Virtual ssl host "terminates connection unexpectedly"
Hallo,
ich versuche einen virtuellen ssl-Host in Betrieb zu nehmen. Wenn ich
aber mit ihm verbinden möchte (Mozilla 1.3), bekomme ich nur die
folgende Fehlermeldung:
"The connection to buchhaltung.thiam.ch has terminated unexpectedly.
Some data may have been transferred."
Ich weiss nicht, was ich falsch konfiguriert habe (Gentoo Linux).
aus apache.conf
---
Include conf/commonapache.conf
ServerName www.thiam.ch
LockFile /etc/apache/httpd.lock
# Thiemo Kellner, [EMAIL PROTECTED], 2003-04-25
#Include conf/addon-modules/mailman.conf
Include conf/addon-modules/mod_ssl.conf
Include conf/addon-modules/mod_dav.conf
Include conf/addon-modules/mod_gzip.conf
#Include conf/addon-modules/mod_mp3.conf
Include conf/addon-modules/mod_php.conf
aus conf/commonapache.conf
--
NameVirtualHost *
Include /etc/apache/conf/buchhaltung.conf
conf/addon-modules/mod_ssl.conf
---
Listen 443
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl.crl
SSLPassPhraseDialog builtin
SSLSessionCacheshm:logs/ssl_scache(512000)
SSLSessionCacheTimeout 300
SSLMutex sem
SSLRandomSeed startup builtin
SSLRandomSeed connect builtin
SSLLog logs/ssl_engine_log
SSLLogLevel info
/etc/apache/conf/buchhaltung.conf
-
Servername buchhaltung.thiam.ch
ServerAdmin [EMAIL PROTECTED]
DocumentRoot /home/httpd/svhosts/buchhaltung
ErrorLog /var/log/apache/buchhaltung.thiam.ch-error.log
CustomLog /var/log/apache/buchhaltung.thiam.ch-access.log common
TransferLog /var/log/apache/buchhaltung.thiam.ch-access.log
# SSL-Aktivierung
SSLEngine on
SSLCipherSuite
ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
SSLCertificateFile conf/ssl/server.crt
SSLCertificateKeyFile conf/ssl/server.key
#SSLCertificateFile /etc/apache/conf/ssl/apache.pem
SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown
RewriteEngine On
RewriteOptions inherit
#Options +Indexes
#IndexOptions FancyIndexing
#
# DirectoryIndex home.html home.php home.htm home.cgi index.html
index.php index.htm index.cgi
#
#
# php3_magic_quotes_gpc Off
# php3_track_vars On
# php3_include_path .
#
#
# php_flag magic_quotes_gpc Off
# php_flag track_vars On
# php_flag register_globals On
# php_value include_path .
#
Alias /buchhaltung /home/httpd/svhosts/buchhaltung
Options +Indexes
IndexOptions FancyIndexing
SSLRequireSSL
SSLRequire %{SSL_CIPHER_USEKEYSIZE} >= 128
DirectoryIndex home.html home.php home.htm home.cgi index.html
index.php index.htm index.cgi
php3_magic_quotes_gpc Off
php3_track_vars On
php3_include_path .
php_flag magic_quotes_gpc Off
php_flag track_vars On
php_flag register_globals On
php_value include_path .
order deny,allow
deny from all
allow from all
Kann mir jemand einen Tip geben, was ich falsch gemacht habe?
