Wie installiere ich das RapidSSL Zertifikat?

Dieses Thema im Forum "Installation und Konfiguration" wurde erstellt von baerndorfer, 14. Apr. 2015.

  1. baerndorfer

    baerndorfer Member

    Hallo an Alle!

    Ich habe ein SSL-Zertifikat für eine Domain gekauft, die unter ISPConfig 3.0.5.4p5 läuft.
    SSL ist bei der Domain aktiviert.

    Von geotrust.com habe ich ein Mail bekommen, wo das Web Server Certificate dabei ist (als reiner Text [also kein file]).
    Das beginnt mit ----BEGIN CERTIFICATE ---- und endet mit ---END CERTIFICATE
    ein paar Leerzeilen weiter kommt INTERMEDIATE CA: ---BEGIN CERTIFICATE und endet mit ---END CERTIFICATE

    Frage - ist das nun ein, oder sind das 2 Zertifikate?

    Und wohin kopiere ich das im ISPConfig?
    Bei SSL Certificate habe ich das schon versucht - klappt nicht.
    Fehlermeldung lautet: (Error code: ssl_error_rx_record_too_long)

    Gibts da eine simple Lösung für mein Problem oder muss man da "tiefer rein"?

    Lieben Dank für eure Tipps
     
  2. robotto7831a

    robotto7831a Member

    In ISPConfig auf der Registerkarte SSL folgendes machen.
    SSL Key => Kommt dein privater Key rein, wenn er dort noch nicht steht. Also sowas wie z. B.
    SSL Certificate => Kommt dein Zertifikat aus der Mail rein.
    SSL Bundle => Da kommt das Intermediate rein.
     
  3. baerndorfer

    baerndorfer Member

    danke für die schnelle hilfe!
    allerdings funktioniert es immer noch nicht.
    fehlermeldung beim aufruf durch den firefox ist die gleiche.
     
  4. fuxifux

    fuxifux Member

    Wichtig ist auch noch unten bei "SSL action" "Save certificate" auszuwählen, sonst passiert gar nichts wenn man auf save drückt!!
     
  5. baerndorfer

    baerndorfer Member

    Hab ich alles gemacht.
    Der Apache weigert sich mit dieser Config zu starten.
    Ich habe jetzt eine domain.com.host.err Datei wo die neuen Einträge für die Domain enthalten sind. Die funktioniert nicht - er verwendet nach wie vor die alte ohne dem SSL Zeugs..
    Ausserdem meckert er bei meinen SSL-Files rum! Im Verzeichnis wo die gespeichert sind finde ich jetzt auch 3 Dateien mit der .err Endung. Augenscheinlich sehen diese Files aus wie jene, die das ispconfig dort hingeschrieben hat.

    Etwas ratlos bin ich jetzt.
     
  6. robotto7831a

    robotto7831a Member

    Welche Fehlermeldung kommt denn?

    Ist in der Errordatei etwas drin was komisch aussieht?
     
  7. baerndorfer

    baerndorfer Member

    Ich lese gerade im apache2 error.log folgendes..

    Code:
    [ssl:warn] [pid 7812] AH01906: RSA server certificate is a CA certificate (BasicConstraints: CA == TRUE !?)
    [ssl:warn] [pid 7812] AH01909: RSA certificate configured for xxx.meinserver.com:8080 does NOT include an ID which matches the server name
     
  8. robotto7831a

    robotto7831a Member

    Ich habe gestern Abend auf meinem Server auch ein neues Zertifikat über ISPConfig installiert und läuft alles super.

    Benenn doch mal den Problme vhosts um und den vhosts.err nach vhosts und reloade deinen Webserver. Welche Fehlermeldung kommt?
     
  9. baerndorfer

    baerndorfer Member

    Nach dem Umbenennen und einem apache2 stop/start kommando hat er mich erstmals nach dem Passwort gefragt. nach der Eingabe (und etwas warten) erhalte ich folgende message im ispconfig..

