SSL-Zertifikate in ISPCONFIG 3

Dieses Thema im Forum "Installation und Konfiguration" wurde erstellt von Paul, 2. Jan. 2010.

  1. Paul

    Paul Member

    In welche Dateien schreibt ISPCONFIG 3 die SSL-Konfiguration der verschiedenen Vhosts?
    Leider hapert es bei mir im Augenblick etwas mit den Zertifikaten. Fehlercode: ssl_error_rx_record_too_long –
    SSL-Häkchen ist gesetzt. Der Vhost hat eine eigene IP-Adresse. Key- und Crt-File sind im SSL-Ordner des Vhosts.

    In ISPCONFIG 2 war die SSL-Konfiguration auf openSuse-Webservern in etc/apache2/vhosts/Vhosts_ispconfig.conf zu finden. Aber wo macht das ISPConfig 3?
    Vermutung?
    etc/apache2/sites-available
    und/oder:
    etc/apache2/sites-enabled
    Welche SSL-Statements müssen in den *.vhost-Dateien stehen?
    Hat jemand evtl. ein Muster zur Hand?

    Schönen Dank schon im Voraus.
     
  2. Till

    Till Administrator

    Würde Dir nichts bringen da jegliche manuelle Änderung automatisch entfernt wird.

    Fehlerbehebung:

    1) Stell sicher dass Du die korrekte IP und nicht * in den Webseiten Einstellungen ausgewählt hast.
    2) Stell sicher, das mod_ssl aktiviert ist wie im perfect setup beschrieben.
    3) Benutze keine Umlaute in den Angaben für SSL Zertifikate, erstell das cert ggf. in ispcinfig neu.
     
  3. Paul

    Paul Member

    Jetzt läuft's.
    Trotzdem noch eine kurze Nachfrage zum Verständnis. (Beim Experimentieren, habe ich leider den Überblick verloren, was letztlich zum Erfolg geführt hat.)

    Das crt-File, dass mir Thawte geschickt hat, und das ich incl. der Subdomain "www." beantragt habe, kopiere ich einfach zusammen mit dem .key und dem .csr-File in den SSL-Ordner des Vhosts?
    In ISPConfig muss ich nichts weiter machen?
     
  4. Till

    Till Administrator

    Nein. Dies führt dazu dass das Zertifikat bei der nächsten Änderun an dem Web wieder entfernt wird, da es ISPConfig nicht bekannt ist. Der key und das csr File sind ja bereits da, da Du das Zertifikat in ISPConfig erstellt hast. Du kopierst also nur den Inhalt des crt Files in da entsprechende Feld in ISPConfig und wählst save als Aktion aus.
     
  5. Paul

    Paul Member

    Der Inhalt des crt-Files ist im Feld "SSL Bundle" zu sehen.
    Das scheint soweit auch zu funktionieren.
    Muss ich das noch abändern, so dass das Zertifikat tatsächlich im Feld "SSL-Zertifikat" zu sehen ist?
    Schon im Voraus besten Dank. Der Fall wäre damit nämlich erledigt.
     
  6. Till

    Till Administrator

    Das SSL bundle feld ist ausschließlich für das SSL bundle und nicht für das Zertifikat. Das Zertifikat gehört in das Zertifikat Feld. Ob Du ein SSL bundle überhaupt brauchst, hängt von der SSL Zertifizierungsstelle ab. Wenn Sie Dir keine Datei mit einem bundle Zertifikat geschickt haben bzw. nichts in der Email schreiben, dann brauchst Du keines und das Feld muss in dem Fall leer sein.
     
  7. SAVERSERVER

    SAVERSERVER Member

    Hi Till,

    habe leider auch noch ein paar Schwirigkeiten bzw. warscheinlich mehr Verständnisprobleme mit SSL.

    Habe mir bei ein GEOTRUST_RAPIDSSL_WILDCARD Zertifikat geholt. Dieses habe ich (auch) für den ControlPanel-Zugang installiert. Unter /etc/apache2/ssl/ispserver.crt FUNKTIONIERT einwandfrei.

    Nun wollte ich natürlich auch das Zertifikat für die eigentliche HP.
    Habe das CRT nach SSL Zertifikat kopiert (inkl. -----BEGIN CERTIFICATE----- bla.bla.bla.-----END CERTIFICATE-----).