Gruss
Thiemo
--
root ist die Wurzel allen Übels
--
Apache HTTP Server Mailing List "users-de"
unsubscribe-Anfragen an [EMAIL PROTECTED]
sonstige Anfragen an [EMAIL PROTECTED]
--
Re: Virtual ssl host "terminates connection unexpectedly"
Akita wrote: Hallo, ich versuche einen virtuellen ssl-Host in Betrieb zu nehmen. Wenn ich aber mit ihm verbinden möchte (Mozilla 1.3), bekomme ich nur die folgende Fehlermeldung: "The connection to buchhaltung.thiam.ch has terminated unexpectedly. Some data may have been transferred." Ich weiss nicht, was ich falsch konfiguriert habe (Gentoo Linux). Hast Du im error_log nachgesehen, ob Apache-Prozesse an einem SegFault verstorben sind? Gibt es weitere Hinweise im ssl_engine.log? aus apache.conf --- Include conf/commonapache.conf ServerName www.thiam.ch LockFile /etc/apache/httpd.lock # Thiemo Kellner, [EMAIL PROTECTED], 2003-04-25 #Include conf/addon-modules/mailman.conf Include conf/addon-modules/mod_ssl.conf Include conf/addon-modules/mod_dav.conf Include conf/addon-modules/mod_gzip.conf #Include conf/addon-modules/mod_mp3.conf Include conf/addon-modules/mod_php.conf aus conf/commonapache.conf -- NameVirtualHost * Hier möchtest Du vielleicht lieber NameVirtualHost *:80 probieren, damit nicht auch "*:443" zum namensbasierten VirtualHost aufsteigt. Include /etc/apache/conf/buchhaltung.conf [...] gruss, .max -- Apache HTTP Server Mailing List "users-de" unsubscribe-Anfragen an [EMAIL PROTECTED] sonstige Anfragen an [EMAIL PROTECTED] --
Re: Virtual ssl host "terminates connection unexpectedly"
Hast Du im error_log nachgesehen, ob Apache-Prozesse an einem SegFault verstorben sind? Gibt es weitere Hinweise im ssl_engine.log? error_log und ssl_engine_log zeigen rein gar nichts, nicht nichts Auffälliges, sondern keine einzige Zeile, die mit einem Verbindungsversuch heute in Zusammenhang stehen können. :( aus apache.conf --- Include conf/commonapache.conf ServerName www.thiam.ch LockFile /etc/apache/httpd.lock # Thiemo Kellner, [EMAIL PROTECTED], 2003-04-25 #Include conf/addon-modules/mailman.conf Include conf/addon-modules/mod_ssl.conf Include conf/addon-modules/mod_dav.conf Include conf/addon-modules/mod_gzip.conf #Include conf/addon-modules/mod_mp3.conf Include conf/addon-modules/mod_php.conf aus conf/commonapache.conf -- NameVirtualHost * Hier möchtest Du vielleicht lieber NameVirtualHost *:80 probieren, damit nicht auch "*:443" zum namensbasierten VirtualHost aufsteigt. Hm, eigentlich möchte ich schon, dass mehere virtuelle ssl-Hosts zwar dieselbe IP-Adresse haben, aber nach Namen unterschieden werden. Diese Änderung hatte jedenfalls keinen Einfluss. Beim Reload habe ich aber folgenden Eintrag in ssl_engine_log gefunden, bin mir aber über die Bedeutung nicht im Klaren: [19/Jun/2003 17:21:52 01096] [info] Init: Reinitializing OpenSSL library [19/Jun/2003 17:21:52 01096] [info] Init: Created hash-table (250 buckets) in shared memory (512000 bytes) for SSL session cache [19/Jun/2003 17:21:52 01096] [info] Init: Seeding PRNG with 1160 bytes of entropy [19/Jun/2003 17:21:52 01096] [info] Init: Configuring temporary RSA private keys (512/1024 bits) [19/Jun/2003 17:21:52 01096] [info] Init: Configuring temporary DH parameters (512/1024 bits) [19/Jun/2003 17:21:52 01096] [info] Init: Initializing (virtual) servers for SSL [19/Jun/2003 17:21:52 01096] [info] Init: Configuring server buchhaltung.thiam.ch:443 for SSL protocol [19/Jun/2003 17:21:52 01096] [warn] Init: (buchhaltung.thiam.ch:443) RSA server certificate CommonName (CN) `localhost' does NOT match server name!? Gruss Thiemo -- root ist die Wurzel allen Übels -- Apache HTTP Server Mailing List "users-de" unsubscribe-Anfragen an [EMAIL PROTECTED] sonstige Anfragen an [EMAIL PROTECTED] --
