b6:86:33:40:5d:2b:37:58:9a:4e:23:71:12:c1:80:
55:22:c9:4b:7d:de:a9:5c:c1:aa:7b:4c:d0:36:ca:
b1:85:de:4d:64:1b:cc:3b:0e:95:57:c2:9f:5e:22:
a8:c3:7c:12:8b:70:96:aa:ec:99:1a:72:d2:a5:6d:
51:ac:bd:00:c2:ee:9a:89:96:49:b5:43:d8:40:e2:
41:f6:a6:7d:4a:dc:ee:d1:e4:cd:7a:77:d5:44:e9:
ac:07:45:11:66:e8:c9:48:44:21:64:32:88:51:e5:
0e:d9:2b:74:70:88:68:ad:f5:92:97:30:24:87:29:
9f:2c:f5:a2:a4:47:97:81:b8:62:4e:75:13:4b:44:
33:8d:45:99:d5:32:4d:b9:25:dd:34:ff:5a:03:2f:
00:f2:b9:6a:55:69:02:f3:de:24:fc:08:4a:89:b3:
56:93:35:92:15:c1:ba:8d:99:ac:50:14:cb:b6:07:
b2:72:1c:c4:da:16:c7:df:85:f4:ca:81:46:d6:bc:
7f:a2:25:1f:9a:db:a8:6d:00:1b:b8:a8:b5:bd:a5:
53:42:9c:02:cc:dd:2c:ad:1f:78:a4:d3:a6:55:10:
f8:c8:24:d2:8b:80:89:80:50:bf:e0:60:db:9f:2d:
69:57:71:a8:27
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
X509v3 Key Usage:
Digital Signature, Key Encipherment, Key Agreement
X509v3 Extended Key Usage:
TLS Web Server Authentication
X509v3 Subject Key Identifier:
B6:45:EF:4A:DF:87:3B:92:21:E6:C8:3A:B3:36:B2:35:C3:AA:A4:CE
X509v3 Authority Key Identifier:
keyid:EB:42:34:D0:98:B0:AB:9F:F4:1B:6B:08:F7:CC:64:2E:EF:0E:2C:45
X509v3 Subject Alternative Name:
DNS:owncloud.domain.local, DNS:domain.local
X509v3 Certificate Policies:
Policy: 2.23.140.1.2.1
Policy: 1.3.6.1.4.1.23223.1.2.3
CPS: http://www.startssl.com/policy.pdf
User Notice:
Organization: StartCom Certification Authority
Number: 1
Explicit Text: This certificate was issued according to the Class 1 Validation requirements of the StartCom CA policy, reliance only for the intended purpose in compliance of the relying party obligations.
X509v3 CRL Distribution Points:
Full Name:
URI:http://crl.startssl.com/crt1-crl.crl
Authority Information Access:
OCSP - URI:http://ocsp.startssl.com/sub/class1/server/ca
CA Issuers - URI:http://aia.startssl.com/certs/sub.class1.server.ca.crt
X509v3 Issuer Alternative Name:
URI:http://www.startssl.com/
Signature Algorithm: sha256WithRSAEncryption
5e:87:55:b2:f2:54:c0:d6:3b:d9:d3:90:f1:38:27:46:31:24:
63:8c:9d:eb:a2:39:6d:f7:71:b6:5b:04:1f:90:7b:1d:46:77:
b8:45:9d:2d:af:24:4f:a2:24:95:2f:6e:70:e6:88:0c:17:a7:
6a:90:f6:7b:67:9c:e4:da:c6:de:ff:9d:cd:f6:45:7f:a9:51:
71:f3:44:db:f6:6f:59:51:e8:2d:b0:3d:38:03:1a:cc:6c:97:
f6:57:4d:f4:9b:ab:58:b9:be:c2:e1:db:cf:9b:6c:86:78:5e:
b6:48:37:33:46:be:8c:b9:7c:93:ce:2b:e4:31:d8:f5:29:16:
ad:b4:60:c8:0f:72:14:98:91:b7:1f:60:ee:7d:2a:52:28:14:
59:ab:59:9e:56:f0:f7:d6:40:e0:3b:d4:77:88:f3:f2:ab:15:
13:e8:ff:ce:06:71:29:c3:69:12:a4:c0:3f:de:e2:10:d7:ba:
c3:1d:ad:f4:a9:f7:af:0e:2d:db:ac:f7:02:3b:01:7d:df:b3:
82:a9:eb:0d:f9:3b:79:d3:0b:07:10:d8:f8:6d:ca:76:3f:91:
c5:37:cd:d2:af:90:5b:34:11:93:6f:3f:26:f7:af:4a:18:6e:
ce:bc:86:5f:8b:b9:48:4a:30:f2:8b:03:bd:ce:90:89:8d:d3:
de:b8:a6:b7
|
Ich pack die vHost der owncloud mal mit drauf → vHost owncloud.domain.local
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24 | <VirtualHost *:80>
# Server Details
ServerName domain.local
ServerAlias owncloud.domain.local
ServerAdmin webmaster@domain.local
# Wurzelverzeichnis und deren Einstellungen
DocumentRoot /var/www/owncloud
<Directory /var/www/owncloud>
Options Indexes FollowSymLinks MultiViews
AllowOverride All
Order allow,deny
Allow from all
</Directory>
# Logs
ErrorLog ${APACHE_LOG_DIR}/owncloud/error.log
CustomLog ${APACHE_LOG_DIR}/owncloud/access.log combined
# Umleiten auf HTTPS
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}
</VirtualHost>
|
SSL-vHost owncloud.domain.local
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40 | <virtualhost *:443>
# Server Details
ServerName domain.local
ServerAlias owncloud.domain.local
ServerAdmin webmaster@domain.local
# SSL Verschlüsselung
SSLEngine on
SSLCertificateFile /etc/certificates/owncloud.domain.local/domain.local.crt
SSLCertificateKeyFile /etc/certificates/certificate_authority/ca.key
# Hier muss eine PEM - Datei angegeben werden, die von einer externen CA (StartSSL, Comoodo etc. pp.) zugestellt wird.
SSLCertificateChainFile /etc/certificates/owncloud.domain.local/sub.class1.server.ca.pem
# SSL erzwingen
# Mit der max-age-Angabe wird dem Browser mitgeteilt, dass die entsprechende Website
# in den nächsten Tagen Angabe in Dekunden Sekunden) nur noch via HTTPS aufgerufen werden soll.
# Zur Benutzung dieser Zeile muss das Model "Header aktiviert werden durch den Befehl "sudo a2enmod headers"
#Header always set Strict-Transport-Security "max-age=15768000; includeSubDomains"
# Wurzelverzeichnis und deren Einstellungen
DocumentRoot /var/www/owncloud
<Directory /var/www/owncloud>
Options Indexes FollowSymLinks MultiViews
AllowOverride All
Order allow,deny
Allow from all
</Directory>
ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
<Directory "/usr/lib/cgi-bin">
AllowOverride none
Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
Order allow,deny
Allow from all
</Directory>
# Logs
ErrorLog ${APACHE_LOG_DIR}/ssl_owncloud/error.log
CustomLog ${APACHE_LOG_DIR}/ssl_owncloud/access.log combined
</virtualhost>
|
ports.conf
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18 | GNU nano 2.2.6 File: /etc/apache2/ports.conf
# If you just change the port or add more ports here, you will likely also
# have to change the VirtualHost statement in
# /etc/apache2/sites-enabled/000-default.conf
Listen 80
SSLStrictSNIVHostCheck on
<IfModule ssl_module>
Listen 443
</IfModule>
<IfModule mod_gnutls.c>
Listen 443
</IfModule>
# vim: syntax=apache ts=4 sw=4 sts=4 sr noet
|
|
|
misterunknown
Ehemalige
Anmeldungsdatum:
28. Oktober 2009
Beiträge: 4403
Wohnort: Sachsen
|
Da haben wir das Problem. Die Direktive "ServerName" ist bei dir nicht eindeutig. Das heißt, dass der Apache deine VHosts wahrscheinlich generell unvollständig trennt. Ein "ServerAlias" ist nur dazu da, mehrere Namen zuzulassen. In deinem Fall kannst du den Wert von "ServerAlias" direkt in "ServerName" übernehmen und "ServerAlias" einfach wegfallen lassen:
| <VirtualHost *:443>
ServerName owncloud.example.org
...
</VirtualHost>
<VirtualHost *:443>
ServerName poweradmin.example.org
...
</VirtualHost>
|
Bisher hat dein Setup funktioniert, weil die Aliase gematched haben, und damit der korrekte VHost angesprochen wurde. Für SSL ist aber die eigentliche Direktive "ServerName" ausschlaggebend, weil diese eindeutig ist (bzw. sein sollte) 😉
|
|
VolkerRaschek
(Themenstarter)
Anmeldungsdatum:
19. August 2014
Beiträge: 358
Wohnort: Eifel
|
Ahaa, du hast Recht.
Jetzt funktioniert es, so wie es sein sollte. Danke für die Hilfe, ich hätte sonst noch länger gesucht.
Da ich das Gefühl hab, dass du dich damit gut auskennst hab ich noch eine Frage. Die wird dir bestimmt leicht fallen zu beantworten. Jetzt bin ich genau an dem Punkt wo ich hin wollte, dass FireFox mir sagt, dass der Herausgeber sein Zertifikat selber signiert hat.
poweradmin.domain.local verwendet ein ungültiges Sicherheitszertifikat. Dem Zertifikat wird nicht vertraut, weil es vom Aussteller selbst signiert wurde. (Fehlercode: sec_error_unknown_issuer)
Um das zu lösen müsste ich ja eigentlich wieder bei StartSSL oder anderen Anbietern solch ein Zertifikat beantragen. Es gibt aber ja auch die Möglichkeit bei den Clients ein Zertifikat vom Server, was man mit dem Root Zertifikat erstellt zu importieren. Wie komme ich an solch ein Zertifikat für die Clients? Vielen lieben dank
Volker
|
|
misterunknown
Ehemalige
Anmeldungsdatum:
28. Oktober 2009
Beiträge: 4403
Wohnort: Sachsen
|
VolkerRaschek schrieb: Es gibt aber ja auch die Möglichkeit bei den Clients ein Zertifikat vom Server, was man mit dem Root Zertifikat erstellt zu importieren.
Richtig. Dazu erstellt man eine CA (Certificate Authority) und importiert das Root-Zertifikat im Client.
Wie komme ich an solch ein Zertifikat für die Clients?
Zum Erstellen einer CA gibt es hier eine gute deutschsprachige Anleitung
|
|
VolkerRaschek
(Themenstarter)
Anmeldungsdatum:
19. August 2014
Beiträge: 358
Wohnort: Eifel
|
Danke,
dann werde ich mich da mal dran geben. Viele lieben dank (:
Volker
|
|
sebix
Moderator, Webteam
Anmeldungsdatum:
14. April 2009
Beiträge: 5582
|
Ich bin nicht sicher, ob da zwingend eine CA erstellen musst um die Zertifikate in die Trust-Stores zu importieren. Du kannst auch das self-signed (gleichzeitig root und leaf) importieren. Wenn du viele Zertifikate hast, ist aber der Weg ueber die CA wieder einfacher, erfordert aber mehr Wissen zu X.509.
|