Altes Startssl zu ispconfig hinzufügen verursacht Apache-Absturz

#1
Hallo zusammen,

ich hatte vor der ispconfig-Installation schon ein SSL-Certifikat bei startssl.com erstellt und habe es nun zu ispconfig hinzugefügt. Aber jetzt stürzt mein Server ab, wenn ich eine weitere Domain ein normales SSL-Zertifikat erstellen möchte.
Kann mir jemand sagen, wie ich ganz korrekt das alte Zertifikat hinzufügen kann? Ich habe schon einiges ausprobiert, aber bis jetzt leider erfolglos.
Apache verweist mich auf folgenden Errorlog:
/var/log/ispconfig/httpd/domain.de/error.log
Code:
[Tue Dec 23 00:36:30.908920 2014] [ssl:emerg] [pid 15519] AH02204: Init: Pass phrase incorrect for key of domain.de:443
[Tue Dec 23 00:36:30.909040 2014] [ssl:emerg] [pid 15519] SSL Library Error: error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag
[Tue Dec 23 00:36:30.909058 2014] [ssl:emerg] [pid 15519] SSL Library Error: error:0D08303A:asn1 encoding routines:ASN1_TEMPLATE_NOEXP_D2I:nested asn1 error
[Tue Dec 23 00:36:30.909070 2014] [ssl:emerg] [pid 15519] SSL Library Error: error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag
[Tue Dec 23 00:36:30.909083 2014] [ssl:emerg] [pid 15519] SSL Library Error: error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error (Type=RSA)
[Tue Dec 23 00:36:30.909098 2014] [ssl:emerg] [pid 15519] SSL Library Error: error:04093004:rsa routines:OLD_RSA_PRIV_DECODE:RSA lib
[Tue Dec 23 00:36:30.909109 2014] [ssl:emerg] [pid 15519] SSL Library Error: error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag
[Tue Dec 23 00:36:30.909121 2014] [ssl:emerg] [pid 15519] SSL Library Error: error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error (Type=PKCS8_PRIV_KEY_INFO)
Meine virtueller Host sieht wie folgt aus, falls ich sensible Daten poste, bitte Bescheid geben:
Code:
<Directory /var/www/domain.de>
     AllowOverride None
     Require all denied
</Directory>

<VirtualHost *:80>
     DocumentRoot /var/www/domain.de/web  
     ServerName domain.de
     ServerAlias www.domain.de
     ServerAdmin admin@domain.de

     ErrorLog /var/log/ispconfig/httpd/domain.de/error.log

     Alias /error/ "/var/www/domain.de/web/error/"
     ErrorDocument 400 /error/400.html
     ErrorDocument 401 /error/401.html
     ErrorDocument 403 /error/403.html
     ErrorDocument 404 /error/404.html
     ErrorDocument 405 /error/405.html
     ErrorDocument 500 /error/500.html
     ErrorDocument 502 /error/502.html
     ErrorDocument 503 /error/503.html