    WARNING: "Apache did not restart after the configuration change for website meinewebsite.net. Reverting the configuration. Saved non-working config as /etc/apache2/sites-available/meinewebsite.net.vhost.err"

    Im error.log vom apache2 (/var/log/apache2) steht..
    [ssl:warn] [pid 20510] AH01906: RSA server certificate is a CA certificate (BasicConstraints: CA == TRUE !?)
    [Thu Apr 16 07:41:42.584285 2015] [ssl:warn] [pid 20510] AH01909: RSA certificate configured for host.meinedomain.com:8080 does NOT include an ID which matches the server name

    Ich musste dann den Ursprungszustand wiederherstellen (im Bezug auf die umbenannten Dateien) weil sich der httpd dienst nicht mehr starten lässt. im ispconfig taucht dazu folgende message auf..

    WARNING: httpd is down! Try rescue httpd (try:5)...

     
  10. Till

    Till Administrator

    Dann ahst Du 2 Probleme, zum einen nutzt Du einen verschlüsselten key, das geht aber nicht denn sonst bootet dein Server nicht mehr in Zukunft da er beim booten auf eine Passworteingabe warten würde und dann scheint der verwendete Key auch nicht zum Zertifikat zu gehören. Wahrscheinlich hast Du beid extern von ISPConfig erstellt und jetzt passen sie nicht zusammen (und sind dazu noch verschlüsselt, was aus oben genannten Gründen nicht geht).
     
  11. baerndorfer

    baerndorfer Member

    Ich habe mich beim Generieren an die Anweisung von RapidSSL gehalten -> LINK
    Verstehe ich es richtig, dass ich das ZWINGEND innerhalb vom ispconfig machen muss und nicht über die Konsole?
     
  12. robotto7831a

    robotto7831a Member

    Man muss es nicht zwingend über ISPConfig machen.

    PS: Der Parameter -des3 ist das Problem wie Till schon geschrieben hat.
     
    Zuletzt bearbeitet: 16. Apr. 2015
  13. Till

    Till Administrator

    Das ist nicht zwingend, Du kannst es auch manuell machen wenn Du Dich gut mit openssl auskennst. Über ispconfig ist es halt nur viel einfacher und es ist sichergestellt, das alles korrekt zueinander passt.
     
  14. robotto7831a

    robotto7831a Member

    Um die Kuh jetzt vom Eis zu bekommen, kann man in der Regel bei vielen Zertifikatausstellern das ausgestellte Zertifikat innerhalb der ersten Tage stornieren und gegen ein anderes austauschen. Genaueres sagt dir dein Verkäufer.
     
  15. baerndorfer

    baerndorfer Member

    danke euch vielmals für die hilfreichen infos!
    habe einmal angefragt ob rapidssl mir kostenfrei ein neues ausstellt oder nicht.
    so oder so werde ich das noch einmal neu machen - diesmal im ispconfig.
    bei erfolg oder Misserfolg darf ich mich noch einmal melden!
     
  16. robotto7831a

    robotto7831a Member

    Hast Du direkt bei Rapidssl gekauft?
     
  17. baerndorfer

    baerndorfer Member

    ja hab ich. stimmt da was nicht?
     
  18. robotto7831a

    robotto7831a Member

    Nö schon ok. Es gibt auch Verkäufer die das gleiche Zertifikat von Rapidssl billiger anbieten.
     
  19. baerndorfer

    baerndorfer Member

    Haha!!

    Ich habe jetzt noch einmal ein Zertifikat erstellt - diesmal laut meinem ispconfig-handbuch.
    Den request versendet, ein neues Zertifikat mit bundlefile erhalten.
    Alles reinkopiert, dann 2 Minuten Blut geschwitzt ;)
    Jetzt läuft der Kübel wie geschmiert!

    Vielen Dank an alle die geholfen haben!!!
    Ihr seid: !!! AMAZING !!!
     

Diese Seite empfehlen