httpd-users-de mailing list archives

Site index · List index
Message view « Date » · « Thread »
Top « Date » · « Thread »
From Thiemo Kellner <thi...@thiam.ch>
Subject Re: Virtual ssl host "terminates connection unexpectedly"
Date Fri, 20 Jun 2003 23:40:30 GMT
Hallo

Max Dittrich wrote:
>  > [19/Jun/2003 18:36:36 01096] [trace] Init: (buchhaltung.thiam.ch:443)
>  > Configuring RSA server private key
> 
> Und auch hier zeigt sich kein Verbindungsaufbau?!

Nö. :(

> AFAIR gibt es wohl Browser, die auch Zertifikate mit einem CN in der
> Form '*.domain.tld' (* als Sternchen) akzeptieren. Evtl. könntest Du 
> über eine solches auch namensbasierte Vhosts realisieren.

Hm ja. Ich möchte eigentlich nicht allzu viel Aufwand in meinen 
Webserver stecken. Mal sehen.

Jetzt ist aber erst mal Urlaub angesagt.

>  >>> [19/Jun/2003 17:21:52 01096] [warn]  Init: (buchhaltung.thiam.ch:443)
>  >>> RSA server certificate CommonName (CN) `localhost' does NOT match
>  >>> server name!?
>  >>
>  >> Das ist aber ein blöder Name, der schliesst die Akzeptanz durch einen
[...]

>  > Hm, ich gehe davon aus, dass Du mit blöd buchhaltung.thiam.ch gemeint
[...]

> Ne, ich dachte 'localhost' sei Dein CommonName.
> 
> Also Mozilla meckert erstmal immer wenn der CN nicht mit dem Servernamen
> übereinstimmt zu dem eine SSL-Verbindung aufgebaut werden soll, oder?

Ja, richtig.

>  > Auch ist mir nicht klar, woher das localhost stammt.
>  > buchhaltung.thiam.ch habe ich als Common Name bei der
>  > Zertifikat-Erzeugung angegeben.
> 
> Das kannst Du in der Ausgabe von
> 
>     $ openssl x509 -noout -text -in <dein_zertifkat>

Certificate:
     Data:
         Version: 3 (0x2)
         Serial Number: 1 (0x1)
         Signature Algorithm: md5WithRSAEncryption
         Issuer: C=CH, ST=Zuerich, L=Winterthur, O=Private (thiam.ch), 
CN=Thiemo Kellner/Email=thiemo.kellner@thiam.ch
         Validity
             Not Before: Jun 19 16:13:19 2003 GMT
             Not After : Jun 18 16:13:19 2004 GMT
         Subject: C=CH, ST=Zuerich, L=Winterthur, O=Private 
buchhaltung.thiam.ch, OU=buchhaltung.thiam.ch, 
CN=buchhaltung.thiam.ch/Email=webmaster@thiam.ch
         Subject Public Key Info:
             Public Key Algorithm: rsaEncryption
             RSA Public Key: (1024 bit)
                 Modulus (1024 bit):
                     00:c7:d6:4f:b8:6e:51:f4:63:ff:6c:25:5d:09:21:
                     42:36:41:7a:64:a1:24:96:04:07:98:d3:93:cb:98:
                     19:e6:b6:36:05:3e:cc:44:a1:fe:7a:06:c8:1c:39:
                     cb:91:05:b1:01:8f:07:84:de:14:f2:a9:a1:ec:35:
                     de:00:27:f2:53:55:59:7f:cb:5d:52:95:da:94:ef:
                     ab:4f:c3:82:ae:ae:89:3c:6a:83:f7:2e:d0:dd:ea:
                     28:a8:2c:09:d4:95:b4:d4:d5:d3:56:6d:5b:1a:af:
                     cf:ec:b4:b0:1d:76:6f:85:03:d6:9f:14:da:ab:2d:
                     7a:6c:4a:d2:df:8b:04:f1:af
                 Exponent: 65537 (0x10001)
         X509v3 extensions:
             X509v3 Basic Constraints:
                 CA:FALSE
             Netscape Comment:
                 OpenSSL Generated Certificate
             X509v3 Subject Key Identifier:
                 A4:B4:A7:3D:1D:30:EE:4B:89:DD:A2:56:D5:35:08:B0:C6:95:1A:2A
             X509v3 Authority Key Identifier:
 
keyid:9A:0E:5A:1D:B7:C3:7C:1D:5D:9D:1A:C8:3F:28:8E:6E:09:B5:BB:C8
                 DirName:/C=CH/ST=Zuerich/L=Winterthur/O=Private 
(thiam.ch)/CN=Thiemo Kellner/Email=thiemo.kellner@thiam.ch
                 serial:00

     Signature Algorithm: md5WithRSAEncryption
[...]


Sieht nach meinem Dafürhalten vernünftig aus. Immerhin hat mir Dein 
s_client-Tip nach einen Anhaltspunkt gegeben, den zu lösen ich aber noch 
keine Ahnung habe:

bash-2.05b$ openssl s_client -connect buchhaltung.thiam.ch:443
CONNECTED(00000003)
21383:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown 
protocol:s23_clnt.c:470:


Ein wenig Internet-Recherche hat ergeben:

bash-2.05b$ openssl s_client -connect buchhaltung.thiam.ch:443 -state -debug
CONNECTED(00000003)
SSL_connect:before/connect initialization
write to 08154B48 [08154B90] (130 bytes => 130 (0x82))
0000 - 80 80 01 03 01 00 57 00-00 00 20 00 00 16 00 00   ......W... .....
0010 - 13 00 00 0a 07 00 c0 00-00 66 00 00 07 00 00 05   .........f......
0020 - 00 00 04 05 00 80 03 00-80 01 00 80 08 00 80 00   ................
0030 - 00 65 00 00 64 00 00 63-00 00 62 00 00 61 00 00   .e..d..c..b..a..
0040 - 60 00 00 15 00 00 12 00-00 09 06 00 40 00 00 14   `...........@...
0050 - 00 00 11 00 00 08 00 00-06 00 00 03 04 00 80 02   ................
0060 - 00 80 f2 b1 d8 ce b4 24-ef 27 77 47 8e 51 0c e0   .......$.'wG.Q..
0070 - ed 78 9d d8 26 7f 52 e5-a5 10 c8 14 d3 fb 3f 84   .x..&.R.......?.
0080 - 07 76                                             .v
SSL_connect:SSLv2/v3 write client hello A
read from 08154B48 [0815A0F0] (7 bytes => 7 (0x7))
0000 - 3c 21 44 4f 43 54 59                              <!DOCTY
SSL_connect:error in SSLv2/v3 read server hello A
25185:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown 
protocol:s23_clnt.c:470:


Wie Du schon geschrieben hast, ist es wohl nicht möglich mehrere 
https-vhosts auf ein und derselben IP-Adresse zu betreiben.

Vielen Dank, Max.

Gruss

Thiemo

-- 
root ist die Wurzel allen Übels


--------------------------------------------------------------------------
                Apache HTTP Server Mailing List "users-de" 
      unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
           sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------


Mime
View raw message