ssl_error_rx_record_too_long

Dieses Thema im Forum "Installation und Konfiguration" wurde erstellt von Rush, 13. Sep. 2009.

  1. Rush

    Rush New Member

    Hi,

    hab gerade schon n paar minuten das forum durchsucht und gegoogelt aber nichts brauchbares gefunden...

    Mein Problem ist das folgende: wenn ich per ssl eine beliebige Domain aufrufen will (https://example.com) bekomme ich im Firefox folgende Fehlermeldung:
    [​IMG]

    Muss ich ein neues SSL-Cert erstellen oder wie?!? SSL ist natürlich in ISPConfig aktiviert...

    Ich benutze Debian Etch mit ISPConfig2


    Gruß
    Rush
     
  2. Burge

    Burge Member

    ja sicher musst du eine neues erstellen.
     
  3. Rush

    Rush New Member

    Hi,

    danke erstmal für die schnelle antwort.

    Wie erstelle ich ein neues SSL-Cert? Hab gerade n bisschen rumgesucht und nix passendes dazu gefunden...?


    Gruß
    Rush
     
  4. Burge

    Burge Member

    schaltest in den einstellungen des webs erstmal ssl frei und hast danach einen neuen reiten ssl bei dem web. da wird dann alles abgefragt.

    Aber denk dran für ssl webseite brauchst ne extra ip.
     
  5. Rush

    Rush New Member

    Hast du in meinem ersten Post wohl überlesen. SSL ist bereits aktiviert und den reiter gibt es auch, ich habe dort auch die Angaben ausgefüllt außer SSL Request und SSL Zertifikat da wusste ich nicht, was ich da reinschreiben soll. Unten hab ich ausgewählt "Zertifikat erzeugen". Das Problem bestand aber immernoch...

    Übrigens will ich kein SSL-Cert von VeriSign oder son kram. Nur ein selbst signiertes, das reicht völlig... Ich habe für meinen Server 2 IP-Adressen. Aber aus welchem grund brauche ich für SSL ne "extra" IP ???


    Gruß
    Rush
     
  6. Burge

    Burge Member

    warum du extra ip brauchst keine Ahnung muss mal jemand antworten der sich damit auskennt.

    Ich glaub das was du da erstellt hast musst du erst noch signieren. Das musst dann über die console machen wenn dir selbst signiert reicht oder ebend von einen anderen CA signieren lassen.
     
  7. Rush

    Rush New Member

    hi,

    aha... und das mache ich wie genau? haste nen link zu nem tut oder so?

    Gruß
    Rush
     
  8. Till

    Till Administrator

    Du kannst Das Zertifikat ganz einfach über ISPConfig erstellen, da muss nichts mehr signiert werden. Der obige Fehler tritt dann auf, wenn beim Zertifikat Zeichen eingegeben wurden, die opensl nicht verarbeiten konnte. Stell bitte sicher, dass Du keine Sonderzeichen und deutschen Umlaute verwendest und dann erstelle das Zertifikat in ISPConfig neu. Das dauert übrigens etwas, also warte vor dem erneuten ein paar Minuten.
     
  9. gummel

    gummel New Member

    Hallo,

    geb mal in der Konsole

    a2enmod ssl
    a2ensite default-ssl

    damit müsste der Fehler behoben sein.

    Gruß
    Gummel
     
  10. Rush

    Rush New Member

    hi,

    danke für die antworten. habs einfach noch ein zweites mal übers ispconfig versucht. hat dann auch geklappt... :eek:

    danke für die hilfe ;)


    Gruß
    Rush
     
  11. JeGr

    JeGr Member

    Da mögest du bitte mal nachlesen, was SSL und Webserver angeht. Ein SSL Zertifikat kann immer nur auf eine IP Adresse und Webseite gebunden werden. Deshalb ist für jede Domain, auf der SSL laufen soll, eine weitere IP notwendig. Das ist eine Eigenheit von SSL und keine Willkür von ISPConfig o.ä.
    Das erste SSL Web kann also auf der gleichen IP wie der Server laufen, alle weiteren benötigen eigene IPs.

