Update auf ISP 3.0.5.2 SSL Zugriff nicht möglich

Dieses Thema im Forum "Installation und Konfiguration" wurde erstellt von stefanr, 18. Juli 2013.

  1. stefanr

    stefanr Member

    Hallo,

    ich hätt ees so kurzfristig nicht machen sollen, aber ich habe ein update gemacht, jetzt bekomme ich beim Aufruf von

    https://ispconfig.domain.de:8080/

    folgenden Fehler im Browser


    Warning: require_once(../lib/config.inc.php) [function.require-once]: failed to open stream: Permission denied in /usr/local/ispconfig/interface/web/index.php on line 31

    Fatal error: require_once() [function.require]: Failed opening required '../lib/config.inc.php' (include_path='.:/usr/share/php:/usr/share/pear') in /usr/local/ispconfig/interface/web/index.php on line 31


    tail -f /var/log/apache2/error.log

    [Thu Jul 18 20:17:53 2013] [warn] RSA server certificate CommonName (CN) `ispconfig.domain.de' does NOT match server name!?
    [Thu Jul 18 20:17:53 2013] [notice] suEXEC mechanism enabled (wrapper: /usr/lib/apache2/suexec)


    Ich finde den Fehler leider nicht, beim update habe ich das ispconfig Zertifikat nicht neu generieren lassen.

    Was könnte ich unternehmen damit ich die ispconfig Seite wieder erreiche?

    Danke für Eure Unterstützung.

    STEFAN
     
  2. stefanr

    stefanr Member

  3. Till

    Till Administrator

    Das ist nicht so ganz der richtige Weg, denn er behebt nicht das eigentliche Problem und macht deinen Server unsicherer. Dein Problem ist dass apache mosd fastcgi nicht installiert oder aktiviert ist und mit dem oben stehenden Infos hast Du einen alten fallback Modus wieder aktiviert. Dein Wordpress Problem hängt wahrscheinlich auch damit zusammen dass fastcgi nicht geht und Dein web zur zeit i mod_php fallback läuft und php daher nicht ins web schreiben kann.
     
  4. stefanr

    stefanr Member

    Hi Till,

    das wundert mich es lief auf dem Server ja bereits vor dem Umzug

    server:~# aptitude search fcgid
    i libapache2-mod-fcgid

    server:~# a2enmod fcgid
    Module fcgid already enabled
    server:~# a2enmod suexec
    Module suexec already enabled

    Sieht das soweit gut aus oder habe ich noch etwas übersehen?

    Gruß

    STEFAN
     
  5. Till

    Till Administrator

    DEr Server lief dann vorehr in diesem alten Fallback Mode, den wir aber in aktuellen Versionen deaktiviert haben da er unsicher ist.

    Du kannst recht einfach prüfen ob es daran liegt. Stll erstmal de Dateien udn Rechte wieder so her wie sie ursprünglich waren, dann editier die Datei:

    /etc/apache2/sites-enabled/000-ispconfig.vhost

    und kommentier die Zeile:

    <IfModule mod_fcgid.c>

    aus sowie das schließende </IfModule> dieses Abschnitts. Dann starte apache neu, Du wirst dann wahrscheinlich einen Fehler im error.log haben dass die fcgi Direktiven nicht erlaubt sind, also das Modul nicht geladen ist oder nicht funktioniert.
     
  6. stefanr

    stefanr Member

    Guten Morgen Till,

    ich versteh es jetzt nicht ganz.

    server:~# ls -la /etc/apache2/sites-available/ispconfig.*
    -rw-r--r-- 1 root root 1544 Feb 14 2012 /etc/apache2/sites-available/ispconfig.conf
    -rw-r--r-- 1 root root 1682 Jan 8 2011 /etc/apache2/sites-available/ispconfig.vhost

    server:~# ls -la /etc/apache2/sites-enabled/*isp*
    lrwxrwxrwx 1 root root 43 Jul 18 18:54 /etc/apache2/sites-enabled/000-ispconfig.conf -> /etc/apache2/sites-available/ispconfig.conf
    lrwxrwxrwx 1 root root 34 Jun 25 2012 /etc/apache2/sites-enabled/ispconfig.vhost -> ../sites-available/ispconfig.vhost

    Hast du eine Erklärung warum die ispconfig.vhost nicht mit 000- vorhanden ist?