Re: Virtual ssl host "terminates connection unexpectedly"
Hallo, Akita wrote: Hast Du im error_log nachgesehen, ob Apache-Prozesse an einem SegFault verstorben sind? Gibt es weitere Hinweise im ssl_engine.log? error_log und ssl_engine_log zeigen rein gar nichts, nicht nichts Auffälliges, sondern keine einzige Zeile, die mit einem Verbindungsversuch heute in Zusammenhang stehen können. :( :). Ist doch gut, musst Du nicht alles neu kompilieren. Ok, im ssl_engine_log hätte aber schon etwas in der Art von [19/Jun/2003 13:34:07 01463] [info] Connection: Client IP: 192.168.8.28, Protocol: TLSv1, Cipher: RC4-MD5 (1 28/128 bits) stehen sollen (SSLLogLvel Info vorrausgesetzt). aus apache.conf --- Include conf/commonapache.conf ServerName www.thiam.ch LockFile /etc/apache/httpd.lock # Thiemo Kellner, [EMAIL PROTECTED], 2003-04-25 #Include conf/addon-modules/mailman.conf Include conf/addon-modules/mod_ssl.conf Include conf/addon-modules/mod_dav.conf Include conf/addon-modules/mod_gzip.conf #Include conf/addon-modules/mod_mp3.conf Include conf/addon-modules/mod_php.conf aus conf/commonapache.conf -- NameVirtualHost * Hier möchtest Du vielleicht lieber NameVirtualHost *:80 probieren, damit nicht auch "*:443" zum namensbasierten VirtualHost aufsteigt. Hm, eigentlich möchte ich schon, dass mehere virtuelle ssl-Hosts zwar dieselbe IP-Adresse haben, aber nach Namen unterschieden werden. Diese Änderung hatte jedenfalls keinen Einfluss. Aber Du weisst doch das SSL-verschlüsslte Server nicht namens-basiert sein können, da die Entschlüsselung des Requests mit dem Host-Header erst nach dem Aufbau der SSL-Verbindung (Zetifikatsaustausch) erfolgen kann. Beim Reload habe ich aber folgenden Eintrag in ssl_engine_log gefunden, bin mir aber über die Bedeutung nicht im Klaren: [19/Jun/2003 17:21:52 01096] [info] Init: Reinitializing OpenSSL library [...] [19/Jun/2003 17:21:52 01096] [warn] Init: (buchhaltung.thiam.ch:443) RSA server certificate CommonName (CN) `localhost' does NOT match server name!? Das ist aber ein blöder Name, der schliesst die Akzeptanz durch einen Client schon aus (zumindest ohne Mecker). Das Zertifikat sollte auf den FQDN des Webservers ausgestellt sein. Ansonsten teste Dein Server zur Sicherheit auch mal mit anderen Clients: z.B: "openssl s_client" (s. man s_client). Viel Spass noch, .max -- Apache HTTP Server Mailing List "users-de" unsubscribe-Anfragen an [EMAIL PROTECTED] sonstige Anfragen an [EMAIL PROTECTED] --
Re: Virtual ssl host "terminates connection unexpectedly"
Ok, im ssl_engine_log hätte aber schon etwas in der Art von [19/Jun/2003 13:34:07 01463] [info] Connection: Client IP: 192.168.8.28, Protocol: TLSv1, Cipher: RC4-MD5 (1 28/128 bits) Tja, wenn nichts im Log steht, ist der Fehler auch schwer festzunageln. :/ stehen sollen (SSLLogLvel Info vorrausgesetzt). Hab ihn bis debug hochgeschraubt, ohne wesentlich mehr Informationen zu bekommen. [19/Jun/2003 18:36:36 01096] [info] Init: 6nd restart round (already detached) [19/Jun/2003 18:36:36 01096] [info] Init: Reinitializing OpenSSL library [19/Jun/2003 18:36:36 01096] [info] Init: Created hash-table (250 buckets) in shared memory (512000 bytes) for SSL session cache [19/Jun/2003 18:36:36 01096] [info] Init: Seeding PRNG with 1160 bytes of entropy [19/Jun/2003 18:36:36 