Apache-2.0.54 mit SSL

bondy

Member
Hallo zusammen

Ich versuche seit einiger Zeit Apache 2.0.54 mit SSL unter OpenBSD 3.7 zum laufen zu bringen.

Habe Apache aus dem Tar-ball mit folgenden Optionen kompiliert:

./configure --enable-layout=OpenBSD --enable-modules=all --enable-so --enable-mods-shared=all --enable-ssl --with-ssl=/usr/sbin/

Über Port 80, also ohne SSL läuft alles. Aber via HTTPS erhalte ich im Browser die Meldung "Verbindung wurde zurück gesetzt".

Die Zertifikate sind unter /var/www/conf/ssl.key und var/www/conf/ssl.crt erstellt.

Apache startet mit "apachectl startssl" ohne zu murren.

Im /var/www/logs/error_log findet sich kein vernünftiger Eintrag.

Hat jemand diese Konfiguration zum laufen gebracht? Oder benutzen alle die Ports?

Thanks
 
hallo

Ich habe genau das gleiche Problem bei mir!
Alles läuft ausser https.
Wenn ich folgendes http://192.168.0.1:443/ in ff eingeben
kommt das :
Bad Request

Your browser sent a request that this server could not understand.
Reason: You're speaking plain HTTP to an SSL-enabled server port.
Instead use the HTTPS scheme to access this URL, please.

Hint: https://www.example.com/

Apache/2.0.54 (Unix) mod_ssl/2.0.54 OpenSSL/0.9.7d DAV/2 PHP/5.0.4 Server at www.example.com Port 443

und wenn ich https://192.168.0.1 eingebe
kommt eine Meldung das das Zertifikat kaput ist Fehlercode 8182
 
hoi mal wieder,

für die meldung mit dem kaputten zertifikat würde ich sagen: erstelle nochmal ein neues. und schick mal einen auszug der nichtssagenden meldungen aus dem error-log.

wir lesen uns
ZbZ
 
Nur mal so eine blöde Frage.
Ist der Apache den selber richtig für SSL Konfiguriert? Stichwort:

SSLEngine on, SSLCertificateFile, SSLCertificateKeyFile etc..

Schönen Freitag!
 
ZerBEruZ said:
hoi mal wieder,

und schick mal einen auszug der nichtssagenden meldungen aus dem error-log.

wir lesen uns
ZbZ

Danke, erstmal für den Tip's!
Hier der Auszug aus dem error_log:

Code:
[Fri Aug 19 17:12:45 2005] [notice] Digest: generating secret for digest authentication ...
[Fri Aug 19 17:12:45 2005] [notice] Digest: done
[Fri Aug 19 17:12:46 2005] [notice] Apache/2.0.54 (Unix) mod_ssl/2.0.54 OpenSSL/0.9.7d DAV/2 configured -- resuming normal operations

Die Zertifikate habe ich bereits neu erstellt.

Eigenartig finde ich, dass die Dateien ssl_request_log, ssl_scache.dir und ssl_scache.pag leer sind.
 
paefchen said:
Nur mal so eine blöde Frage.
Ist der Apache den selber richtig für SSL Konfiguriert? Stichwort:

SSLEngine on, SSLCertificateFile, SSLCertificateKeyFile etc..

Schönen Freitag!

Ich denke schon wenn diese nicht stimmen beschwert sich Apache schon beim ausführen von "apachectl startssl".

<VirtualHost _default_:443>

# General setup for the virtual host
DocumentRoot "/var/www/htdocs"
ServerName www.example.ch:443
ServerAdmin you@example.com
ErrorLog /var/www/logs/error_log
TransferLog /var/www/logs/access_log

# SSL Engine Switch:
# Enable/Disable SSL for this virtual host.
SSLEngine on
 
Last edited:
bondy said:
[...]
Die Zertifikate habe ich bereits neu erstellt.

Eigenartig finde ich, dass die Dateien ssl_request_log, ssl_scache.dir und ssl_scache.pag leer sind.

Warum sollt da was drinnen stehen, wenn die SSL Engine gar nicht erst hochkommt?

Sind diese auch richtig mit SSLCertificateFile, SSLCertificateKeyFile gesetzt?

Mal probiert den httpd mit -E <log.file> zu starten, vielleicht erzählt er dann ja mehr.
 
Habe httpd mit der Option -E /var/www/log/apache.log gestartet aber ohne Ergebnis.

Der Path ins in ssl.conf zeigt korrekt auf den Key und das Zertifikat:

SSLCertificateFile /var/www/conf/ssl.crt/server.crt

SSLCertificateKeyFile /var/www/conf/ssl.key/server.key

nun bin ich wirklich ratlos ;'(
 
also was fuer mich schon komisch aussieht ist das:
Code:
./configure --enable-layout=OpenBSD --enable-modules=all --enable-so --enable-mods-shared=all --enable-ssl --with-ssl=/usr/sbin/
ssl liegt nicht in /usr/sbin. hast du mal das configure.log angeschaut, ob ssl ueberhaupt reinkompiliert wurde? ich koennte wetten, das ist gar nicht aktiv.

zweitens: http://192.168.0.1:443/ ist was voellig anderes als https://192.168.0.1/. warum, kann man mit etwas ueberlegen leicht sehen.
 
Hallo TCM

Das mit der URL ist mir klar. Danke für den Hinweis.
Ich habe den Apache schon ohne diese Option oder mit "/usr/include/openssl" kompilieret.

