Hallo,
Akita wrote:
Hast Du im error_log nachgesehen, ob Apache-Prozesse an einem SegFault verstorben sind? Gibt es weitere Hinweise im ssl_engine.log?
error_log und ssl_engine_log zeigen rein gar nichts, nicht nichts Auffälliges, sondern keine einzige Zeile, die mit einem Verbindungsversuch heute in Zusammenhang stehen können. :(
:). Ist doch gut, musst Du nicht alles neu kompilieren.
Ok, im ssl_engine_log hätte aber schon etwas in der Art von
[19/Jun/2003 13:34:07 01463] [info] Connection: Client IP: 192.168.8.28, Protocol: TLSv1, Cipher: RC4-MD5 (1
28/128 bits)
stehen sollen (SSLLogLvel Info vorrausgesetzt).
aus apache.conf --------------- Include conf/commonapache.conf ServerName www.thiam.ch LockFile /etc/apache/httpd.lock # Thiemo Kellner, [EMAIL PROTECTED], 2003-04-25 #Include conf/addon-modules/mailman.conf Include conf/addon-modules/mod_ssl.conf Include conf/addon-modules/mod_dav.conf Include conf/addon-modules/mod_gzip.conf #Include conf/addon-modules/mod_mp3.conf Include conf/addon-modules/mod_php.conf
aus conf/commonapache.conf -------------------------- NameVirtualHost *
Hier möchtest Du vielleicht lieber
NameVirtualHost *:80
probieren, damit nicht auch "*:443" zum namensbasierten VirtualHost aufsteigt.
Hm, eigentlich möchte ich schon, dass mehere virtuelle ssl-Hosts zwar dieselbe IP-Adresse haben, aber nach Namen unterschieden werden. Diese Änderung hatte jedenfalls keinen Einfluss.
Aber Du weisst doch das SSL-verschlüsslte Server nicht namens-basiert sein können, da die Entschlüsselung des Requests mit dem Host-Header erst nach dem Aufbau der SSL-Verbindung (Zetifikatsaustausch) erfolgen kann.
Beim Reload habe ich aber folgenden Eintrag in ssl_engine_log gefunden, bin mir aber über die Bedeutung nicht im Klaren:
[19/Jun/2003 17:21:52 01096] [info] Init: Reinitializing OpenSSL library
[...]
[19/Jun/2003 17:21:52 01096] [warn] Init: (buchhaltung.thiam.ch:443) RSA server certificate CommonName (CN) `localhost' does NOT match server name!?
Das ist aber ein blöder Name, der schliesst die Akzeptanz durch einen Client schon aus (zumindest ohne Mecker). Das Zertifikat sollte auf den FQDN des Webservers ausgestellt sein.
Ansonsten teste Dein Server zur Sicherheit auch mal mit anderen Clients: z.B: "openssl s_client" (s. man s_client).
Viel Spass noch, .max
--------------------------------------------------------------------------
Apache HTTP Server Mailing List "users-de" unsubscribe-Anfragen an [EMAIL PROTECTED]
sonstige Anfragen an [EMAIL PROTECTED]
--------------------------------------------------------------------------
