httpd-users-de mailing list archives

Site index · List index
Message view « Date » · « Thread »
Top « Date » · « Thread »
From Max.Dittr...@t-online.de (Max Dittrich)
Subject Re: Virtual ssl host "terminates connection unexpectedly"
Date Thu, 19 Jun 2003 16:07:25 GMT
Hallo,

Akita wrote:

>> Hast Du im error_log nachgesehen, ob Apache-Prozesse an einem SegFault 
>> verstorben sind? Gibt es weitere Hinweise im ssl_engine.log?
> 
> 
> error_log und ssl_engine_log zeigen rein gar nichts, nicht nichts 
> Auffälliges, sondern keine einzige Zeile, die mit einem 
> Verbindungsversuch heute in Zusammenhang stehen können. :(

:). Ist doch gut, musst Du nicht alles neu kompilieren.

Ok, im ssl_engine_log hätte aber schon etwas in der Art von

[19/Jun/2003 13:34:07 01463] [info]  Connection: Client IP: 
192.168.8.28, Protocol: TLSv1, Cipher: RC4-MD5 (1
28/128 bits)

stehen sollen (SSLLogLvel Info vorrausgesetzt).

> 
>>> aus apache.conf
>>> ---------------
>>> Include conf/commonapache.conf
>>> ServerName www.thiam.ch
>>> LockFile /etc/apache/httpd.lock
>>> # Thiemo Kellner, thiemo@thiam.ch, 2003-04-25
>>> #Include conf/addon-modules/mailman.conf
>>> Include conf/addon-modules/mod_ssl.conf
>>> Include conf/addon-modules/mod_dav.conf
>>> Include conf/addon-modules/mod_gzip.conf
>>> #Include conf/addon-modules/mod_mp3.conf
>>> Include  conf/addon-modules/mod_php.conf
>>>
>>> aus conf/commonapache.conf
>>> --------------------------
>>> NameVirtualHost *
>>
>>
>>
>> Hier möchtest Du vielleicht lieber
>> NameVirtualHost *:80
>> probieren, damit nicht auch "*:443" zum namensbasierten VirtualHost 
>> aufsteigt.
> 
> 
> Hm, eigentlich möchte ich schon, dass mehere virtuelle ssl-Hosts zwar 
> dieselbe IP-Adresse haben, aber nach Namen unterschieden werden. Diese 
> Änderung hatte jedenfalls keinen Einfluss.

Aber Du weisst doch das SSL-verschlüsslte Server nicht namens-basiert 
sein können, da die Entschlüsselung des Requests mit dem Host-Header 
erst nach dem Aufbau der SSL-Verbindung (Zetifikatsaustausch) erfolgen kann.

> 
> Beim Reload habe ich aber folgenden Eintrag in ssl_engine_log gefunden, 
> bin mir aber über die Bedeutung nicht im Klaren:
> [19/Jun/2003 17:21:52 01096] [info]  Init: Reinitializing OpenSSL library

[...]

> [19/Jun/2003 17:21:52 01096] [warn]  Init: (buchhaltung.thiam.ch:443) 
> RSA server certificate CommonName (CN) `localhost' does NOT match server 
> name!?

Das ist aber ein blöder Name, der schliesst die Akzeptanz durch einen 
Client schon aus (zumindest ohne Mecker). Das Zertifikat sollte auf den 
FQDN des Webservers ausgestellt sein.

Ansonsten teste Dein Server zur Sicherheit auch mal mit anderen Clients: 
z.B: "openssl s_client" (s. man s_client).

Viel Spass noch,
.max



--------------------------------------------------------------------------
                Apache HTTP Server Mailing List "users-de" 
      unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
           sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------


Mime
View raw message