    Ich habe in der /etc/apache2/sites-enabled/ispconfig.vhost die
    <IfModule mod_fcgid.c>auskommentiert. Allerdings bekomme ich im Wordpress immer noch den Fehler:

    “liste.xls” konnte wegen eines Fehlers nicht hochgeladen werden
    Die hochgeladene Datei konnte nicht nach wp-content/uploads/2013/07 verschoben werden.

    Das ISPConfig kommt aber richtig und ich kann mich auch ordentlich anmelden.

    Gruß

    STEFAN
     
  7. Till

    Till Administrator

    Nein, hab ich bislang noch nicht gehabt. Kannst aberr ggf. mal den symlink umbenennen.

    Welchem User gehört denn das Verzeichnis wp-content/uploads/2013/07 und welche Rechte hat es?
     
  8. stefanr

    stefanr Member

    Hallo Till,

    danke für deine Mühe.

    cd /var/www/clients/client1/web1/web/wp-content/uploads/2013/
    server:/var/www/clients/client1/web1/web/wp-content/uploads/2013# ls -la
    total 140
    drwxr-xr-x 6 web1 client1 4096 Jul 1 01:46 .
    drwxr-xr-x 5 web1 client1 118784 Jul 14 13:19 ..
    drwxr-xr-x 2 web1 client1 4096 Apr 29 15:41 04
    drwxr-xr-x 2 web1 client1 4096 May 1 10:31 05
    drwxr-xr-x 2 web1 client1 4096 Jun 1 02:57 06
    drwxr-xr-x 2 web1 client1 4096 Jul 18 16:51 07


    ls -la /etc/apache2/sites-enabled/
    total 32
    drwxr-xr-x 2 root root 12288 Jul 22 18:27 .
    drwxr-xr-x 7 root root 4096 Jul 18 20:07 ..
    lrwxrwxrwx 1 root root 39 Jul 18 18:54 000-apps.vhost -> /etc/apache2/sites-available/apps.vhost
    lrwxrwxrwx 1 root root 43 Jul 18 18:54 000-ispconfig.conf -> /etc/apache2/sites-available/ispconfig.conf
    lrwxrwxrwx 1 root root 30 Jul 18 20:12 default-ssl -> ../sites-available/default-ssl
    lrwxrwxrwx 1 root root 33 Jul 22 18:27 ispconfig.conf -> ../sites-available/ispconfig.conf
    lrwxrwxrwx 1 root root 34 Jul 22 18:27 ispconfig.vhost -> ../sites-available/ispconfig.vhost

    irgendwie scheint das komisch zu sein. Habe die Webseiten mit a2dissite deaktiviert apache2 relod sowie a2ensite wieder aktiviert und apache2 reload gemacht. Allerdings bekomme ich wieder zwei mal auf die ispconfig.conf verwiesen, einmal mit 000- einmal ohne.

    Gruß

    STEFAN
     
  9. Till

    Till Administrator

    Du kannst a2dissite dafür nicht nehmen da es den symlink falsch anlegt. Lass bitte die Symlinks mit 000 so und lösche den anderen und starte apache neu.

    Die Verzeichnisrechte sind ok. Poste bitte mal den Inhalt der vhost Datei dieses webs.
     
