SSL Zertifikatseinrichtung über ISPC Panel unfertig

[pee]

Hallo,

ich habe vor einiger Zeit SSL Zertifikate von Start SSL auf meinem Root-Server (mit Debian 5 - 64 Bit) installiert. Im aktuellen Firefox, Internet Explorer oder Opera funktionierten die Zertifikate reibungslos. Nun habe ich jedoch festgestellt, dass das iPhone eine manuelle Zertifikatsbestätigung (bei jeder einzelnen Seite, die per SSL angezeigt wird) erfordert, wenn das SSL Zertifikat nur über das ISPC Adminpanel installiert wird.

Folgende Zeilen fehlten innerhalb der SSL Definitionen der Vhost-Datei:

Zitat:

SSLCertificateChainFile /usr/local/apache/conf/sub.class1.server.ca.pem
SSLCACertificateFile /usr/local/apache/conf/ca.pem

Nachdem ich die PEM-Dateien ins entsprechende Verzeichnis heruntergeladen, die beiden Zeilen zu meiner Vhost-Datei hinzugefügt habe und den Apache neu startete, funktioniert das Zertifikat nun definitiv Browser übergreifend. Da dieses Vorgehen bei vielen SSL-Zertifikatsanbietern ähnlich ist, ist auch die reine SSL Vorgehensweise im ISPC Adminpanel folglich leider mangelhaft. Wie gut ISPC auch immer sonst ist.

Nachtrag:
Der Support von Start SSL meinte, dass der mit dem Zertifikat verbundene Fehler auch bei anderen Browsern (nicht nur iPhone) der Fall wäre. Das Zertifikat wäre einfach wegen der fehlenden PEM-Dateien nicht richtig installiert.

Zudem habe ich dieses Thema in den Bugtracker gepostet: http://bugtracker.ispconfig.org/inde...s&task_id=1005

LG,
pee

[Till]

Wie bereits im anderen Thread geschrieben. da ist nichts unfertig, Du hst einfach nur vergessen den Inhalt der .pem dateien in das bundle Feld zu kopieren. ISPConfig legt dann automatisch für diesen vhost ein bundle file mit dem dem chain Zertifikaten an.

Das ist die übliche Vorgehensweise und wird bei fast allen SSL Anbietern (mit Ausnahme von z.B. verisign) so gemacht. Ich richte so übrigens nahezu täglich SSL SErver für Kunden mit zertifikaten von den verschiedensten SSL Anbietern ein und es funktioniert perfekt. Da is also mitnichtenetaws unfertig, Du hast halt einfach nur nicht die chain Zertifikate in das Feld kopiert. Du kannst schon davon ausgehen, dass eine Software wie ISPConfig die Weltweit auf > 20 000 Servern läuft auch mit den gängigen SSL Anbietern funktioniert...

Wenn Du also nicht weiß wie etwas funktioniert, dann frag doch einfach bevor Du so sachen behauptest

[pee]

Zitat:

Zitat von Till

Wenn Du also nicht weiß wie etwas funktioniert, dann frag doch einfach bevor Du so sachen behauptest

Diesmal habe ich das PEM-Zertifikat ins Bundle-Feld eingefügt und die Installation des Zertifikates ist noch immer nicht komplett..

Es müssen von StartSSL einfach die beiden Zeilen in die Vhost-Datei eingetragen werden:

Zitat:

SSLCertificateChainFile /ORDNER/sub.class1.server.ca.pem
SSLCACertificateFile /ORDNER/ca.pem

Von beiden Zeilen ist nach der Eintragung ins Bundle-Feld, in der Vhost-Datei, nicht die Spur.

[Till]

Wie soll ich Dir denn bei solch einer Aussage weitehelfen? Wenn Du keine Fehlermeldungen postest, dann kann ich auch nur meine Glaskugel rausholen

Habe gerade gestern für einen Kunden ein SSL cert in ISPConfig 3 installiert, hat problemlos geklappt. Bin also sicher dass da keine Probleme in ISPConfig selbst vorliegen.

[pee]

Also StartSSL will dass das PEM-Zertifikat in der Vhost Datei eingetragen wird. Die Eintragung des PEM-Certs ins Bundle Feld trägt das Cert jedoch einfach nicht in die Vhost Datei ein.

[Till]

Zertifikate selbst werden nicht in den vhost eingetragen sondern sie werden in eine Datei gespeichert und dann wird eine Direktive in den vhost eingetragen, welche den Pfad zur Zertifikatsdatei festlegt.

1) Welche Direktive soll laut startssl denn für das PEM in die vhost datei eingetragen werden? Für die meisten SSL Zertifizierungsstellen ist dies "SSLCACertificateFile ....... " und so wird es auch von ISPConfig hinzugefügt.
2) Hast Du als Aktion auch "save" in ISPConfig ausgewählt bevor Du auf speichern geklickt hast?

[pee]

Ich hatte hier vorhin unveschlüsselten Content. D.h. auf der Seite wurden manche Bilder über http, statt über https übertragen.

Als ich damals diesen Thread begonnen hatte, gab es das Problem mit unverschlüsseltem Content nicht. Nur konnte das Zertifikat von iPhones nicht richtig aufgenommen werden. Als ich dann die Vhost-Dateien manuell editiert habe, gings. Aber nicht über das ISP Config Interface allein.

[Till]

Zitat:

Ich hatte hier vorhin unveschlüsselten Content. D.h. auf der Seite wurden manche Bilder über http, statt über https übertragen.

Das hat nur was mit Deiner Website und nicht mit ISPConfig zu tun. Überprüfe Deinen HTML Quellcode und stell sicher dass nirgends Dateien über http nachgeladen werden.

Zitat:

Als ich damals diesen Thread begonnen hatte, gab es das Problem mit unverschlüsseltem Content nicht. Nur konnte das Zertifikat von iPhones nicht richtig aufgenommen werden. Als ich dann die Vhost-Dateien manuell editiert habe, gings. Aber nicht über das ISP Config Interface allein.

Alle manuellen Änderungen werden automatisch wieder entfernt. Also niemals eine vhost Datei direkt editieren sondern immer nur Code in apache Direktiven Feld der Webseite einfügen.

[pee]

Zitat:

Zitat von Till

Das hat nur was mit Deiner Website und nicht mit ISPConfig zu tun. Überprüfe Deinen HTML Quellcode und stell sicher dass nirgends Dateien über http nachgeladen werden.

Ist bereits behoben.

Zitat:

Zitat von Till

Alle manuellen Änderungen werden automatisch wieder entfernt. Also niemals eine vhost Datei direkt editieren sondern immer nur Code in apache Direktiven Feld der Webseite einfügen.

Wann werden diese Änderungen genau wieder entfernt?

[Till]

Zitat:

Wann werden diese Änderungen genau wieder entfernt?

Wenn eine beliebige zum Web gehörige Aktion ausgeführt wird, die das Neuschreiben der vhost datei erfordert.