httpd-users-de mailing list archives

Site index · List index
Message view « Date » · « Thread »
Top « Date » · « Thread »
From Thiemo Kellner <thi...@thiam.ch>
Subject Re: Virtual ssl host "terminates connection unexpectedly"
Date Thu, 19 Jun 2003 17:06:05 GMT
> Ok, im ssl_engine_log hätte aber schon etwas in der Art von
> 
> [19/Jun/2003 13:34:07 01463] [info]  Connection: Client IP: 
> 192.168.8.28, Protocol: TLSv1, Cipher: RC4-MD5 (1
> 28/128 bits)

Tja, wenn nichts im Log steht, ist der Fehler auch schwer festzunageln. :/

> stehen sollen (SSLLogLvel Info vorrausgesetzt).

Hab ihn bis debug hochgeschraubt, ohne wesentlich mehr Informationen zu 
bekommen.

[19/Jun/2003 18:36:36 01096] [info]  Init: 6nd restart round (already 
detached)
[19/Jun/2003 18:36:36 01096] [info]  Init: Reinitializing OpenSSL library
[19/Jun/2003 18:36:36 01096] [info]  Init: Created hash-table (250 
buckets) in shared memory (512000 bytes) for SSL session cache
[19/Jun/2003 18:36:36 01096] [info]  Init: Seeding PRNG with 1160 bytes 
of entropy
[19/Jun/2003 18:36:36 01096] [info]  Init: Configuring temporary RSA 
private keys (512/1024 bits)
[19/Jun/2003 18:36:36 01096] [info]  Init: Configuring temporary DH 
parameters (512/1024 bits)
[19/Jun/2003 18:36:36 01096] [info]  Init: Initializing (virtual) 
servers for SSL
[19/Jun/2003 18:36:36 01096] [info]  Init: Configuring server 
buchhaltung.thiam.ch:443 for SSL protocol
[19/Jun/2003 18:36:36 01096] [trace] Init: (buchhaltung.thiam.ch:443) 
Creating new SSL context (protocols: SSLv2, SSLv3, TLSv1)
[19/Jun/2003 18:36:36 01096] [trace] Init: (buchhaltung.thiam.ch:443) 
Configuring permitted SSL ciphers 
[ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL]
[19/Jun/2003 18:36:36 01096] [trace] Init: (buchhaltung.thiam.ch:443) 
Configuring RSA server certificate
[19/Jun/2003 18:36:36 01096] [warn]  Init: (buchhaltung.thiam.ch:443) 
RSA server certificate CommonName (CN) `localhost' does NOT match server 
name!?
[19/Jun/2003 18:36:36 01096] [trace] Init: (buchhaltung.thiam.ch:443) 
Configuring RSA server private key

>> Hm, eigentlich möchte ich schon, dass mehere virtuelle ssl-Hosts zwar 
>> dieselbe IP-Adresse haben, aber nach Namen unterschieden werden. Diese 
>> Änderung hatte jedenfalls keinen Einfluss.
> 
> 
> Aber Du weisst doch das SSL-verschlüsslte Server nicht namens-basiert 
> sein können, da die Entschlüsselung des Requests mit dem Host-Header 
> erst nach dem Aufbau der SSL-Verbindung (Zetifikatsaustausch) erfolgen 
> kann.

Weiss ich das? Vermutlich nicht. Um's mal mit eigenen Worten zu sagen: 
ich kann nicht virtuelle Webserver betreiben, die über 
https://server1.thiam.ch und https://server2.thaim.ch angesprochen 
werden, aber dieselbe IP-Adresse teilen?

>> [19/Jun/2003 17:21:52 01096] [warn]  Init: (buchhaltung.thiam.ch:443) 
>> RSA server certificate CommonName (CN) `localhost' does NOT match 
>> server name!?
> 
> 
> Das ist aber ein blöder Name, der schliesst die Akzeptanz durch einen 
> Client schon aus (zumindest ohne Mecker). Das Zertifikat sollte auf den 
> FQDN des Webservers ausgestellt sein.

Hm, ich gehe davon aus, dass Du mit blöd buchhaltung.thiam.ch gemeint 
hast. Ich verstehe nicht, was der Client-Name etwas mit der Akzeptanz 
bei der Authentifizierung des Zertifikates zu tun hat. Mir scheint, dass 
der Clent meckern muss, wenn das CA-Zertifikat noch nicht bekannt ist.

Auch ist mir nicht klar, woher das localhost stammt. 
buchhaltung.thiam.ch habe ich als Common Name bei der 
Zertifikat-Erzeugung angegeben.

> Ansonsten teste Dein Server zur Sicherheit auch mal mit anderen Clients: 
> z.B: "openssl s_client" (s. man s_client).

Aha, mal sehen.

> Viel Spass noch,

:/ Danke

Thiemo

-- 
root ist die Wurzel allen Übels


--------------------------------------------------------------------------
                Apache HTTP Server Mailing List "users-de" 
      unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
           sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------


Mime
View raw message