    Nun bekomme ich aber mit
    https://www.<doman.tld>

    Fehler: Gesicherte Verbindung fehlgeschlagen
    Ein Fehler ist während einer Verbindung mit www.<doman.tld> aufgetreten.
    SSL hat einen Eintrag erhalten, der die maximal erlaubte Länge überschritten hat.

    (Fehlercode: ssl_error_rx_record_too_long)


    Kannst Du mir sagen, was ich noch falsch mache?

    Vielen lieben Dank
    Grüsse loisl
     
  8. Till

    Till Administrator

    Ich vermute mal, das Du nur das ssl Cert kopiert hast? Ein SSL Zertifikat hat immer noch einen dazugehörigen Key. Ohne Key funktioniert es nicht. Du must den Key in die .key Datei im ssl Ordner des Webs einfügen bevor Du das zertifikat in ISPConfig einfügst wenn dieses SSL Zertifikat nicht durch ISPConfig für dieses Web rzeugt wurde.
     
  9. SAVERSERVER

    SAVERSERVER Member

    Noch mal eine Allgemein Frage!

    Also unter
    System > Server IP bearbeiten > Neue IP Adresse hinzfügen
    wenn möglich für jede Domain eine IP anlegen.

    Dann kann ich unter
    Sites > Website > Neue Website hinzufügen
    die auswählen und der Domain zuordnen.

    Das ist dann auch die IP wo der Mailserver läuft.
    Also wo der MX hinzeigen soll.

    Danke und
    lg loisl


    Soo habe mal eine weitere (externe)IP für eine Website eingetragen und diese angelegt:
    Nun wenn ich auf dem Server ein

    # traceroute saverserver.eu
    traceroute to <domain.tld> (xx.190.114.xx), 30 hops max, 40 byte packets using UDP
    1 * * *
    2 * * *
    3 * * *
    4 * * *
    5 * * *
    6 <server1.domain.tld> (xx.190.114.x)(H!) 2984.360 ms (H!) 2983.291 ms (H!) 2982.220 ms

    # ping <domain.tld>
    PING <domain.tld> (xx.190.114.xx) 56(84) bytes of data.
    From <server1.domain.tld> (xx.190.114.x): icmp_seq=2 Destination Host Unreachable
    From <server1.domain.tld> (xx.190.114.x) icmp_seq=2 Destination Host Unreachable
    From <server1.domain.tld> (xx.190.114.x) icmp_seq=3 Destination Host Unreachable
    ^C


    und von extern nicht erreichbar!
    $ traceroute <domain.tld>
    traceroute to <domain.tld> (xx.190.114.xx), 64 hops max, 52 byte packets
    1 fritz.box (192.168.178.1) 1.456 ms 1.690 ms 0.915 ms
    2 ppp-default.m-online.net (82.135.16.28) 26.639 ms 27.927 ms 33.702 ms
    3 * * *
    4 xe-1-3-0.r3.muc2.m-online.net (82.135.16.205) 26.205 ms 26.700 ms 25.321 ms
    5 ge5-1.cr3.muc1.content-core.net (80.81.202.1) 26.740 ms 26.894 ms 26.071 ms
    6 p2-92.rtr1.colo3.muc1.content-colo.net (212.123.123.178) 26.153 ms 26.791 ms 26.640 ms
    7 * * *
    8 * * *
    9 * * *
    10 * * *
    11 * * *
    12 * * *
    13 * * *
    14 * * *
    15 * * *
    16 * * *
    17 * * *
    18 * * *
    19 * * *
    20 * * *
    21 * * *
    22 * * *
    23 * * *
    24 * * *
    25 * * *
    26 * * *
    27 * * *
    28 * * *
    29 * * *
    30 * * *
    31 * * *
    32 * * *
    33 * * *
    34 * * *
    35 * * *
    36 * * *
    37 * * *
    38 * * *
    39 * * *
    40 * * *
    41 * * *
    42 * * *
    43 * * *
    44 * * *
    45 * * *
    ^C

    ?????
     
    Zuletzt bearbeitet: 5. Aug. 2010

Diese Seite empfehlen