01096] [info] Init: Configuring temporary RSA private keys (512/1024 bits) [19/Jun/2003 18:36:36 01096] [info] Init: Configuring temporary DH parameters (512/1024 bits) [19/Jun/2003 18:36:36 01096] [info] Init: Initializing (virtual) servers for SSL [19/Jun/2003 18:36:36 01096] [info] Init: Configuring server buchhaltung.thiam.ch:443 for SSL protocol [19/Jun/2003 18:36:36 01096] [trace] Init: (buchhaltung.thiam.ch:443) Creating new SSL context (protocols: SSLv2, SSLv3, TLSv1) [19/Jun/2003 18:36:36 01096] [trace] Init: (buchhaltung.thiam.ch:443) Configuring permitted SSL ciphers [ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL] [19/Jun/2003 18:36:36 01096] [trace] Init: (buchhaltung.thiam.ch:443) Configuring RSA server certificate [19/Jun/2003 18:36:36 01096] [warn] Init: (buchhaltung.thiam.ch:443) RSA server certificate CommonName (CN) `localhost' does NOT match server name!? [19/Jun/2003 18:36:36 01096] [trace] Init: (buchhaltung.thiam.ch:443) Configuring RSA server private key Hm, eigentlich möchte ich schon, dass mehere virtuelle ssl-Hosts zwar dieselbe IP-Adresse haben, aber nach Namen unterschieden werden. Diese Änderung hatte jedenfalls keinen Einfluss. Aber Du weisst doch das SSL-verschlüsslte Server nicht namens-basiert sein können, da die Entschlüsselung des Requests mit dem Host-Header erst nach dem Aufbau der SSL-Verbindung (Zetifikatsaustausch) erfolgen kann. Weiss ich das? Vermutlich nicht. Um's mal mit eigenen Worten zu sagen: ich kann nicht virtuelle Webserver betreiben, die über https://server1.thiam.ch und https://server2.thaim.ch angesprochen werden, aber dieselbe IP-Adresse teilen? [19/Jun/2003 17:21:52 01096] [warn] Init: (buchhaltung.thiam.ch:443) RSA server certificate CommonName (CN) `localhost' does NOT match server name!? Das ist aber ein blöder Name, der schliesst die Akzeptanz durch einen Client schon aus (zumindest ohne Mecker). Das Zertifikat sollte auf den FQDN des Webservers ausgestellt sein. Hm, ich gehe davon aus, dass Du mit blöd buchhaltung.thiam.ch gemeint hast. Ich verstehe nicht, was der Client-Name etwas mit der Akzeptanz bei der Authentifizierung des Zertifikates zu tun hat. Mir scheint, dass der Clent meckern muss, wenn das CA-Zertifikat noch nicht bekannt ist. Auch ist mir nicht klar, woher das localhost stammt. buchhaltung.thiam.ch habe ich als Common Name bei der Zertifikat-Erzeugung angegeben. Ansonsten teste Dein Server zur Sicherheit auch mal mit anderen Clients: z.B: "openssl s_client" (s. man s_client). Aha, mal sehen. Viel Spass noch, :/ Danke Thiemo -- root ist die Wurzel allen Übels -- Apache HTTP Server Mailing List "users-de" unsubscribe-Anfragen an [EMAIL PROTECTED] sonstige Anfragen an [EMAIL PROTECTED] --
Re: Virtual ssl host "terminates connection unexpectedly"
Hallo, Thiemo Kellner wrote: Ok, im ssl_engine_log hätte aber schon etwas in der Art von [19/Jun/2003 13:34:07 01463] [info] Connection: Client IP: 192.168.8.28, Protocol: TLSv1, Cipher: RC4-MD5 (1 28/128 bits) Tja, wenn nichts im Log steht, ist der Fehler auch schwer festzunageln. :/ stehen sollen (SSLLogLvel Info vorrausgesetzt). Hab ihn bis debug hochgeschraubt, ohne wesentlich mehr Informationen zu bekommen. [19/Jun/2003 18:36:36 01096] [info] Init: 6nd restart round (already detached) [...] [19/Jun/2003 18:36:36 01096] [trace] Init: (buchhaltung.thiam.ch:443) Configuring RSA server private key Und auch hier zeigt sich kein Verbindungsaufbau?! Hm, eigentlich möchte ich schon, dass mehere virtuelle ssl-Hosts zwar dieselbe