SYNACK Geschrieben 12. August 2009 Geschrieben 12. August 2009 Moin, wollte grad versuchen, SSL zum laufen zu bekommen auf meinem "HomeServer". Rufe ich die Adresse mit http:// auf, so läuft alles wie gewohnt. Mit https:// bekomm ich mit FF folgende Meldung: Ein Fehler ist während einer Verbindung mit xxxxxxxxxxxxxxxxxxx.dyndns.org aufgetreten. SSL hat einen Eintrag erhalten, der die maximal erlaubte Länge überschritten hat. (Fehlercode: ssl_error_rx_record_too_long) hab hier mal die httpd-ssl.conf, die ich mir gebastelt habe: <IfDefine SSL> NameVirtualHost *:443 <VirtualHost xxxxxxx.dyndns.org:443> DocumentRoot "/usr/local/www/htroot" ServerName xxxxxxxx.dyndns.org ErrorLog /var/log/httpd/error_log TransferLog /var/log/httpd/access_log SSLEngine on SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL SSLCertificateFile "/usr/local/etc/apache22/server.crt" SSLCertificateFile "/usr/local/etc/apache22/server.key" <Files ~ "\.(cgi|shtml|phtml|php3?)$"> SSLOptions +StdEnvVars </Files> <Directory "/usr/local/www/htroot"> SSLOptions +StdEnvVars </Directory> SetEnvIf User-Agent ".*MSIE.*" \ nokeepalive ssl-unclean-shutdown \ downgrade-1.0 force-response-1.0 CustomLog /var/log/httpd/ssl_request_log \ "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b" </VirtualHost> </IfDefine> Apache Webserver, OS: FreeBSD Apache/2.2.11 (FreeBSD) mod_ssl/2.2.11 OpenSSL/0.9.8e DAV/2 PHP/5.2.9 with Suhosin-Patch Bin irgendwie grad blind^^ Hoffe, mir kann wer helfen, danke :-) Zitieren
lupo49 Geschrieben 12. August 2009 Geschrieben 12. August 2009 (bearbeitet) Trag mal bei den Parameter "NameVirtualHost" und "<VirtualHost :..>" die selben Werte ein. Hier auch mal schauen: http://forum.ubuntuusers.de/topic/ssl-error-rx-record-too-long/3/ Bearbeitet 12. August 2009 von lupo49 Zitieren
SYNACK Geschrieben 12. August 2009 Autor Geschrieben 12. August 2009 danke für den tip, doch leider brachte dies keinen erfolg. habe mir nochmal neue zertifikate generiert, allerding auch ohne erfolg Zitieren
Dio Geschrieben 12. August 2009 Geschrieben 12. August 2009 (bearbeitet) Hast du mal in die Apache Logs geschaut? Port 443 an der Firewall offen? Bearbeitet 12. August 2009 von Dio Zitieren
SYNACK Geschrieben 12. August 2009 Autor Geschrieben 12. August 2009 Firewallregeln sind gesetzt: ... allow tcp from any to any 443 in ... allow tcp from any to any 443 out vom router auch nach außen geleitet, log scheint soweit ok zu sein. 2 errors hab ich drinn, wobei eine ein "File does not exist: ...", weil irgendwer n toten link oder so geklickt hat und ein "Invalid methode in request \x16\x03\x01" von mir. Zitieren
Dio Geschrieben 12. August 2009 Geschrieben 12. August 2009 (bearbeitet) Du meinst vom Router zum Server oder? Hast du es mal mit dem IE probiert? Stimmen Pfad und Berechtigungen der Zertifikatfiles? Die Config ist soweit ok. Trag mal testweise noch SSLProtocol all nach SSLCipherSuite ein. VG Bearbeitet 12. August 2009 von Dio Zitieren
Dio Geschrieben 12. August 2009 Geschrieben 12. August 2009 Was mir grade noch auffällt. Warum hast du denn ein <IfDefine SSL> drin stehen? Wenn ich mich richtig erinnere funktioniert SSL dann nur wenn du denn Apache Dienst explizit mit SSL Unterstützung startest (War glaub ich "httpd -D SSL" wenn ich mich richtig erinnere) korrigiert mich wenn ich da falsch liege. Ist schon ein bisschen her das ich mich damit beschäftigt habe Zitieren
