SSL für VHOST in ISPConfig 3

AceLine

Member
Hallo Till!
Hallo Falco!

Ich weiß, das Thema wurde schon erschöpfend behandelt. Aber.... Ich habe schon alle auffindbaren Forumeinträge und mehr (Google) gelesen und komme nicht auf die Lösung meines Problems.

1. Ich habe ISPConfig 3 installiert und nach einem HowtoForge-Tutorial die ISPC-Oberfläche mit einem selfsigned-cert abgesichert.

2. Da ich nur eine IP zur Verfügung habe und jetzt dezidiert auf einem VHOST ein gültiges Zertifikat einbinden muss habe ich in der default_ssl Konfiguration die SSL-Engine auf Off gestellt (hier sind ja die Pfade zum selfsigned-cert eingetragen) und sichergestellt, dass bei keinem einzigen VHOST SSL an ist bzw. auch kein Zertifikat erstellt wurde.

3. Wenn ich jetzt im vermeintlich jungfräulichen Zustand eine https-Seite aufrufe kommt nur "Fehlercode: ssl_error_rx_unknown_record_type" im Firefox

4. Wenn ich jetzt in besagtem VHOST das Zertifikat nach der gekauften Anleitung einbaue, bleibt der in Punkt 3. beschriebene Zustand aufrecht. Wenn ich jetzt auf der Konsole ein /etc/init.d/apache2 restart ausführe, sagt er mir nur, dass sich die ip xxx.xxx.xxx.xxx:443 mit der ip xxx.xxx.xxx.xxx:443 überlappt und daher die erste zum Einsatz kommt. Es sollte aber eigentlich keine Erste mehr geben... (?!?)

Meine Frage: Wie kann ich einen möglichst jungfräulichen Zustand (SSL-Seitig) wiederherstellen bzw. wie finde ich heraus, was der Server da als nicht funktionierendes erstes Zertifikat hernimmt?

Könnt Ihr mir diesbezüglich bitte Hilfestellung leisten? System ist ein Debian 5 Lenny, gebaut nach dem Perfect Setup auf HowtoForge.

Vielen Dank im Voraus und liebe Grüße,

Ingmar
 

Till

Administrator
Da ist was beim ssl zertifikat erstellen oder importieren schief gelaufen so dass apache nicht neu starten würde mitd er konfiguration und ssl daher deaktiviert wurde damit Dein Server nicht offline ist. Geh mal wie folgt vor:

1) Deaktivier die ssl Checkbox der webseite in ispconfig.
2) Sichere alle Dateien im ssl Verzeichnis der Webseite, dann lösche alle Dateien in dem Verzeichnis.
3) Logge Dich in ISPConfig ein und erstelle ein neues self signed zertifikat für die webseite wie im handbuch beschrieben. Stell dabei sicher dass in den ssl Detail eingabefeldern keine Sonderzeichen verwendet werden, das magopenssl nicht.
4) Jetzt warte etwa 1-2 Minuten und schau dann mal ob Du die Seite per ssl mit dem self signed Zertifikat erreichst.
5) Wenn das soweit funktioniert hast, dann benötigst Du den key und das crt Deines bestehenden ssl Zertifikates (nimm nicht das aus dem backup sondern Dein original das Du wahrscheinlich irgendwo hast) und tausche dden Inhalt der .key und crt Datei die im ssl Verzeichnis der Webseite liegt mit den Inhalten des von Dir gekauften SSL cert und key aus. Dann starte apache neu. Wichtig: ssl crt und key müssen immer zusammen passen, sonst startet apache nicht mehr und das oben von Dir beschrieben problem tritt auf. Du musst also unbedingt den key nehmen der zur Erzeugung des gekauften ssl cert verwendet wurde.
 

AceLine

Member
4) Jetzt warte etwa 1-2 Minuten und schau dann mal ob Du die Seite per ssl mit dem self signed Zertifikat erreichst.

Hallo Till!

Danke für Deine schnelle Antwort, jedoch hört sich an dieser Stelle - quote - der Spaß schon auf. Während der ganzen Prozedur (1 bis 4) habe ich zwischenzeitlich getestet ob sich am "Fehlercode: ssl_error_rx_unknown_record_type"-Status was ändert. Da hat sich aber die ganze Zeit über nix geändert. D.h. der Apache hat irgendwo - glaub ich zumindest - eine Information über ein Zertifikat, das da allerdings gar nicht ist.

Der jetztige Status ist:

1. Punkt 1) bis 4) genau ausgeführt
2. Selfsigned-Cert liegt im Tab der Website und im ersten Tab ist SSL angehackt.
3. Wenn ich jegliche Website des Servers aufrufe erscheint im Firefox nur wieder die Meldung:

Fehler: Gesicherte Verbindung fehlgeschlagen

Ein Fehler ist während einer Verbindung mit Willkommen bei Esta-Service.at aufgetreten.

SSL hat einen Eintrag mit unbekanntem Inhaltstyp empfangen.

(Fehlercode: ssl_error_rx_unknown_record_type)


Danke im Voraus für etwaige neue Vorschläge, Anhaltspunkte oder Ideen.

Liebe Grüße,

Ingmar


PS: Was würde es den kosten, wenn ich Dir Zugriff auf die Shell geben würde? Wäre auch bereit dafür zu bezahlen...
 

Werbung

Top