    Gruß Grey
     
  12. Rush

    Rush New Member

    Hi,

    soweit, so gut. habe jetzt zwar vorerst das mit den zertifikaten hinbekommen und ich dachte erst, dass das funktioniert. hab den server vor n paar tagen neu gestartet und das selbe problem ist wieder da. aber jetzt ist noch ein neues viel größeres problem aufgekommen... ich komme nichtmehr ins ispconfig übern browser rein. port 81 scheint nicht mehr hören zu wollen...

    Firefox sagt Fehler: Verbindung Fehlgeschlagen, kann keine Verbindung zum server ****.info:81 aufbauen.

    Code:
     netstat -tap
    sagt folgendes:
    Code:
    tcp        0      0 *:10787                 *:*                     LISTEN     16197/(squid)
    tcp        0      0 *:mysql                 *:*                     LISTEN     15448/mysqld
    tcp        0      0 *:ftp                   *:*                     LISTEN     17901/proftpd: (acc
    tcp        0      0 ns2.************:domain *:*                     LISTEN     17862/named
    tcp        0      0 ****************:domain *:*                     LISTEN     17862/named
    tcp        0      0 localhost.locald:domain *:*                     LISTEN     17862/named
    tcp        0      0 localhost.localdoma:953 *:*                     LISTEN     17862/named
    tcp        0      0 *:smtp                  *:*                     LISTEN     17824/master
    tcp6       0      0 *:https                 *:*                     LISTEN     28144/apache2
    tcp6       0      0 *:imaps                 *:*                     LISTEN     15789/couriertcpd
    tcp6       0      0 *:9090                  *:*                     LISTEN     15874/java
    tcp6       0      0 *:9091                  *:*                     LISTEN     15874/java
    tcp6       0      0 *:pop3s                 *:*                     LISTEN     15828/couriertcpd
    tcp6       0      0 *:xmpp-client           *:*                     LISTEN     15874/java
    tcp6       0      0 *:5223                  *:*                     LISTEN     15874/java
    tcp6       0      0 *:5229                  *:*                     LISTEN     15874/java
    tcp6       0      0 *:pop3                  *:*                     LISTEN     15809/couriertcpd
    tcp6       0      0 *:imap2                 *:*                     LISTEN     15777/couriertcpd
    tcp6       0      0 *:www                   *:*                     LISTEN     28144/apache2
    tcp6       0      0 *:domain                *:*                     LISTEN     17862/named
    tcp6       0      0 *:xmpp-server           *:*                     LISTEN     15874/java
    tcp6       0      0 *:ssh                   *:*                     LISTEN     16098/sshd
    tcp6       0      0 ::1:953                 *:*                     LISTEN     17862/named
    tcp6       0      0 *:smtp                  *:*                     LISTEN     17824/master
    tcp6       0   1328 *******************:ssh *****************:52866 ESTABLISHED20029/0
    tcp6       0      0 *****************:https *****************:53371 TIME_WAIT  -
    tcp6       0      0 *****************:https *****************:53369 TIME_WAIT  -
    Ich hab hier mal meine aktuelle, sowie die Server IP zensiert (****)

    und
    Code:
    netstat -an | grep :81
    bleibt ohne Ergebnis...


    Irgend eine Idee?


    Gruß
    Rush
     
    Zuletzt bearbeitet: 23. Sep. 2009
  13. Till

    Till Administrator

    Ruf mal bitte auf:

    /etc/init.d/ispconfig_server restart

    geht es dann wieder?
     
  14. Rush

    Rush New Member

    Hi,

    danke für die schnelle antwort (wie immer ;))

    isp neustart hat nicht geholfen :(

    Code:
    Shutting down ISPConfig system...
    /root/ispconfig/httpd/bin/apachectl stop: httpd (pid 17818?) not running
    ISPConfig system stopped!
    Starting ISPConfig system...
    /root/ispconfig/httpd/bin/apachectl startssl: httpd started
    ISPConfig system is now up and running!
    ich hab ma in die httpd error log geschaut... hab da scheinbar mit den zertifikaten rumgemurkst. kann es daran liegen?