IP-Adresse haben, aber nach Namen unterschieden werden. Diese Änderung hatte jedenfalls keinen Einfluss. Aber Du weisst doch das SSL-verschlüsslte Server nicht namens-basiert sein können, da die Entschlüsselung des Requests mit dem Host-Header erst nach dem Aufbau der SSL-Verbindung (Zetifikatsaustausch) erfolgen kann. Weiss ich das? Vermutlich nicht. Um's mal mit eigenen Worten zu sagen: ich kann nicht virtuelle Webserver betreiben, die über https://server1.thiam.ch und https://server2.thaim.ch angesprochen werden, aber dieselbe IP-Adresse teilen? AFAIR gibt es wohl Browser, die auch Zertifikate mit einem CN in der Form '*.domain.tld' (* als Sternchen) akzeptieren. Evtl. könntest Du über eine solches auch namensbasierte Vhosts realisieren. [19/Jun/2003 17:21:52 01096] [warn] Init: (buchhaltung.thiam.ch:443) RSA server certificate CommonName (CN) `localhost' does NOT match server name!? Das ist aber ein blöder Name, der schliesst die Akzeptanz durch einen Client schon aus (zumindest ohne Mecker). Das Zertifikat sollte auf den FQDN des Webservers ausgestellt sein. Hm, ich gehe davon aus, dass Du mit blöd buchhaltung.thiam.ch gemeint hast. Ich verstehe nicht, was der Client-Name etwas mit der Akzeptanz bei der Authentifizierung des Zertifikates zu tun hat. Mir scheint, dass der Clent meckern muss, wenn das CA-Zertifikat noch nicht bekannt ist. Ne, ich dachte 'localhost' sei Dein CommonName. Also Mozilla meckert erstmal immer wenn der CN nicht mit dem Servernamen übereinstimmt zu dem eine SSL-Verbindung aufgebaut werden soll, oder? Auch ist mir nicht klar, woher das localhost stammt. buchhaltung.thiam.ch habe ich als Common Name bei der Zertifikat-Erzeugung angegeben. Das kannst Du in der Ausgabe von $ openssl x509 -noout -text -in prüfen. Vielleicht stimmt das aber auch etwas mit der Angabe von SSLCertificateFile nicht? [...] Ansonsten sehe ich leider nicht weiter wo die Ursache des Problems liegen könnte. Du kannst ja mal noch folgende Sachen testen - das SnakeOil-Zertifikat verwenden, dass Du in den Apache-Sourcen unter './conf/ssl.crt/snakeoil-rsa.crt' findest - SSLRandomSeed für connect und startup auf /dev/unrandom stellen - mit 'openssl s_client' von localhost den Server testen. > $ openssl s_client -connect 127.0.0.1:443 > > 8< [ Verbindungsinfo ] 8< > > GET / HTTP/1.0 > Host: www.snakeoil.dom bis dann, .max -- Apache HTTP Server Mailing List "users-de" unsubscribe-Anfragen an [EMAIL PROTECTED] sonstige Anfragen an [EMAIL PROTECTED] --
Re: Virtual ssl host "terminates connection unexpectedly"
Hallo, Thiemo Kellner wrote: >> Ok, im ssl_engine_log hätte aber schon etwas in der Art von >> >> [19/Jun/2003 13:34:07 01463] [info] Connection: Client IP: >> 192.168.8.28, Protocol: TLSv1, Cipher: RC4-MD5 (1 >> 28/128 bits) > > > Tja, wenn nichts im Log steht, ist der Fehler auch schwer festzunageln. :/ > >> stehen sollen (SSLLogLvel Info vorrausgesetzt). > > > Hab ihn bis debug hochgeschraubt, ohne wesentlich mehr Informationen zu > bekommen. > > [19/Jun/2003 18:36:36 01096] [info] Init: 6nd restart round (already > detached) [...] > [19/Jun/2003 18:36:36 01096] [trace] Init: (buchhaltung.thiam.ch:443) > Configuring RSA server private key Und auch hier zeigt sich kein Verbindungsaufbau?! > >>> Hm, eigentlich möchte ich schon, dass mehere virtuelle ssl-Hosts zwar >>> dieselbe IP-Adresse haben, aber nach Namen unterschieden werden. >>> Diese Änderung hatte jedenfalls keinen Einfluss. >> >> >> >> Aber Du weisst doch das SSL-verschlüsslte Server nicht