SYNACK Geschrieben 12. August 2009 Autor Geschrieben 12. August 2009 (bearbeitet) aaaaaaalso: IPFW (Firewall auf dem Server) und Router-FW sind für https offen, <IfDefine SSL> hab ich mal auskommentiert und den Apache gestoppt, das starten schlug fehl, in den logs tauchte folgendes auf: [Wed Aug 12 15:02:31 2009] [notice] caught SIGTERM, shutting down (2)No such file or directory: httpd: could not open error log file /var/log/httpd/error_log. Unable to open logs hatte n falsches verzeichnis angegeben, hatte dies korregiert und gestartet. jetzt bekomm ich ne warnung, dass das zertifikat nicht vertrauenswürdig ist, ist aber afaik normal, weil selbst signiert. bekomme nun ne aufforderung, mich anzumelden (benutzername und passwort), wenn ich die adresse mit https eingebe. normalerweise sollte er mir doch aber den inhalt zeigen, wie ich ihn sonst auch mit http bekomme? hab in dem verzeichnis eig. keine .htaccess liegen, zumal er mir dies für jedes verzeichnis zeigt. //EDIT: hatte doch ne alte .htaccess drinn und für ssl nicht AllowOverride None drinn, scheint alles zu funktionieren! was mir in den logs aufgefallen ist, sind folgende zeilen: [Wed Aug 12 15:06:43 2009] [warn] Init: Session Cache is not configured [hint: SSLSessionCache] [Wed Aug 12 15:06:43 2009] [warn] RSA server certificate is a CA certificate (BasicConstraints: CA == TRUE !?) [Wed Aug 12 15:06:44 2009] [warn] RSA server certificate is a CA certificate (BasicConstraints: CA == TRUE !?) SessionCache dient doch lediglich der performance, oder? was haben die anderen beiden warnungen zu sagen? Bearbeitet 12. August 2009 von SYNACK Zitieren
Dio Geschrieben 12. August 2009 Geschrieben 12. August 2009 (bearbeitet) In deiner Config fehlen noch ein paar Directory Optionen. Versuchs mal damit: <Directory /usr/local/www/htroot> DirectoryIndex index.html index.htm index.php AllowOverride Options AuthConfig </Directory> EDIT: Sehe grade das hat sich erledigt Hast du auch mal ins ssl_error_log geschaut? Steht da evtl. mehr? Ich glaube die anderen beiden Meldungen sind normal bei einem selbsterstellten Zertifikat.. Zum SSLSessionCache findest du hier eine ganz gute Beschreibung: http://wiki.apache.org/httpd/SSLSessionCache Bearbeitet 12. August 2009 von Dio Zitieren
lupo49 Geschrieben 12. August 2009 Geschrieben 12. August 2009 [Wed Aug 12 15:06:43 2009] [warn] RSA server certificate is a CA certificate (BasicConstraints: CA == TRUE !?) [Wed Aug 12 15:06:44 2009] [warn] RSA server certificate is a CA certificate (BasicConstraints: CA == TRUE !?) Vermutung: Das sieht aus als wenn du ein CA-Zertifikat als normales SSL-Zertifikat genommen hast. Mit dem CA-Zertifikat unterschreibst du ja nur dein Zertifikat für den Webserver. Zitieren
SYNACK Geschrieben 13. August 2009 Autor Geschrieben 13. August 2009 ich bedanke mich für die hilfe, hab noch n bissl rumgebastelt und es läuft anscheinend jetzt alles. danke für die kompetente hilfe :-) Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.