  10. Till

    Till Administrator

    Noch zur Erläuterung:

    die ispconfig.conf und .vhost muss ganz am Anfang kommen, daher 000 vorweg denn sie schließen Zugrffsmöglichkeiten und sichern den Server, die webs öffnen dann die für sie notwendigen Verzeichnisse. Wenn Du jetzt ispconfig vhost / conf ohne 000 hast, dann kann es sein dass Verzeichnisse die durch ein web geöffnet wurden durch die ispconfig.conf wieder deaktiviert werden.
     
  11. stefanr

    stefanr Member

    cat /etc/apache2/sites-available/domain.de.vhost
    <Directory /var/www/domain.de>
    AllowOverride None
    Order Deny,Allow
    Deny from all
    </Directory>

    <VirtualHost *:80>
    DocumentRoot /var/www/domain.de/web

    ServerName domain.de
    ServerAlias Domain.de
    ServerAdmin webmaster@domain.de

    ErrorLog /var/log/ispconfig/httpd/domain.de/error.log

    Alias /error/ "/var/www/domain.de/web/error/"
    ErrorDocument 400 /error/400.html
    ErrorDocument 401 /error/401.html
    ErrorDocument 403 /error/403.html
    ErrorDocument 404 /error/404.html
    ErrorDocument 405 /error/405.html
    ErrorDocument 500 /error/500.html
    ErrorDocument 502 /error/502.html
    ErrorDocument 503 /error/503.html

    <IfModule mod_ssl.c>
    </IfModule>

    <Directory /var/www/domain.de/web>
    Options FollowSymLinks
    AllowOverride All
    Order allow,deny
    Allow from all
    </Directory>
    <Directory /var/www/clients/client1/web1/web>
    Options FollowSymLinks
    AllowOverride All
    Order allow,deny
    Allow from all
    </Directory>




    # suexec enabled
    <IfModule mod_suexec.c>
    SuexecUserGroup web1 client1
    </IfModule>
    # Clear PHP settings of this website
    <FilesMatch "\.ph(p3?|tml)$">
    SetHandler None
    </FilesMatch>
    # php as fast-cgi enabled
    # For config options see: mod_fcgid - Apache HTTP Server
    <IfModule mod_fcgid.c>
    IdleTimeout 300
    ProcessLifeTime 3600
    # MaxProcessCount 1000
    DefaultMinClassProcessCount 0
    DefaultMaxClassProcessCount 100
    IPCConnectTimeout 3
    IPCCommTimeout 360
    BusyTimeout 300
    </IfModule>
    <Directory /var/www/domain.de/web>
    AddHandler fcgid-script .php .php3 .php4 .php5
    FCGIWrapper /var/www/php-fcgi-scripts/web1/.php-fcgi-starter .php
    Options +ExecCGI
    AllowOverride All
    Order allow,deny
    Allow from all
    </Directory>
    <Directory /var/www/clients/client1/web1/web>
    AddHandler fcgid-script .php .php3 .php4 .php5
    FCGIWrapper /var/www/php-fcgi-scripts/web1/.php-fcgi-starter .php
    Options +ExecCGI
    AllowOverride All
    Order allow,deny
    Allow from all
    </Directory>
    <IfModule mpm_itk_module>
    AssignUserId web1 client1
    </IfModule>

    <IfModule mod_dav_fs.c>
    # Do not execute PHP files in webdav directory
    <Directory /var/www/clients/client1/web1/webdav>
    <ifModule mod_security2.c>
    SecRuleRemoveById 960015
    SecRuleRemoveById 960032
    </ifModule>
    <FilesMatch "\.ph(p3?|tml)$">
    SetHandler None
    </FilesMatch>
    </Directory>
    DavLockDB /var/www/clients/client1/web1/tmp/DavLock
    # DO NOT REMOVE THE COMMENTS!
    # IF YOU REMOVE THEM, WEBDAV WILL NOT WORK ANYMORE!
    # WEBDAV BEGIN
    # WEBDAV END
    </IfModule>
    Options +FollowSymLinks
    </VirtualHost>


    Einige rewrite habe ich jetzt rausgelassen, sind aber noch mit drin.