namens-basiert >> sein können, da die Entschlüsselung des Requests mit dem Host-Header >> erst nach dem Aufbau der SSL-Verbindung (Zetifikatsaustausch) erfolgen >> kann. > > > Weiss ich das? Vermutlich nicht. Um's mal mit eigenen Worten zu sagen: > ich kann nicht virtuelle Webserver betreiben, die über > https://server1.thiam.ch und https://server2.thaim.ch angesprochen > werden, aber dieselbe IP-Adresse teilen? AFAIR gibt es wohl Browser, die auch Zertifikate mit einem CN in der Form '*.domain.tld' (* als Sternchen) akzeptieren. Evtl. könntest Du über eine solches auch namensbasierte Vhosts realisieren. > >>> [19/Jun/2003 17:21:52 01096] [warn] Init: (buchhaltung.thiam.ch:443) >>> RSA server certificate CommonName (CN) `localhost' does NOT match >>> server name!? >> >> >> >> Das ist aber ein blöder Name, der schliesst die Akzeptanz durch einen >> Client schon aus (zumindest ohne Mecker). Das Zertifikat sollte auf >> den FQDN des Webservers ausgestellt sein. > > > Hm, ich gehe davon aus, dass Du mit blöd buchhaltung.thiam.ch gemeint > hast. Ich verstehe nicht, was der Client-Name etwas mit der Akzeptanz > bei der Authentifizierung des Zertifikates zu tun hat. Mir scheint, dass > der Clent meckern muss, wenn das CA-Zertifikat noch nicht bekannt ist. Ne, ich dachte 'localhost' sei Dein CommonName. Also Mozilla meckert erstmal immer wenn der CN nicht mit dem Servernamen übereinstimmt zu dem eine SSL-Verbindung aufgebaut werden soll, oder? > > Auch ist mir nicht klar, woher das localhost stammt. > buchhaltung.thiam.ch habe ich als Common Name bei der > Zertifikat-Erzeugung angegeben. Das kannst Du in der Ausgabe von $ openssl x509 -noout -text -in prüfen. Vielleicht stimmt das aber auch etwas mit der Angabe von SSLCertificateFile nicht? [...] Ansonsten sehe ich leider nicht weiter wo die Ursache des Problems liegen könnte. Du kannst ja mal noch folgende Sachen testen - das SnakeOil-Zertifikat verwenden, dass Du in den Apache-Sourcen unter './conf/ssl.crt/snakeoil-rsa.crt' findest - SSLRandomSeed für connect und startup auf /dev/unrandom stellen - mit 'openssl s_client' von localhost den Server testen. > $ openssl s_client -connect 127.0.0.1:443 > > 8< [ Verbindungsinfo ] 8< > > GET / HTTP/1.0 > Host: www.snakeoil.dom bis dann, .max -- Apache HTTP Server Mailing List "users-de" unsubscribe-Anfragen an [EMAIL PROTECTED] sonstige Anfragen an [EMAIL PROTECTED] --
Re: Virtual ssl host "terminates connection unexpectedly"
>>> aus conf/commonapache.conf >>> -- >>> NameVirtualHost * >> >> >> Hier möchtest Du vielleicht lieber >> NameVirtualHost *:80 >> probieren, damit nicht auch "*:443" zum namensbasierten VirtualHost >> aufsteigt. > > Hm, eigentlich möchte ich schon, dass mehere virtuelle ssl-Hosts zwar > dieselbe IP-Adresse haben, aber nach Namen unterschieden werden. Diese > Änderung hatte jedenfalls keinen Einfluss. Es ist doch wohl klar das SSL und NameBased Vhosts nicht in Kombination verwendet werden können. Philon -- Apache HTTP Server Mailing List "users-de" unsubscribe-Anfragen an [EMAIL PROTECTED] sonstige Anfragen an [EMAIL PROTECTED] --
Re: Virtual ssl host "terminates connection unexpectedly"
Hm, eigentlich möchte ich schon, dass mehere virtuelle ssl-Hosts zwar dieselbe IP-Adresse haben, aber nach Namen unterschieden werden. Diese Änderung hatte jedenfalls keinen Einfluss. Es ist doch wohl klar das SSL und NameBased Vhosts nicht in Kombination verwendet werden können. Schön, wenn es für Dich klar ist. Leider hilft so eine Aussage überhaupt nicht weiter; weder führt sie zu einer Lösung eines Problems noch trägt sie zu tieferem Verständnis bei. Gruss Thiemo -- root ist die Wurzel allen Übels -- Apache HTTP Server Mailing List "users-de" unsubscribe-Anfragen an [EMAIL PROTECTED] sonstige Anfragen an [EMAIL PROTECTED] --
