Trotz StartSSL Class 2 unthrusted

Dieses Thema im Forum "Installation und Konfiguration" wurde erstellt von redi78, 12. Feb. 2014.

  1. redi78

    redi78 Member

    Hallo Leute,

    hat jemand eine Ahnung warum Firefox hier noch immer schreit?

    xxx.com

    Ansich ist alles richtig konfiguriert. Habt ihr das selbe Problem mit diesem Link?

    lg redi78
     
    Zuletzt bearbeitet: 12. Feb. 2014
  2. Till

    Till Administrator

    Bei mir ist es ok in chrome. Hast Du denn das bundle / chain zertifikat eingefügt?
     
  3. redi78

    redi78 Member

    Habe nun folgende Antwort von StartSSL erhalten:

    Code:
    Please see SSL Checker - SSL Certificate Verify
    
        That’s because the installation of your certificate is not complete.     You should add the intermediate CA certificate to your installation.     This is important, because most browsers will issue an error if this     is not properly done. Please consult the installation instructions     at https://www.startssl.com/?app=21 in particular:
    
           SSLCertificateFile /usr/local/apache/conf/ssl.crt
           SSLCertificateKeyFile /usr/local/apache/conf/ssl.key
           SSLCertificateChainFile     /usr/local/apache/conf/sub.class2.server.ca.pem
           SSLCACertificateFile /usr/local/apache/conf/ca.pem
    
        The missing CA certificates can be obtained from     [URL="http://www.startssl.com/certs/"]Index of /certs[/URL] 
    Mhh was genau ist da nun zu tun?
     
    Zuletzt bearbeitet: 12. Feb. 2014
  4. redi78

    redi78 Member

    Das müsste dann also reichen wenn ich die "ca-bundle.crt" in das SSL Bundle Feld kopiere und speichere, oder?
     
  5. Till

    Till Administrator

    ja, sollte reichen.
     
  6. redi78

    redi78 Member

    Alles klar. Hat geholfen, danke!
     
  7. redi78

    redi78 Member

    Da ist mir noch ein Problem aufgefallen.

    Wenn ich über den SSLCHECK meine Subdomain rdssrv1.rds360.at checke, erhalte ich folgendes Ergebnis:

    • xx.xx.xx.xx.at
      Mehr Details
    • www.aaa.com redirect
      aaa.com
    • Mittwoch, 12. Februar 2014 16:40:56
      Zeit: 53 Sekunden
    Das kann aber nicht sein. www.aaa.com redirect hat nichts mit xx.xx.xx.xx.at zu tun.

    xx.xx.xx.xx.at:8080 = ISPConfig

    Wenn ich xx.xx.xx.xx.at aufrufe, öffnet sich eine andere Seite am Server. Irgendwas läuft hier schief. Das sollte doch so nicht sein oder??

    lg redi78
     
    Zuletzt bearbeitet: 12. Feb. 2014
  8. Till

    Till Administrator

    Doch, das ist ganz normal. Ich vermute Du verwendest Di selbe IP für die SSL Webseite wie für Deinen Server bzw. die andere Seite die dort erscheint? Denn wenn apache keine passende Seite findet, zeigt er die erste ssl seite im alphabet auf der selben IP an. Daher sollten ssl seiten am Besten eine eigene ip bekommen, oder aber du musst einen ssl default vhost anlgegen, wo solche fehlgeleiteten anfragen dann auflaufen.
     
  9. redi78

    redi78 Member

    Oje, jetzt komm ich irgendwie nicht weiter. Wie genau stelle ich das an. Über ISPConfig selbst?
     
  10. redi78

    redi78 Member

    Also muss man den ssl-default-vhost manuell erstellen oder über ISPConfig. Wie mach ich das bzw. wie sieht dieser dann aus? Bitte um Hilfe.
     
  11. ramsys

    ramsys Member

  12. redi78

    redi78 Member

    mhhh ja aber in meinem Fall verwendet ISPConfig einen falsches SSL Zertifikat (nämlich eines von meinen Websiten).

    wenn ich nun rdssrv1.rds360.at aufrufe dann sollte ISPConfig kommen. Tuts aber nicht. Da kommt anscheinend die erste SSL Seite.

    Der SSLCHECKER sagt, dass das Zertifikat von rdssrv1.rds360.at einer anderen Seite auf dem Server gehört. Das stimmt aber nicht. Ich habe ein eigenes Zertifikat für den Server selbst gelöst (Securing Your ISPConfig 3 Installation With A Free Class1 SSL Certificate From StartSSL | HowtoForge - Linux Howtos and Tutorials) allerdings mit einem Class2 Zertifikat.

    Das Problem stellt sich auch beim Abrufen von E-Mails mit Thunderbird (IMAPS). Hier wird mir auch ständig ein anderes SSL Zertifikat (nämlich anscheindend von der ersten im Alphabet befindlichen SSL Website).

    Wie bekomme ich das in den Griff?
     
  13. nowayback

    nowayback Well-Known Member

    hi,

    Beim Aufruf der von dir angegebenen seite per ssl komme ich auf mccormick-ersatzteile inkl. dem dazugehörigen ssl zertifikat.

    ich vermute daher mal, dass du bei den Webseiten die IP und * gemischt hast.

    richtig, das sieht man auch ohne sslchecker :)

    Es gibt da kein unterschied zwischen class1 und class2 außer die gültigkeitsdauer. Deshalb macht es auch keinen Unterschied welches der beiden du verwendest.

    Dieses Problem ist ein ganz anderes.

    Welches Zertifikat verwendet wird, kannst du in der main.cf angeben
    Code:
    smtpd_tls_cert_file = /etc/postfix/smtpd.cert
    smtpd_tls_key_file = /etc/postfix/smtpd.key
    smtpd_use_tls = yes
    
    Achtung: Wenn du dort das Zertifikat von rdssrv1.... reinpackst, dann solltest du als pop3,imap,smtp server auch die serveradresse angeben auch beim abrufen der emails von mccormick-ersatzteile sonst ist das zertifikat nämlich falsch. deshalb habe ich eine extra domain für ispconfig und mail. da können die kunden dann mail.meineextradomain.de als mailserver angeben und es sieht immer neutral aus. außerdem ist das ssl zertifikat dann auch gültig und richtig.

    grüße
    nwb
     
  14. redi78

    redi78 Member

    hi,

    [​IMG]

    Nein ich habe bei allen Webs die IP eingetragen. Interne IP da nicht in der DMZ (es wird genattet).

    Till meinte etwas von ssl-default-vhost erstellen?
     

    Anhänge:

    • IP.JPG
      IP.JPG
      Dateigröße:
      13,8 KB
      Aufrufe:
      106

Diese Seite empfehlen