Ich vermute nun bald, dass es an dem chrooted /var/www Verzeichnis liegt. Ich kann Apache2 auch nicht wie bei OpenBSD beschrieben mit der "httpd -u" starten. Möglicherweise haben die Jungs von OpenBSD das Apache Packet selber noch erweitert. :confused:
 
bondy said:
Ich habe den Apache schon ohne diese Option oder mit "/usr/include/openssl" kompilieret.
findet er denn openssl? das configure script spuckt doch ne menge kram aus. unter netbsd brauch ich --with-ssl gar nicht, es reicht --enable-ssl. und da kommt im configure output dann das:

checking whether to enable mod_ssl... checking dependencies
checking for SSL/TLS toolkit base... /usr
checking for SSL/TLS toolkit version... OpenSSL 0.9.7d 17 Mar 2004
checking for SSL/TLS toolkit includes... /usr/include
checking for SSL/TLS toolkit libraries... /usr/lib
adding "-I/usr/include/openssl" to INCLUDES
setting LIBS to "-lssl -lcrypto"

das richtige argument fuer --with-ssl waere also hoechstens /usr und nicht /usr/include/openssl oder /usr/sbin.
 
Hallo TCM

Ich glaube schon, dass SSL mit kompiliert wird. Das config.log bringt keiner Fehler.

checking whether to enable mod_ssl... checking dependencies
checking for SSL/TLS toolkit base... /usr
checking for SSL/TLS toolkit version... OpenSSL 0.9.7d 17 Mar 2004
checking for SSL/TLS toolkit includes... /usr/include
checking for SSL/TLS toolkit libraries... /usr/lib
adding "-I/usr/include/openssl" to INCLUDES
setting LIBS to "-lssl -lcrypto"
checking for SSL_set_state... no
checking for SSL_set_cert_store... no
checking whether to enable mod_ssl... yes (default)
 
gut. was sagt netstat -an? ist ueberhaupt ein :443 listening socket aktiv? hast du in der httpd.conf ein extra Listen 443? ein vhost allein reicht nicht, damit apache auch den socket oeffnet.

edit: das sollte durch die standard ssl.conf abgedeckt sein. da ich die nicht benutze, sicherheitshalber die frage.
 
netstat -an meldet

Active Internet connections (including servers)
Proto Recv-Q Send-Q Local Address Foreign Address (state)
tcp 0 0 *.80 *.* LISTEN
tcp 0 116 10.0.0.15.22 10.0.0.20.1075 ESTABLISHED
tcp 0 0 *.22 *.* LISTEN
tcp 0 0 *.37 *.* LISTEN
tcp 0 0 *.13 *.* LISTEN
tcp 0 0 *.113 *.* LISTEN
tcp 0 0 127.0.0.1.587 *.* LISTEN
tcp 0 0 127.0.0.1.25 *.* LISTEN
Active Internet connections (including servers)
Proto Recv-Q Send-Q Local Address Foreign Address (state)
udp 0 0 10.0.0.15.35175 66.92.68.246.123
udp 0 0 127.0.0.1.512 *.*
udp 0 0 10.0.0.15.29077 66.33.216.11.123
udp 0 0 10.0.0.15.39934 129.240.64.3.123
udp 0 0 10.0.0.15.31967 136.159.2.2.123
udp 0 0 10.0.0.15.30206 193.120.10.3.123
udp 0 0 10.0.0.15.1751 193.120.142.71.123
udp 0 0 10.0.0.15.11756 216.154.195.60.123
udp 0 0 10.0.0.15.26524 216.165.129.244.123
udp 0 0 *.514 *.*
Active Internet connections (including servers)
Proto Recv-Q Send-Q Local Address Foreign Address (state)
tcp6 0 0 *.443 *.* LISTEN
tcp6 0 0 *.80 *.* LISTEN
tcp6 0 0 *.22 *.* LISTEN
tcp6 0 0 *.37 *.* LISTEN
tcp6 0 0 *.13 *.* LISTEN
tcp6 0 0 *.113 *.* LISTEN
tcp6 0 0 ::1.587 *.* LISTEN
tcp6 0 0 ::1.25 *.* LISTEN
Active Internet connections (including servers)
Proto Recv-Q Send-Q Local Address Foreign Address (state)
udp6 0 0 ::1.512 *.*
Active UNIX domain sockets
Address Type Recv-Q Send-Q Inode Conn Refs Nextref Addr
0xd6325c80 dgram 0 0 0x0 0xd0ccd140 0x0 0xd0ccdfc0
0xd626caf4 stream 0 0 0xd62e9670 0x0 0x0 0x0 tabs/.sock
0xd626ca2c dgram 0 0 0x0 0xd0ccd140 0x0 0xd0ccd640
0xd6325bb8 dgram 0 0 0x0 0xd0ccd140 0x0 0x0
0xd63254b0 stream 0 0 0x0 0xd0ccd0c0 0x0 0x0
0xd63253e8 stream 0 0 0x0 0xd0ccd780 0x0 0x0
0xd6325320 stream 0 0 0x0 0xd0ccd400 0x0 0x0
0xd6325258 stream 0 0 0x0 0xd0ccda80 0x0 0x0
0xd6325190 dgram 0 0 0xd63097cc 0x0 0x0 0x0 /var/empty/dev/log
0xd63250c8 dgram 0 0 0xd6309708 0x0 0xd0cdcb00 0x0 /dev/log
 
also ich weiss nicht, ob das jetzt offensichtlich ist, aber der apache hat ssl wenn ueberhaupt, dann nur fuer ipv6 aktiv.
 
Hey super! Ich habe nun in der ssl.conf "Listen 443" auf "Listen 0.0.0.0:443" geändert und jetzt funkt es.

Herzlichen Dank für den Tip. :)
 
Back
Top