Re: Virtual ssl host "terminates connection unexpectedly"
Hallo Max Dittrich wrote: > [19/Jun/2003 18:36:36 01096] [trace] Init: (buchhaltung.thiam.ch:443) > Configuring RSA server private key Und auch hier zeigt sich kein Verbindungsaufbau?! Nö. :( AFAIR gibt es wohl Browser, die auch Zertifikate mit einem CN in der Form '*.domain.tld' (* als Sternchen) akzeptieren. Evtl. könntest Du über eine solches auch namensbasierte Vhosts realisieren. Hm ja. Ich möchte eigentlich nicht allzu viel Aufwand in meinen Webserver stecken. Mal sehen. Jetzt ist aber erst mal Urlaub angesagt. >>> [19/Jun/2003 17:21:52 01096] [warn] Init: (buchhaltung.thiam.ch:443) >>> RSA server certificate CommonName (CN) `localhost' does NOT match >>> server name!? >> >> Das ist aber ein blöder Name, der schliesst die Akzeptanz durch einen [...] > Hm, ich gehe davon aus, dass Du mit blöd buchhaltung.thiam.ch gemeint [...] Ne, ich dachte 'localhost' sei Dein CommonName. Also Mozilla meckert erstmal immer wenn der CN nicht mit dem Servernamen übereinstimmt zu dem eine SSL-Verbindung aufgebaut werden soll, oder? Ja, richtig. > Auch ist mir nicht klar, woher das localhost stammt. > buchhaltung.thiam.ch habe ich als Common Name bei der > Zertifikat-Erzeugung angegeben. Das kannst Du in der Ausgabe von $ openssl x509 -noout -text -in Certificate: Data: Version: 3 (0x2) Serial Number: 1 (0x1) Signature Algorithm: md5WithRSAEncryption Issuer: C=CH, ST=Zuerich, L=Winterthur, O=Private (thiam.ch), CN=Thiemo Kellner/[EMAIL PROTECTED] Validity Not Before: Jun 19 16:13:19 2003 GMT Not After : Jun 18 16:13:19 2004 GMT Subject: C=CH, ST=Zuerich, L=Winterthur, O=Private buchhaltung.thiam.ch, OU=buchhaltung.thiam.ch, CN=buchhaltung.thiam.ch/[EMAIL PROTECTED] Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (1024 bit) Modulus (1024 bit): 00:c7:d6:4f:b8:6e:51:f4:63:ff:6c:25:5d:09:21: 42:36:41:7a:64:a1:24:96:04:07:98:d3:93:cb:98: 19:e6:b6:36:05:3e:cc:44:a1:fe:7a:06:c8:1c:39: cb:91:05:b1:01:8f:07:84:de:14:f2:a9:a1:ec:35: de:00:27:f2:53:55:59:7f:cb:5d:52:95:da:94:ef: ab:4f:c3:82:ae:ae:89:3c:6a:83:f7:2e:d0:dd:ea: 28:a8:2c:09:d4:95:b4:d4:d5:d3:56:6d:5b:1a:af: cf:ec:b4:b0:1d:76:6f:85:03:d6:9f:14:da:ab:2d: 7a:6c:4a:d2:df:8b:04:f1:af Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Basic Constraints: CA:FALSE Netscape Comment: OpenSSL Generated Certificate X509v3 Subject Key Identifier: A4:B4:A7:3D:1D:30:EE:4B:89:DD:A2:56:D5:35:08:B0:C6:95:1A:2A X509v3 Authority Key Identifier: keyid:9A:0E:5A:1D:B7:C3:7C:1D:5D:9D:1A:C8:3F:28:8E:6E:09:B5:BB:C8 DirName:/C=CH/ST=Zuerich/L=Winterthur/O=Private (thiam.ch)/CN=Thiemo Kellner/[EMAIL PROTECTED] serial:00 Signature Algorithm: md5WithRSAEncryption [...] Sieht nach meinem Dafürhalten vernünftig aus. Immerhin hat mir Dein s_client-Tip nach einen Anhaltspunkt gegeben, den zu lösen ich aber noch keine Ahnung habe: bash-2.05b$ openssl s_client -connect buchhaltung.thiam.ch:443 CONNECTED(0003) 21383:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:470: Ein wenig Internet-Recherche hat ergeben: bash-2.05b$ openssl s_client -connect buchhaltung.thiam.ch:443 -state -debug CONNECTED(0003) SSL_connect:before/connect initialization write to 08154B48 [08154B90] (130 bytes => 130 (0x82)) - 80 80 01 03 01 00 57 00-00 00 20 00 00 16 00 00 ..W... . 