    Die symlinks habe ich angepasst.

    Gruß
    STEFAN
     
  12. stefanr

    stefanr Member

    Guten Morgen Till,

    das Thema wird immer verrückter, und mir gehen langsam die Ideen aus.

    Mein roundcube (webmail) unter https://webmail.domain.de zeigt nur noch
    It works!!

    Im Verzeichnis

    server:/usr/share/roundcube# ls -al
    total 24
    drwxr-xr-x 6 root root 4096 Jun 13 17:32 .
    drwxr-xr-x 131 root root 4096 Jul 15 13:38 ..
    lrwxrwxrwx 1 root root 19 Jun 13 17:32 roundcube -> roundcubemail-0.8.2
    drwxr-xr-x 11 501 80 4096 Oct 29 2012 roundcubemail-0.7.1
    drwxr-xr-x 11 501 80 4096 Jul 23 08:30 roundcubemail-0.8.2
    drwxr-xr-x 11 501 80 4096 Jun 13 17:20 roundcubemail-0.9.1
    drwxr-xr-x 3 root root 4096 Jul 2 2012 ssl

    kann ich nirgends den Inhalt der Seite finden. Die vhost vom webmail schaut aus:

    <virtualhost 188.40.204.101:80>
    ServerName webmail.domain.de
    RedirectMatch permanent ^.*$ https://webmail.domain.de/
    </virtualhost>

    <VirtualHost 188.40.204.101:443>
    ServerAdmin webmaster@domain.de
    ServerName webmail.domain.de
    DocumentRoot /usr/share/roundcube/roundcube
    <Directory />
    Options FollowSymLinks
    AllowOverride None
    </Directory>
    <Directory /usr/share/roundcube/roundcube>
    Options Indexes FollowSymLinks MultiViews
    AllowOverride None
    Order allow,deny
    allow from all
    </Directory>

    ErrorLog /var/log/apache2/roundcube/error.log

    # Possible values include: debug, info, notice, warn, error, crit,
    # alert, emerg.
    LogLevel warn

    CustomLog /var/log/apache2/roundcube/error.log combined

    <IfModule mod_ssl.c>
    SSLEngine on
    SSLCertificateFile /usr/share/roundcube/ssl/webmail.domain.de.crt
    SSLCertificateKeyFile /usr/share/roundcube/ssl/webmail.domain.de.key
    SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown
    CustomLog /var/log/apache2/roundcube/ssl_request_log "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
    </IfModule>

    php_value post_max_size 10M
    php_value upload_max_filesize 10M

    #ServerSignature On
    #RewriteEngine on
    #RewriteCond %{HTTP_HOST} ^ispconfig.domain.de [NC]
    #RewriteRule ^/(.*)$ https://ispconfig.domain.de:8080/$1 [R,L]
    #RewriteCond %{HTTP_HOST} ^webmail.domain.de [NC]
    #RewriteRule ^/webmail(.*)$ https://webmail.domain.de/$1 [R,L]
    </VirtualHost>

    Das apache2 logging scheint auch nicht mehr so 100% sauber zu laufen:

    server:/var/log/apache2# ls -latrh
    -rw-r----- 1 root adm 19K Jul 22 22:54 ssl_access.log.1
    -rw-r----- 1 root adm 3.4K Jul 22 23:15 suexec.log.1
    -rw-r----- 1 root adm 7.0M Jul 23 00:02 other_vhosts_access.log.1
    drwxr-x--- 4 root adm 36K Jul 23 00:02 .
    -rw-r----- 1 root adm 27K Jul 23 00:02 error.log.1
    drwxr-xr-x 16 root root 24K Jul 23 01:00 ..
    -rw-r----- 1 root adm 5.3K Jul 23 08:31 ssl_access.log
    -rw-r----- 1 root adm 1.1K Jul 23 08:35 suexec.log
    -rw-r----- 1 root adm 6.6K Jul 23 08:35 error.log
    -rw-r----- 1 root adm 955K Jul 23 08:37 other_vhosts_access.log

