Ok, im ssl_engine_log hätte aber schon etwas in der Art von
[19/Jun/2003 13:34:07 01463] [info] Connection: Client IP: 192.168.8.28, Protocol: TLSv1, Cipher: RC4-MD5 (1
28/128 bits)
Tja, wenn nichts im Log steht, ist der Fehler auch schwer festzunageln. :/
stehen sollen (SSLLogLvel Info vorrausgesetzt).
Hab ihn bis debug hochgeschraubt, ohne wesentlich mehr Informationen zu bekommen.
[19/Jun/2003 18:36:36 01096] [info] Init: 6nd restart round (already detached)
[19/Jun/2003 18:36:36 01096] [info] Init: Reinitializing OpenSSL library
[19/Jun/2003 18:36:36 01096] [info] Init: Created hash-table (250 buckets) in shared memory (512000 bytes) for SSL session cache
[19/Jun/2003 18:36:36 01096] [info] Init: Seeding PRNG with 1160 bytes of entropy
[19/Jun/2003 18:36:36 01096] [info] Init: Configuring temporary RSA private keys (512/1024 bits)
[19/Jun/2003 18:36:36 01096] [info] Init: Configuring temporary DH parameters (512/1024 bits)
[19/Jun/2003 18:36:36 01096] [info] Init: Initializing (virtual) servers for SSL
[19/Jun/2003 18:36:36 01096] [info] Init: Configuring server buchhaltung.thiam.ch:443 for SSL protocol
[19/Jun/2003 18:36:36 01096] [trace] Init: (buchhaltung.thiam.ch:443) Creating new SSL context (protocols: SSLv2, SSLv3, TLSv1)
[19/Jun/2003 18:36:36 01096] [trace] Init: (buchhaltung.thiam.ch:443) Configuring permitted SSL ciphers [ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL]
[19/Jun/2003 18:36:36 01096] [trace] Init: (buchhaltung.thiam.ch:443) Configuring RSA server certificate
[19/Jun/2003 18:36:36 01096] [warn] Init: (buchhaltung.thiam.ch:443) RSA server certificate CommonName (CN) `localhost' does NOT match server name!?
[19/Jun/2003 18:36:36 01096] [trace] Init: (buchhaltung.thiam.ch:443) Configuring RSA server private key
Hm, eigentlich möchte ich schon, dass mehere virtuelle ssl-Hosts zwar dieselbe IP-Adresse haben, aber nach Namen unterschieden werden. Diese Änderung hatte jedenfalls keinen Einfluss.
Aber Du weisst doch das SSL-verschlüsslte Server nicht namens-basiert sein können, da die Entschlüsselung des Requests mit dem Host-Header erst nach dem Aufbau der SSL-Verbindung (Zetifikatsaustausch) erfolgen kann.
Weiss ich das? Vermutlich nicht. Um's mal mit eigenen Worten zu sagen: ich kann nicht virtuelle Webserver betreiben, die über https://server1.thiam.ch und https://server2.thaim.ch angesprochen werden, aber dieselbe IP-Adresse teilen?
[19/Jun/2003 17:21:52 01096] [warn] Init: (buchhaltung.thiam.ch:443) RSA server certificate CommonName (CN) `localhost' does NOT match server name!?
Das ist aber ein blöder Name, der schliesst die Akzeptanz durch einen Client schon aus (zumindest ohne Mecker). Das Zertifikat sollte auf den FQDN des Webservers ausgestellt sein.
Hm, ich gehe davon aus, dass Du mit blöd buchhaltung.thiam.ch gemeint hast. Ich verstehe nicht, was der Client-Name etwas mit der Akzeptanz bei der Authentifizierung des Zertifikates zu tun hat. Mir scheint, dass der Clent meckern muss, wenn das CA-Zertifikat noch nicht bekannt ist.
Auch ist mir nicht klar, woher das localhost stammt. buchhaltung.thiam.ch habe ich als Common Name bei der Zertifikat-Erzeugung angegeben.
Ansonsten teste Dein Server zur Sicherheit auch mal mit anderen Clients: z.B: "openssl s_client" (s. man s_client).
Aha, mal sehen.
Viel Spass noch,
:/ Danke
Thiemo
-- root ist die Wurzel allen Übels
--------------------------------------------------------------------------
Apache HTTP Server Mailing List "users-de" unsubscribe-Anfragen an [EMAIL PROTECTED]
sonstige Anfragen an [EMAIL PROTECTED]
--------------------------------------------------------------------------