     <IfModule mod_ssl.c>
     </IfModule>

     <Directory /var/www/domain.de/web>
         # Clear PHP settings of this website
         <FilesMatch ".+\.ph(p[345]?|t|tml)$">
             SetHandler None
         </FilesMatch>
         Options +FollowSymLinks
         AllowOverride All
                 Require all granted
     </Directory>
     <Directory /var/www/clients/client0/web9/web>
         # Clear PHP settings of this website
         <FilesMatch ".+\.ph(p[345]?|t|tml)$">
             SetHandler None
         </FilesMatch>
         Options +FollowSymLinks
         AllowOverride All
                 Require all granted
     </Directory>
     # suexec enabled
     <IfModule mod_suexec.c>
       SuexecUserGroup web9 client0
     </IfModule>
     # php as fast-cgi enabled
    # For config options see: http://httpd.apache.org/mod_fcgid/mod/mod_fcgid.html
     <IfModule mod_fcgid.c>
         IdleTimeout 300
         ProcessLifeTime 3600
         # MaxProcessCount 1000
         DefaultMinClassProcessCount 0
         DefaultMaxClassProcessCount 100
         IPCConnectTimeout 3
         IPCCommTimeout 600
         BusyTimeout 3600
     </IfModule>
     <Directory /var/www/domain.de/web>
         <FilesMatch "\.php[345]?$">
           SetHandler fcgid-script
         </FilesMatch>
         FCGIWrapper /var/www/php-fcgi-scripts/web9/.php-fcgi-starter .php
         FCGIWrapper /var/www/php-fcgi-scripts/web9/.php-fcgi-starter .php3
         FCGIWrapper /var/www/php-fcgi-scripts/web9/.php-fcgi-starter .php4
         FCGIWrapper /var/www/php-fcgi-scripts/web9/.php-fcgi-starter .php5
         Options +ExecCGI
         AllowOverride All
                 Require all granted
             </Directory>
     <Directory /var/www/clients/client0/web9/web>
         <FilesMatch "\.php[345]?$">
           SetHandler fcgid-script
         </FilesMatch>
         FCGIWrapper /var/www/php-fcgi-scripts/web9/.php-fcgi-starter .php
         FCGIWrapper /var/www/php-fcgi-scripts/web9/.php-fcgi-starter .php3
         FCGIWrapper /var/www/php-fcgi-scripts/web9/.php-fcgi-starter .php4
         FCGIWrapper /var/www/php-fcgi-scripts/web9/.php-fcgi-starter .php5
         Options +ExecCGI
         AllowOverride All
                 Require all granted
    </Directory>

     # add support for apache mpm_itk
     <IfModule mpm_itk_module>
       AssignUserId web9 client0
     </IfModule>

     <IfModule mod_dav_fs.c>
     # Do not execute PHP files in webdav directory
       <Directory /var/www/clients/client0/web9/webdav>
         <ifModule mod_security2.c>
           SecRuleRemoveById 960015
           SecRuleRemoveById 960032
         </ifModule>
         <FilesMatch "\.ph(p3?|tml)$">
           SetHandler None
         </FilesMatch>
       </Directory>
       DavLockDB /var/www/clients/client0/web9/tmp/DavLock
       # DO NOT REMOVE THE COMMENTS!
       # IF YOU REMOVE THEM, WEBDAV WILL NOT WORK ANYMORE!
  # WEBDAV BEGIN
       # WEBDAV END
     </IfModule>

</VirtualHost>
<VirtualHost *:443>
           DocumentRoot /var/www/domain.de/web
       
     ServerName domain.de
     ServerAlias www.domain.de
     ServerAdmin admin@domain.de

     ErrorLog /var/log/ispconfig/httpd/domain.de/error.log

     Alias /error/ "/var/www/domain.de/web/error/"
     ErrorDocument 400 /error/400.html
     ErrorDocument 401 /error/401.html
     ErrorDocument 403 /error/403.html
     ErrorDocument 404 /error/404.html
     ErrorDocument 405 /error/405.html
     ErrorDocument 500 /error/500.html
     ErrorDocument 502 /error/502.html
     ErrorDocument 503 /error/503.html

     <IfModule mod_ssl.c>
     SSLEngine on
     SSLProtocol All -SSLv2 -SSLv3
     SSLCertificateFile /var/www/clients/client0/web9/ssl/domain.de.crt
     SSLCertificateKeyFile /var/www/clients/client0/web9/ssl/domain.de.key
     SSLCACertificateFile /var/www/clients/client0/web9/ssl/domain.de.bundle
     </IfModule>