    /root/ispconfig/httpd/logs/error_log
    Code:
    [Wed Sep 23 12:20:13 2009] [warn] pid file /root/ispconfig/httpd/logs/httpd.pid overwritten -- Unclean shutdown of previous Apache run?
    [Wed Sep 23 12:20:13 2009] [error] mod_ssl: Init: (ispcfg.*********.info:81) Unable to configure RSA server private key (OpenSSL library error follows)
    [Wed Sep 23 12:20:13 2009] [error] OpenSSL: error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch
    [Thu Sep 24 05:45:02 2009] [warn] pid file /root/ispconfig/httpd/logs/httpd.pid overwritten -- Unclean shutdown of previous Apache run?
    [Thu Sep 24 05:45:02 2009] [error] mod_ssl: Init: (ispcfg.*********.info:81) Unable to configure RSA server private key (OpenSSL library error follows)
    [Thu Sep 24 05:45:02 2009] [error] OpenSSL: error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch
    Gruß
    Rush
     
  15. Till

    Till Administrator

  16. Rush

    Rush New Member

    Hi,

    jaah jetzt funktioniert es wieder optimal. vielen vielen vielen Dank ;)


    Gruß
    Rush
     
  17. Quest

    Quest Member

    Ich hab nach dem Howto einen CSR-Key generiert und mir diesen von startssl.com signieren lassen.
    Den signierten Key versuche ich jetzt im CRT File zu benutzen und bekomme den ssl_error_rx_record_too_long Fehler.
    Mit einem selbstsignierten CRT funktioniert es bestens, nur mit dem von startssl nicht.
    Ich versuche nach dem HowTo auf FAQForge das ISP3 Panel über HTTPS laufen zu lassen.
     
  18. pee

    pee New Member

    Ich wollte mir soeben laut deiner Anleitung ein neues self signed SSL cert erstellen, doch dann bekomme ich die Meldung »no such file or directory«. Bist du vielleicht so nett und gibst eine kurze Beschreibung zu den Befehlen die da eingegeben werden sollen?

    Geht übrigens grundsätzlich die Zertifikatsanforderung mit (hier beschrieben: http://support.psw.net/questions/26/Wie-wird-eine-Zertifizierungsanforderung-%28CSR%29-erstellt-%28Apache%29%3F)
    Code:
    openssl req -new -nodes -keyout dateiname.key -out dateiname.csr
    oder braucht ISPC die Extra-Vorgehensweise, zu welcher bei mir Dateien und Ordner nicht vorhanden sind?
     
  19. Till

    Till Administrator

    Die exakten Befehle stehen in dem FAQForge Artikel, deshalb habe ich Ihn ja auch verlinkt ;) Du hast auch darauf geachtet, dass es hier um ISPConfig 2 geht und nicht 3!
     
  20. pee

    pee New Member

    Also bei mir geht es um den aktuellen ISPC 3.0.1.6. Muss ich bei ihm ebenso vorgehen wie im FAQ beschrieben oder kann ich zum Erstellen eines CSR auch

    ins Root-Terminal eingeben? So sollte der Key-Request immerhin bei allen Apache2-Servern funktionieren. Weil wenn ich wie im FAQ vorgehe, werden die Dateien und Ordner nicht gefunden.

    Zudem habe ich die nötigen 3 Dateien unter /var/www/clients/clientNUMMER/webNUMMER/ssl mit gEdit komplett neu erstellt und deren Inhalt im ISPC-Adminpanel innerhalb des entsprechenden SSL-Reiters geprüft und die Speicherung bestätigt. Sie enthalten auch keine Sonderzeichen bzw. Umlaute.

    Nur kann ich dann leider nicht den Apache2 neustarten. Ich muss in der DOMAIN.vhost unter /etc/apache2/sites-enabled

    Code:
    SSLEngine on
    SSLCertificateFile /var/www/clients/clientNUMMER/webNUMMER/ssl/DATEINAME.cr
    die beiden genannten Zeilen auskommentieren. Folglich geht das SSL natürlich nicht. Mein Betriebssystem ist Debian 5 mit 64 Bit.

    Wäre super von dir Till, wenn du mir hierbei bitte noch einen Wissensschubser schenken könntest. Ich hänge seit gestern verzweifelt an dieser SSL-Geschichte. Hab mich auch schon durchs Forum gewühlt. Eine extra IP für die Domain ist eingestellt. CSR-, CRT- und Key-Datei definiert. Habe keine Ahnung was ich sonst noch machen soll..
     
    Zuletzt bearbeitet: 3. Nov. 2009

Diese Seite empfehlen