Hallo,
Thiemo Kellner wrote:
Ok, im ssl_engine_log hätte aber schon etwas in der Art von
[19/Jun/2003 13:34:07 01463] [info] Connection: Client IP: 192.168.8.28, Protocol: TLSv1, Cipher: RC4-MD5 (1
28/128 bits)
Tja, wenn nichts im Log steht, ist der Fehler auch schwer festzunageln. :/
stehen sollen (SSLLogLvel Info vorrausgesetzt).
Hab ihn bis debug hochgeschraubt, ohne wesentlich mehr Informationen zu bekommen.
[19/Jun/2003 18:36:36 01096] [info] Init: 6nd restart round (already detached)
[...]
[19/Jun/2003 18:36:36 01096] [trace] Init: (buchhaltung.thiam.ch:443) Configuring RSA server private key
Und auch hier zeigt sich kein Verbindungsaufbau?!
Hm, eigentlich möchte ich schon, dass mehere virtuelle ssl-Hosts zwar dieselbe IP-Adresse haben, aber nach Namen unterschieden werden. Diese Änderung hatte jedenfalls keinen Einfluss.
Aber Du weisst doch das SSL-verschlüsslte Server nicht namens-basiert sein können, da die Entschlüsselung des Requests mit dem Host-Header erst nach dem Aufbau der SSL-Verbindung (Zetifikatsaustausch) erfolgen kann.
Weiss ich das? Vermutlich nicht. Um's mal mit eigenen Worten zu sagen: ich kann nicht virtuelle Webserver betreiben, die über https://server1.thiam.ch und https://server2.thaim.ch angesprochen werden, aber dieselbe IP-Adresse teilen?
AFAIR gibt es wohl Browser, die auch Zertifikate mit einem CN in der
Form '*.domain.tld' (* als Sternchen) akzeptieren. Evtl. könntest Du über eine solches auch namensbasierte Vhosts realisieren.
[19/Jun/2003 17:21:52 01096] [warn] Init: (buchhaltung.thiam.ch:443) RSA server certificate CommonName (CN) `localhost' does NOT match server name!?
Das ist aber ein blöder Name, der schliesst die Akzeptanz durch einen Client schon aus (zumindest ohne Mecker). Das Zertifikat sollte auf den FQDN des Webservers ausgestellt sein.
Hm, ich gehe davon aus, dass Du mit blöd buchhaltung.thiam.ch gemeint hast. Ich verstehe nicht, was der Client-Name etwas mit der Akzeptanz bei der Authentifizierung des Zertifikates zu tun hat. Mir scheint, dass der Clent meckern muss, wenn das CA-Zertifikat noch nicht bekannt ist.
Ne, ich dachte 'localhost' sei Dein CommonName.
Also Mozilla meckert erstmal immer wenn der CN nicht mit dem Servernamen übereinstimmt zu dem eine SSL-Verbindung aufgebaut werden soll, oder?
Auch ist mir nicht klar, woher das localhost stammt. buchhaltung.thiam.ch habe ich als Common Name bei der Zertifikat-Erzeugung angegeben.
Das kannst Du in der Ausgabe von
$ openssl x509 -noout -text -in <dein_zertifkat>
prüfen. Vielleicht stimmt das aber auch etwas mit der Angabe von SSLCertificateFile nicht?
[...]
Ansonsten sehe ich leider nicht weiter wo die Ursache des Problems liegen könnte. Du kannst ja mal noch folgende Sachen testen
- das SnakeOil-Zertifikat verwenden, dass Du in den Apache-Sourcen unter './conf/ssl.crt/snakeoil-rsa.crt' findest
- SSLRandomSeed für connect und startup auf /dev/unrandom stellen
- mit 'openssl s_client' von localhost den Server testen.
> $ openssl s_client -connect 127.0.0.1:443
>
> 8< [ Verbindungsinfo ] 8<
>
> GET / HTTP/1.0
> Host: www.snakeoil.dombis dann, .max
--------------------------------------------------------------------------
Apache HTTP Server Mailing List "users-de" unsubscribe-Anfragen an [EMAIL PROTECTED]
sonstige Anfragen an [EMAIL PROTECTED]
--------------------------------------------------------------------------