    server:/var/log/apache2# ls -latrh access.log*
    -rw-r----- 1 root adm 1.5K Jul 2 2012 access.log.2.gz
    -rw-r----- 1 root adm 98K Jul 3 2012 access.log.1
    -rw-r----- 1 root adm 0 Jul 4 2012 access.log

    server:/var/log/apache2# ls -latrh error.log*
    -rw-r----- 1 root adm 1.4K Jul 22 00:01 error.log.2.gz
    -rw-r----- 1 root adm 27K Jul 23 00:02 error.log.1
    -rw-r----- 1 root adm 6.6K Jul 23 08:35 error.log

    es scheint so als wenn der apache2 kein access.log mehr schreibt.

    Das Ispconfig Webinterface ist sauber erreichbar, meine Webseite Domain.de soweit auch.
    Der Upload im wordpress klappt auf einmal auch wieder!

    Ich habe in der ispconfig.vhost folgende Zeilen wieder aktiviert und den apache2 danach neu gestartet. Danach den upload sowie das ISPConfig getestet das geht.

    <IfModule mod_fcgid.c>
    DocumentRoot /var/www/ispconfig/
    SuexecUserGroup ispconfig ispconfig
    <Directory /var/www/ispconfig/>
    Options Indexes FollowSymLinks MultiViews +ExecCGI
    AllowOverride AuthConfig Indexes Limit Options FileInfo
    AddHandler fcgid-script .php
    FCGIWrapper /var/www/php-fcgi-scripts/ispconfig/.php-fcgi-starter .php
    Order allow,deny
    Allow from all
    </Directory>
    </IfModule>

    Jetzt bleiben die Probleme:
    - logging
    - webmail

    Ich versuche im Moment Fakten zusammen zu sammeln, damit alles an Infos vorhanden sind.

    Gruß

    STEFAN
     
  13. magenbrot

    magenbrot Member

    Ist der Vhost für dein Webmail auch unter sites-enabled im apache2 Verzeichnis verlinkt? Das wird aus deinem Post nicht ganz klar.
     
  14. stefanr

    stefanr Member

    Hallo,

    sorry der späten Antwort. Ja ist er. Jetzt scheint das Webmail aber auch wieder zu klappen.

    Jetzt bleibt eigentlich nur noch die Frage nach dem Logfile vom apache2.

    Gruß

    STEFAN
     
  15. nowayback

    nowayback Well-Known Member

    hi,

    wenn du das meinst:
    die meldung besagt das dein server nicht ispconfig.domain.de heißt sonder halt irgendwie anders z.b. server1.domain.de

    grüße
    nwb
     
  16. simplemodus

    simplemodus Member

    wie hast du das gelöst ? bei mir zeigt das isp selbst nur it works mehr an ;-//
     
  17. stefanr

    stefanr Member

    Hallo,

    leider kann ich das nicht sagen, da es irgendwie wieder funktionierte.

    Jetzt nach Update auf ISPConfig 3.0.5.3 habe ich das Problem wieder. Die ispconfig Oberfläche ist per https leider nicht mehr erreichbar, nur per http funktioniert es Problemlos.

    Kann mir dabei nochmal jemand helfen? Ich verstehe nicht das es nach dem Update nicht mehr laufen soll.

