SSL Website von ISPC2 nach ISPC3 umziehen - ssl_error_rx_record_too_long

Dieses Thema im Forum "Installation und Konfiguration" wurde erstellt von selli69, 31. Juli 2012.

  1. selli69

    selli69 New Member

    Hallo Allerseits!

    Wir haben mehrere ISPC2 und ISPC3 Server am laufen. Bisher hatten wir die Kundenpräsenzen, welche ein Zertifikat benötigen auf den ISPC2's am laufen, was bis jetzt auch keinerlei Probleme bereitet hat.

    Nun haben wir eine Kundenpräsenz aufgrund eines Relaunchs von einer ISPC2 Maschine auf eine ISPC3 umgezogen. Das hat (wie auch bei allen vorherigen "Umzügen") hervorragend funktioniert, bis auf die Sache mit dem SSL.

    Ich habe die DNS Einträge entsprechend umgestellt. Anfragen kommen mit der richtigen IP auf der 3er Maschine an. Im http-Betrieb funktioniert alles bestens.

    Ich habe nun versucht das Zertifikat umzuziehen, leider ohne Erfolg. Mein Vorgehen war alle Einträge (sofern möglich) genau so am 3er einzutragen wie beim 2er. Dabei habe ich die Einträge für SSL-Request und SSL Zertifikat per Copy&Paste übernommen. Die anderen Zeilen konnte ich nur zum Teil übernehmen, da es beim 3er nur "Lokalität" aber keinen "Ort" gibt und zudem bei Lokalität keine deutschen Sonderzeichen erlaubt sind, auf dem 2er jedoch ein "Ort" mit nem "ö" drin angegeben ist. Schlagt mich jetzt nicht, ich weis nicht wer von unseren Helden (evtl sogar ich) auf die dumme Idee mit dem Sonderzeichen gekommen ist. Eine "Haltbarkeitsdauer" für das Zertifikat kann ich beim 3er auch nicht mehr angeben. Für SSL-Bundle konnte ich gar nix angeben.

    Ich habe dann gespeichert und brav ein paar Minuten auf die Job-Queue gewartet. Leider bekomme ich beim Aufruf im Browser nur ein

    ssl_error_rx_record_too_long

    gemeldet. Auch ein selbstsigniertes Zertifikat anzulegen gelingt mir zwar (delete/create certificate) aber ich bekomme selbes Ergebnis.

    Es ist, wie gesagt das erste mal, dass ich auf nem ISPC3 eine Seite mit Zertifikat anlege, vllt ist der Fehler auch ganz woanders zu suchen, was ich jedoch nicht recht glauben kann.

    Wäre nett wenn jemand einen Hinweis für mich hätte wo ich weiter graben soll/kann/darf.. :)

    Gruß,
    Thomas

    Nachtrag:
    Ich habe noch etwas im Netz gestöbert und hab auf der Konsole folgendes probiert:

    a2enmod ssl
    ->
    Module ssl already enabled

    a2ensite default-ssl
    ->
    Enabling site default-ssl.
    Run '/etc/init.d/apache2 reload' to activate new configuration!

    /etc/init.d/apache2 reload
    ->
    * Reloading web server config apache2
    [Tue Jul 31 04:11:20 2012] [warn] NameVirtualHost xxx.xxx.153.33:80 has no VirtualHosts
    [Tue Jul 31 04:11:20 2012] [warn] NameVirtualHost xxx.xxx.153.33:443 has no VirtualHosts
    [Tue Jul 31 04:11:20 2012] [warn] NameVirtualHost xxx.xxx.153.37:443 has no VirtualHosts
    ...done.

    Die 33er Adresse ist die Default Adresse, die 37er die der Kundenpräsenz, welche SSL bekommen soll.

    Wenn ich nun die Kundenpräsenz via https aufrufe bekomme ich ein "It works"... Der SSL Fehler ist zwar weg, aber das Ergebnis immer noch nicht das gewünschte.
     
    Zuletzt bearbeitet: 31. Juli 2012
  2. Till

    Till Administrator

    Der Fehler liegt an einem falschen bzw. unvollständigen SSL Zertifikat. Vermutlich hast Du das ssl cert rüber kopiert ohne den key auszutauschen. Zur übernahme eines bestehenden Zertifikates solltest Du erstmal ein selbstsigniertes neues ssl cert erstellen und damit ssl testen. Danach übernimmst Du das cert und den key als Dateien in das ssl Verzeichnis und überschreibst die bestehenden, im letzten Schritt kopierst Du das cert auch in das Feld in ISPConfig. Steht im Detail auch alels im Handbuch.
     
  3. selli69

    selli69 New Member

    Moin Till,

    Erstmal vielen Dank für die (wie immer) megaprompte Antwort!! Wenn der Support bei kommerziellen Anbietern auch mal so wäre.. Egal, sollt ich Dich mal irgendwann mal treffen geb ich ein Bier aus.. oder drei.. ;)

    Ich habs im Handbuch wirklich übersehen.. Sry.. Eigentlich hätte mir jetzt ein fettes RTFM an den Kopf geworfen gehört.. naja..