     <Directory /var/www/domain.de/web>
         # Clear PHP settings of this website
         <FilesMatch ".+\.ph(p[345]?|t|tml)$">
             SetHandler None
         </FilesMatch>
         Options +FollowSymLinks
         AllowOverride All
                 Require all granted
             </Directory>
     <Directory /var/www/clients/client0/web9/web>
         # Clear PHP settings of this website
         <FilesMatch ".+\.ph(p[345]?|t|tml)$">
             SetHandler None
         </FilesMatch>
         Options +FollowSymLinks
         AllowOverride All
                 Require all granted
             </Directory>
     # suexec enabled
     <IfModule mod_suexec.c>
       SuexecUserGroup web9 client0
     </IfModule>
     # php as fast-cgi enabled
   # For config options see: http://httpd.apache.org/mod_fcgid/mod/mod_fcgid.html
     <IfModule mod_fcgid.c>
         IdleTimeout 300
         ProcessLifeTime 3600
         # MaxProcessCount 1000
         DefaultMinClassProcessCount 0
         DefaultMaxClassProcessCount 100
         IPCConnectTimeout 3
         IPCCommTimeout 600
         BusyTimeout 3600
     </IfModule>
     <Directory /var/www/domain.de/web>
         <FilesMatch "\.php[345]?$">
           SetHandler fcgid-script
         </FilesMatch>
         FCGIWrapper /var/www/php-fcgi-scripts/web9/.php-fcgi-starter .php
         FCGIWrapper /var/www/php-fcgi-scripts/web9/.php-fcgi-starter .php3
         FCGIWrapper /var/www/php-fcgi-scripts/web9/.php-fcgi-starter .php4
         FCGIWrapper /var/www/php-fcgi-scripts/web9/.php-fcgi-starter .php5
         Options +ExecCGI
         AllowOverride All
                 Require all granted
             </Directory>
     <Directory /var/www/clients/client0/web9/web>
         <FilesMatch "\.php[345]?$">
           SetHandler fcgid-script
         </FilesMatch>
         FCGIWrapper /var/www/php-fcgi-scripts/web9/.php-fcgi-starter .php
         FCGIWrapper /var/www/php-fcgi-scripts/web9/.php-fcgi-starter .php3
         FCGIWrapper /var/www/php-fcgi-scripts/web9/.php-fcgi-starter .php4
         FCGIWrapper /var/www/php-fcgi-scripts/web9/.php-fcgi-starter .php5
         Options +ExecCGI
         AllowOverride All
                 Require all granted
             </Directory>

     # add support for apache mpm_itk
     <IfModule mpm_itk_module>
       AssignUserId web9 client0
     </IfModule>

     <IfModule mod_dav_fs.c>
     # Do not execute PHP files in webdav directory
       <Directory /var/www/clients/client0/web9/webdav>
         <ifModule mod_security2.c>
           SecRuleRemoveById 960015
           SecRuleRemoveById 960032
         </ifModule>
         <FilesMatch "\.ph(p3?|tml)$">
           SetHandler None
         </FilesMatch>
       </Directory>
       DavLockDB /var/www/clients/client0/web9/tmp/DavLock
       # DO NOT REMOVE THE COMMENTS!
       # IF YOU REMOVE THEM, WEBDAV WILL NOT WORK ANYMORE!
  # WEBDAV BEGIN
       # WEBDAV END
     </IfModule>
</VirtualHost>
Vielen Dank im Voraus
 

Till

Administrator
#2
Zum einen scheinst Du einen passwort geschützne Key verwendet zu haben und nicht den ohne Passwort. Somit kann apache nicht starten. Wenn ich den Fehler richtig interpretiere dann hat apache ein Problem mit dem Format des SSL Zertifikates dass Du eingefügt hast, wahrscheinlich fehlen da ein paar Zeichen der Zeilen. Mit der vhost Config hat das nichts zu tun.
 
#3
Erstmals vielen Dank für Deine Antwort.
Ja, Du hast recht. Ich habe einen geschützten Key erstellt gehabt. Ich wusste nicht, dass für ispconfig ein passwortloses Key besser wäre? Wenn es ohne Passwort besser ist, kann ich nachträglich das Passwort entfernen? Als Format habe ich den Inhalt der Datei mit einem Editor(Geany) herauskopiert und über nano domain.de.key eingefügt. Ist die Vorgehensweise falsch? Was würdest Du eher empfehlen?
Findest du die Einbindung der SSL-Dateien ausreichend und korrekt?
Sind viele Fragen, tut mir Leid.
 

Till

Administrator
#4
Ich wusste nicht, dass für ispconfig ein passwortloses Key besser wäre?
Mit ISPConfig hat das nichts zu tun. Das Problem mit einem passwortgeschützten key ist ganz einfach dass Du Deinen Server weder rebooten kannst noch apache neu starten, denn in beiden Fällen musst Du manuell den Key eingeben.

Dateien brauchst Du ja an sich nicht editieren, die Einbindung eines SSL Cert in eine Webseite erfolgt nur über ispconfig. Du kannst das zawer auch manuell auf der Shell machen, das führt aber leichter zu Fehlern. Prüfe bitte nochmal Du wirklich die kompletten Dateiinhalte kopiert hast.
 

Werbung

Top