httpd-users-de mailing list archives

Site index · List index
Message view « Date » · « Thread »
Top « Date » · « Thread »
From Max.Dittr...@t-online.de (Max Dittrich)
Subject Re: Virtual ssl host "terminates connection unexpectedly"
Date Fri, 20 Jun 2003 07:41:36 GMT
Hallo,

Thiemo Kellner wrote:

 >> Ok, im ssl_engine_log hätte aber schon etwas in der Art von
 >>
 >> [19/Jun/2003 13:34:07 01463] [info]  Connection: Client IP:
 >> 192.168.8.28, Protocol: TLSv1, Cipher: RC4-MD5 (1
 >> 28/128 bits)
 >
 >
 > Tja, wenn nichts im Log steht, ist der Fehler auch schwer 
festzunageln. :/
 >
 >> stehen sollen (SSLLogLvel Info vorrausgesetzt).
 >
 >
 > Hab ihn bis debug hochgeschraubt, ohne wesentlich mehr Informationen zu
 > bekommen.
 >
 > [19/Jun/2003 18:36:36 01096] [info]  Init: 6nd restart round (already
 > detached)

[...]

 > [19/Jun/2003 18:36:36 01096] [trace] Init: (buchhaltung.thiam.ch:443)
 > Configuring RSA server private key

Und auch hier zeigt sich kein Verbindungsaufbau?!

 >
 >>> Hm, eigentlich möchte ich schon, dass mehere virtuelle ssl-Hosts zwar
 >>> dieselbe IP-Adresse haben, aber nach Namen unterschieden werden.
 >>> Diese Änderung hatte jedenfalls keinen Einfluss.
 >>
 >>
 >>
 >> Aber Du weisst doch das SSL-verschlüsslte Server nicht namens-basiert
 >> sein können, da die Entschlüsselung des Requests mit dem Host-Header
 >> erst nach dem Aufbau der SSL-Verbindung (Zetifikatsaustausch) erfolgen
 >> kann.
 >
 >
 > Weiss ich das? Vermutlich nicht. Um's mal mit eigenen Worten zu sagen:
 > ich kann nicht virtuelle Webserver betreiben, die über
 > https://server1.thiam.ch und https://server2.thaim.ch angesprochen
 > werden, aber dieselbe IP-Adresse teilen?

AFAIR gibt es wohl Browser, die auch Zertifikate mit einem CN in der
Form '*.domain.tld' (* als Sternchen) akzeptieren. Evtl. könntest Du 
über eine solches auch namensbasierte Vhosts realisieren.

 >
 >>> [19/Jun/2003 17:21:52 01096] [warn]  Init: (buchhaltung.thiam.ch:443)
 >>> RSA server certificate CommonName (CN) `localhost' does NOT match
 >>> server name!?
 >>
 >>
 >>
 >> Das ist aber ein blöder Name, der schliesst die Akzeptanz durch einen
 >> Client schon aus (zumindest ohne Mecker). Das Zertifikat sollte auf
 >> den FQDN des Webservers ausgestellt sein.
 >
 >
 > Hm, ich gehe davon aus, dass Du mit blöd buchhaltung.thiam.ch gemeint
 > hast. Ich verstehe nicht, was der Client-Name etwas mit der Akzeptanz
 > bei der Authentifizierung des Zertifikates zu tun hat. Mir scheint, dass
 > der Clent meckern muss, wenn das CA-Zertifikat noch nicht bekannt ist.

Ne, ich dachte 'localhost' sei Dein CommonName.

Also Mozilla meckert erstmal immer wenn der CN nicht mit dem Servernamen
übereinstimmt zu dem eine SSL-Verbindung aufgebaut werden soll, oder?

 >
 > Auch ist mir nicht klar, woher das localhost stammt.
 > buchhaltung.thiam.ch habe ich als Common Name bei der
 > Zertifikat-Erzeugung angegeben.

Das kannst Du in der Ausgabe von

     $ openssl x509 -noout -text -in <dein_zertifkat>

prüfen. Vielleicht stimmt das aber auch etwas mit der Angabe von
SSLCertificateFile nicht?

[...]

Ansonsten sehe ich leider nicht weiter wo die Ursache des Problems 
liegen könnte. Du kannst ja mal noch folgende Sachen testen

- das SnakeOil-Zertifikat verwenden, dass Du in den Apache-Sourcen unter 
  './conf/ssl.crt/snakeoil-rsa.crt' findest
- SSLRandomSeed für connect und startup auf /dev/unrandom stellen
- mit 'openssl s_client' von localhost den Server testen.

	> $ openssl s_client -connect 127.0.0.1:443
	>
	>  8< [ Verbindungsinfo ] 8<
	>
	>   GET / HTTP/1.0
	>   Host: www.snakeoil.dom

bis dann,
.max


--------------------------------------------------------------------------
                Apache HTTP Server Mailing List "users-de" 
      unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
           sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------


Mime
View raw message