    Ich habe heute Nacht noch etwas mit den selbstsignierten Certs herumgespielt, mit dem Erfolg, dass sich der apache irgendwann nicht mehr hat starten lassen - und das auch noch ohne Fehlermeldung... Nachdem ich die vHosts Datei der Präsenz aus /etc/apache2/sites-enabled rausgeschmissen habe und im Backend die Präsenz nochmal gespeichert habe war wieder alles ok.

    Kann das vllt an der von mir benutzten Version (3.0.3.3) liegen? Ich hab hier im Forum gelesen, dass ein Update auf die aktuellste Version wohl ohne Probleme möglich ist.
     
  4. Till

    Till Administrator

    Du solltest auf jeden Fall mal updaten, ssl sollte auch in 3.0.3.3 gehen, aber ob es da vielleicht doch mal einen Fehler in der Zwischenzeit gab kann ich aus dem Kopf nicht mehr sagen. wenn beim apache der key und das ssl cert nicht zusammen passen, dann starte er einfach nicht mehr, da wird also Dein problem wahrscheinlich gelegen haben.
     
  5. selli69

    selli69 New Member

    :)

    Ich werd heut erstmal Snapshots machen, dann den Update versuchen und die SSL Geschichte dann nach Handbuch zum laufen bringen...

    Vielen Dank nochmal für die Hilfe! Und das neueste Handbuch wird heut auch gleich gekauft.. ;)
     
  6. Till

    Till Administrator

    Vielen Dank! :)
     
  7. selli69

    selli69 New Member

    Bester Till,

    Ich habe nun gebackupt, ISPC auf den neuesten Stand gebracht (3.0.4.6) läuft alles soweit bestens.

    Ich bin, wie von Dir vorgeschlagen, exakt nach Handbuch (v3.0.3.3) vorgegangen, habe ein selbstsigniertes Cert erstellt und getestet - bis auf die übliche Browsermeldung alles einwandfrei und schön. Nachdem ich jedoch die .key .csr und .crt Dateien des bisherigen Systems kopiert habe und csr sowie crt in der SSL-Seite eingetragen habe, hab ich wieder selbiges Problem: Apache kommt nicht mehr hoch und ich muss die vhosts datei rausschmeissen damit wieder alles passt. Ich hab den Vorgang bestimmt 10 mal wiederholt und wirklich alles was in meine Macht stand gecheckt.. Es will, zumindest mit diesem key/csr/crt, nicht :(

    Was mir noch an Maßnahmen einfällt:

    1. Hat sich das Handbuch seit 3.0.3.3 vllt. was den Importprozess betrifft geändert? Ich kanns (noch) nicht nachprüfen, da unser Einkäufer (der, der das Handbuch kaufen soll/wird :) ) erst heute wieder im Betrieb aufschlägt.
    2. Ich kann ein neues Cert bestellen, das alte wär eh nur mehr ein paar Monate gültig.
    3. Ich geb mir die Kugel.. ;)

    Wie immer, Danke im Voraus!
    Thomas
     
  8. Till

    Till Administrator

    Es hat sich nichts beim ssl import Prozess geändert.

    Versuch mal bitte nur den Inhalt der crt und key Datei vom alten Server in die entsprechenden Dateien auf dem neuen Server (die ISPConfig angelegt hat) zu kopieren. csr ist nicht so wichtig, da es nicht vom apache genutzt wird sondern nur für den Signierprozess benötigt wird. Dann starte mal apache auf der Shell neu.
     
  9. selli69

    selli69 New Member

    So, jetzt hab ich also wirklich nur die INHALTE in den Dateien getauscht.. Same effect..

    Was mir aufgefallen ist, Die Selbstsignierten Key sowie Cert sind ein ganzes Stück "länger" als die alten.
     
  10. Till

    Till Administrator

    Es kann sein dass Dein altes Zertifikat eine niedrigere Verschlüsselungsstufe nutzt, also z.B. nur 1024 Bit. Das sollte trotzdem problemlos funktionieren, es erklärt aber die unterschiedliche Länge.

    Weist Du wo das alte SSL zertifikat erstellt wurde und hast Du Zugang zur Seite des SSL Anbieters von wo es stammt? Dann könntest Du ein "rekeying" durchführen, also das Zertifikat neu ausstellen lassen auf Basis eines CSR den Du in ISPConfig erstellt hast (testen ob es funktioniert bevor Du es signierst), das machen meines Wissens nach alle SSL Authorities kostenlos.
     
  11. selli69

    selli69 New Member

    Guter Tip, werd ich so machen, die Infos kann ich alle vom Kollegen bekommen, ein rekeying sollte also kein Problem sein.

    Ich brauch jetzt erstmal ne Mütze Schlaf.. :)
     
  12. selli69

    selli69 New Member

    Hallo Till!

    So, wir haben das Ganze nun dergestalt beendet, dass ein neues Cert eingerichtet wurde, das hat prima geklappt. Das alte Cert wäre eh in 2 Monaten ausgelaufen, von daher hat sichs nicht mehr gelohnt, da weiter dran zu pokeln (auch wenns für mich als Techniker interessant gewesen wäre, das so zum laufen zu bringen.).

    Ich Danke Dir nochmals ganz herzlich für Deine Hilfe! Auf die Qualität eueres Supports könnt Ihr echt stolz sein! Weiter so!

    Gruß aus München,
    Thomas
     

Diese Seite empfehlen