    Fehlerbild:

    nach Update https:

    Ein Fehler ist während einer Verbindung mit ispconfig.rr-netz.de:8080 aufgetreten.
    SSL hat einen Eintrag erhalten, der die maximal erlaubte Länge überschritten hat.
    (Fehlercode: ssl_error_rx_record_too_long)

    nach Update http:
    funktioniert

    alte ispconfig.vhost&ispconfig.conf https:

    Warning: require_once(../lib/config.inc.php) [function.require-once]: failed to open stream: Permission denied in /usr/local/ispconfig/interface/web/index.php on line 31
    Fatal error: require_once() [function.require]: Failed opening required '../lib/config.inc.php' (include_path='.:/usr/share/php:/usr/share/pear') in /usr/local/ispconfig/interface/web/index.php on line 31

    alte ispconfig.vhost&ispconfig.conf http:
    <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"> <html><head> <title>400 Bad Request</title> </head><body> <h1>Bad Request</h1> <p>Your browser sent a request that this server could not understand.<br /> Reason: You're speaking plain HTTP to an SSL-enabled server port.<br /> Instead use the HTTPS scheme to access this URL, please.<br /> <blockquote>Hint: <a href="https://gandor.tec-rrnetz.de:8080/"><b>https://gandor.tec-rrnetz.de:8080/</b></a></blockquote></p> </body></html>


    Alle anderen https Seiten funktionieren Problemlos.

    Danke und Gruß

    STEFAN
     
  18. Till

    Till Administrator

    Der php fehler besagt dass mod_fcgi nicht installiert oder aktiviert ist und der ssl fehler besagt dass ssl nicht aktiv it, wahrscheinlich liegt dein ssl cert nicht im richtigen verzeichnis oder hat einen falschen namen.
     
  19. stefanr

    stefanr Member

    Guten Morgen Till,

    das hatten wir doch eigentlich schon ausgeschlossen oder?

    Habe soeben noch einmal nachgesehen. Es ist immer noch so.

    Womit du aber Recht hast ist das beim Zertifikat etwas nicht stimmt.

    In /etc/apache2/sites-available/ispconfig.vhost schaut der SSL Bereich wie folgt aus:

    # ErrorLog /var/log/apache2/error.log
    # CustomLog /var/log/apache2/access.log combined
    ServerSignature Off

    <IfModule mod_security2.c>
    SecRuleEngine Off
    </IfModule>

    # SSL Configuration
    #SSLEngine On
    #SSLCertificateFile /usr/local/ispconfig/interface/ssl/ispserver.crt
    #SSLCertificateKeyFile /usr/local/ispconfig/interface/ssl/ispserver.key
    #SSLCACertificateFile /usr/local/ispconfig/interface/ssl/ispserver.bundle

    ls -al /usr/local/ispconfig/interface/ssl
    total 24
    drwxr-s--- 2 ispconfig ispconfig 4096 Sep 6 2009 .
    drwxr-s--- 7 ispconfig ispconfig 4096 Sep 6 2009 ..
    -rwxr-x--- 1 ispconfig ispconfig 1042 Sep 6 2009 server.crt
    -rwxr-x--- 1 ispconfig ispconfig 834 Sep 6 2009 server.csr
    -rwxr-x--- 1 ispconfig ispconfig 887 Sep 6 2009 server.key
    -rwxr-x--- 1 ispconfig ispconfig 963 Sep 6 2009 server.key.org

    Was ist denn beim Update schiefgelaufen das die Config das anders haben will als die Dateien lauten?

    Wie soll ich weiter vorgehen?

    Danke und Gruß

    STEFAN
     
  20. Till

    Till Administrator

    Die SSL dateien in ISPConfig heißen schon immer ispserver.crt und ispserver.key. Deine Dateien heißen anders und können dahre nicht erkannt werden. Du musst sie mal manuell angelegt und konfiguriert haben. benenne sie einfach in ispserver.* um und entferne dann die # vor den zeilen:

    #SSLEngine On
    #SSLCertificateFile /usr/local/ispconfig/interface/ssl/ispserver.crt
    #SSLCertificateKeyFile /usr/local/ispconfig/interface/ssl/ispserver.key

    und starte apache neu. Dann wird ein SSL auch nach dem nächsten Update noch funktionieren.
     

Diese Seite empfehlen