0010 - 13 00 00 0a 07 00 c0 00-00 66 00 00 07 00 00 05 .f.. 0020 - 00 00 04 05 00 80 03 00-80 01 00 80 08 00 80 00 0030 - 00 65 00 00 64 00 00 63-00 00 62 00 00 61 00 00 .e..d..c..b..a.. 0040 - 60 00 00 15 00 00 12 00-00 09 06 00 40 00 00 14 [EMAIL PROTECTED] 0050 - 00 00 11 00 00 08 00 00-06 00 00 03 04 00 80 02 0060 - 00 80 f2 b1 d8 ce b4 24-ef 27 77 47 8e 51 0c e0 ...$.'wG.Q.. 0070 - ed 78 9d d8 26 7f 52 e5-a5 10 c8 14 d3 fb 3f 84 .x..&.R...?. 0080 - 07 76 .v SSL_connect:SSLv2/v3 write client hello A read from 08154B48 [0815A0F0] (7 bytes => 7 (0x7)) - 3c 21 44 4f 43 54 59 SSL_connect:error in SSLv2/v3 read server hello A 25185:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:470: Wie Du schon geschrieben hast, ist es wohl nicht möglich mehrere https-vhosts auf ein und derselben IP-Adresse zu betreiben. Vielen Dank, Max. Gruss Thiemo -- root ist die Wurzel allen Übels -- Apache HTTP Server Mailing List "users-de" unsubsc
Re: Virtual ssl host "terminates connection unexpectedly"
On Samstag, 21. Juni 2003 00:45, Thiemo Kellner wrote: > Schön, wenn es für Dich klar ist. Leider hilft so eine Aussage > überhaupt nicht weiter; weder führt sie zu einer Lösung eines Problems > noch trägt sie zu tieferem Verständnis bei. Bei name-based virtual hosts wird aus der http-Anfrage des Clients ermittelt, mit welchem Host er reden möchte. Diese Information wird aber schon SSL-verschlüsselt übertragen. Welchen Schlüssel der Server nun nehmen muß um an die Info heranzukommen, kann er nur mit Hilfe des Server-Names erfahren und da beißt sich die Katze in den Schwanz. Ein Ausweg wäre, allen virtuellen Hosts den gleichen Schlüssel zu geben, aber aus gutem Grund akzeptieren viele Clients keine Zertifikate, die nicht exakt für den Host ausgestellt sind mit dem sie reden. Ein anderer ist, daß der Apache einfach alle durchprobiert, aber erstens weiß ich nicht, ob das cryptologisch in diesem Fall überhaupt geht. Zweitens müßte man dazu den Apache selbst patchen. Der gangbarste Weg dürfte sein, für alle virtuellen Hosts einen gemeinsamen SSL-Host einzurichten und die Unterscheidung über Unterverzeichnisse zu machen. -- Emil "nobs" Obermayr http://tigress.com/nobs/ -- Apache HTTP Server Mailing List "users-de" unsubscribe-Anfragen an [EMAIL PROTECTED] sonstige Anfragen an [EMAIL PROTECTED] --
Re: Virtual ssl host "terminates connection unexpectedly"
Emil Obermayr wrote: Bei name-based virtual hosts wird aus der http-Anfrage des Clients ermittelt, mit welchem Host er reden möchte. Diese Information wird aber schon SSL-verschlüsselt übertragen. Welchen Schlüssel der Server nun nehmen muß um an die Info heranzukommen, kann er nur mit Hilfe des Server-Names erfahren und da beißt sich die Katze in den Schwanz. Hm, da hapert's schon mit meinem Verständnis. Wie kann eine Kommunikation stattfinden, wenn noch keine öffetnlichen Schlüssel ausgetauscht wurden? Müsste die Gegenseite nicht "Bahnhof" verstehen? Der gangbarste Weg dürfte sein, für alle virtuellen Hosts einen gemeinsamen SSL-Host einzurichten und die Unterscheidung über Unterverzeichnisse zu machen. Werde ich vermutlich auch machen. Die ssl-verschlüsselten Seiten müssen eh nicht öffentlich zugänglich sein, so dass ich auch auf Bequemlichkeit verzichten kann. Vielen Dank für Deine Erklärungen. Gruss Thiemo -- root ist die Wurzel allen Übels -- Apache HTTP Server Mailing List "users-de" unsubscribe-Anfragen an [EMAIL PROTECTED] sonstige Anfragen an [EMAIL PROTECTED] --
