Hallo,
Thiemo Kellner wrote:
>> Ok, im ssl_engine_log hätte aber schon etwas in der Art von
>>
>> [19/Jun/2003 13:34:07 01463] [info] Connection: Client IP:
>> 192.168.8.28, Protocol: TLSv1, Cipher: RC4-MD5 (1
>> 28/128 bits)
>
>
> Tja, wenn nichts im Log steht, ist der Fehler auch schwer
festzunageln. :/
>
>> stehen sollen (SSLLogLvel Info vorrausgesetzt).
>
>
> Hab ihn bis debug hochgeschraubt, ohne wesentlich mehr Informationen zu
> bekommen.
>
> [19/Jun/2003 18:36:36 01096] [info] Init: 6nd restart round (already
> detached)
[...]
> [19/Jun/2003 18:36:36 01096] [trace] Init: (buchhaltung.thiam.ch:443)
> Configuring RSA server private key
Und auch hier zeigt sich kein Verbindungsaufbau?!
>
>>> Hm, eigentlich möchte ich schon, dass mehere virtuelle ssl-Hosts zwar
>>> dieselbe IP-Adresse haben, aber nach Namen unterschieden werden.
>>> Diese Änderung hatte jedenfalls keinen Einfluss.
>>
>>
>>
>> Aber Du weisst doch das SSL-verschlüsslte Server nicht namens-basiert
>> sein können, da die Entschlüsselung des Requests mit dem Host-Header
>> erst nach dem Aufbau der SSL-Verbindung (Zetifikatsaustausch) erfolgen
>> kann.
>
>
> Weiss ich das? Vermutlich nicht. Um's mal mit eigenen Worten zu sagen:
> ich kann nicht virtuelle Webserver betreiben, die über
> https://server1.thiam.ch und https://server2.thaim.ch angesprochen
> werden, aber dieselbe IP-Adresse teilen?
AFAIR gibt es wohl Browser, die auch Zertifikate mit einem CN in der
Form '*.domain.tld' (* als Sternchen) akzeptieren. Evtl. könntest Du
über eine solches auch namensbasierte Vhosts realisieren.
>
>>> [19/Jun/2003 17:21:52 01096] [warn] Init: (buchhaltung.thiam.ch:443)
>>> RSA server certificate CommonName (CN) `localhost' does NOT match
>>> server name!?
>>
>>
>>
>> Das ist aber ein blöder Name, der schliesst die Akzeptanz durch einen
>> Client schon aus (zumindest ohne Mecker). Das Zertifikat sollte auf
>> den FQDN des Webservers ausgestellt sein.
>
>
> Hm, ich gehe davon aus, dass Du mit blöd buchhaltung.thiam.ch gemeint
> hast. Ich verstehe nicht, was der Client-Name etwas mit der Akzeptanz
> bei der Authentifizierung des Zertifikates zu tun hat. Mir scheint, dass
> der Clent meckern muss, wenn das CA-Zertifikat noch nicht bekannt ist.
Ne, ich dachte 'localhost' sei Dein CommonName.
Also Mozilla meckert erstmal immer wenn der CN nicht mit dem Servernamen
übereinstimmt zu dem eine SSL-Verbindung aufgebaut werden soll, oder?
>
> Auch ist mir nicht klar, woher das localhost stammt.
> buchhaltung.thiam.ch habe ich als Common Name bei der
> Zertifikat-Erzeugung angegeben.
Das kannst Du in der Ausgabe von
$ openssl x509 -noout -text -in <dein_zertifkat>
prüfen. Vielleicht stimmt das aber auch etwas mit der Angabe von
SSLCertificateFile nicht?
[...]
Ansonsten sehe ich leider nicht weiter wo die Ursache des Problems
liegen könnte. Du kannst ja mal noch folgende Sachen testen
- das SnakeOil-Zertifikat verwenden, dass Du in den Apache-Sourcen unter
'./conf/ssl.crt/snakeoil-rsa.crt' findest
- SSLRandomSeed für connect und startup auf /dev/unrandom stellen
- mit 'openssl s_client' von localhost den Server testen.
> $ openssl s_client -connect 127.0.0.1:443
>
> 8< [ Verbindungsinfo ] 8<
>
> GET / HTTP/1.0
> Host: www.snakeoil.dom
bis dann,
.max
--------------------------------------------------------------------------
Apache HTTP Server Mailing List "users-de"
unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------
|