Frage von Technicboy12, 209

SSL Verbinundungsfehler bei Ubuntu 14.04 wie beheben?

Liebe Community,

Gestern, den 26.12.2015 habe ich mir ein SSL Zertifikat gekauft bei SSl-Trust.com.

Hab es nach der Anleitung von https://ssl-trust.com/ssl-zertifikat-installieren/apache-2

installiert, jedoch ist die Seite nicht verfügbar. Woran könnte dies liegen? Das Zertifikat, welches mir zugesandt wurde habe ich bei /etc/ssl/ssl.key/*.key eingebunden, CRT bei /etc/ssl/ssl.crt/.crt

Ich nehme an, der Key ist der, der bei CSR erstellt wird, oder?

Auf Antworten würde ich mich sehr freuen.

Besten Dank im voraus und einen guten Rutsch in das Jahr 2016!

Antwort
von eumel88, 137

Was bedeutet denn, funktioniert nicht?

DIe meisten Anbieter liefern noch ein Bundle-File, was mit installiert werden muss (http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslcacertificatefile)

Und natuerlich muss noch /etc/apache2/sites-available/default-ssl.conf angepasst werden (gehoert nach /etc/apache/sites-enabled

Kommentar von Technicboy12 ,

Hey eumel88,

Vielen Dank, das Bundle habe ich installiert, jedoch erfolgt immer noch "SSL-Verbindungsfehler" ich hab es so gemacht wie du es sagtest und auch nach der Anleitung

Kommentar von eumel88 ,

Der Hostnamen in der apache-conf sollte auch mit dem Zertifikatnamen uebereinstimmen. Unter /var/log/apache2 findest Du die Logfiles mit eventuellen Fehlermeldungen. Vielleicht stimmen auch die Dateirechte vom Zertifikatfile nicht.

Kommentar von Technicboy12 ,

Vielen Dank erst einmal für deine Antwort.

In den Logs finde ich leider nichts, was mit SSL zu tun hat. :S

Der Aufbau von der Apache_conf bzw. von 000-default.conf ist wie folgt:

<IfModule mod_ssl.c>

               
<VirtualHost  Meine_Server_IP:443>

                              
ServerAdmin webmaster@localhost

                              
DocumentRoot /var/www/html

                              
SSLEngine on

       
SSLCertificateKeyFile /etc/ssl.key/****_eu.key

       
SSLCertificateFile /etc/ssl.crt/***_eu.crt

                              
SSLCertificateChainFile /etc/ssl/ssl.crt/****_eu.ca-bundle

       
SetEnvIf User-Agent ".*MSIE.*" \

         
nokeepalive ssl-unclean-shutdown \

         
downgrade-1.0 force-response-1.0

               
</VirtualHost>

</IfModule>

Ich hoffe, mir kann jemand weiter helfen.

Freundliche Grüßen

Kommentar von Technicboy12 ,

Mittlerweile kriege ich in den Logs Fehlermeldungen, weiß jedoch nicht wie man diese beheben soll. -_-

[Tue Dec 29 18:46:28.454931 2015] [ssl:warn] [pid 2894] AH01909: RSA certificate configured for IP.eu:443 does NOT include an ID which matches the server name
[Tue Dec 29 18:46:28.454968 2015] [ssl:emerg] [pid 2894] AH02238: Unable to configure RSA server private key
[Tue Dec 29 18:46:28.454978 2015] [ssl:emerg] [pid 2894] SSL Library Error: error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch
[Tue Dec 29 18:46:28.454980 2015] [ssl:emerg] [pid 2894] AH02312: Fatal error initialising mod_ssl, exiting.
[Tue Dec 29 18:46:51.436421 2015] [ssl:emerg] [pid 3045] AH02240: Server should be SSL-aware but has no certificate configured [Hint: SSLCertificateFile] ((null):0)
[Tue Dec 29 18:46:51.436450 2015] [ssl:emerg] [pid 3045] AH02312: Fatal error initialising mod_ssl, exiting.

Meines Wissen nachs habe ich es so installiert wie es sich angehört-

Kommentar von Technicboy12 ,

Edit:

Anscheinend konnte ich (fast) alle Fehler beseitigen, bis auf zwei:

[Tue Dec 29 19:30:44.435040 2015] [ssl:emerg] [pid 7057] AH02240: Server should be SSL-aware but has no certificate configured [Hint: SSLCertificateFile] ((null):0)
[Tue Dec 29 19:30:44.435069 2015] [ssl:emerg] [pid 7057] AH02312: Fatal error initialising mod_ssl, exiting.

Auch in der Websuche wurde ich leider nicht fündig. ;(

Ich hoffe, mir kann jemand weiter helfen.

Kommentar von eumel88 ,

Also es muesste <VirtualHost  _default_:443> heissen und

ServerName drin konfiguriert sein, der mit dem Zertifikatnamen uebereinstimmt.

Dann scheint SSLCertificateFile nicht konfiguriert oder nicht lesbar zu sein. So stehts zumindest in der Fehlermeldung.

Kommentar von Technicboy12 ,

Hallo Eumel,

Vielen Dank. 

http://pastebin.com/P67ZqcDx

müsste eigentlich korrekt sein, oder?

Ich hätte nicht gedacht, dass ein SSL Zertifikat so einen Aufwand betreibt, besonders für Neulinge. 

Kommentar von eumel88 ,

Leider gibt es bei SSL tausend Fallstricke, sodass das alles andere als trivial ist. Die Config sieht schon mal gut aus. Sie liegt hoffentlich auch in /etc/apache2/sites-enabled/. Und die Zertifikatfiles haben alle den richtigen Inhalt und sind fuer den apache user auch lesbar. Mach nochmal ein "apache2ctl configtest" und schick nochmal die Fehlermeldung

Kommentar von Technicboy12 ,

Hallo eumel88,

Bei "apache2ctl configtest" kommt nur das der Syntac okay sein, eine Fehlermeldung erscheint nicht.

Jedoch beim Restart erfolgt eine Fehlermeldung

[Wed Dec 30 17:36:20.799674 2015] [ssl:emerg] [pid 5722] AH02238: Unable to configure RSA server private key
[Wed Dec 30 17:36:20.799718 2015] [ssl:emerg] [pid 5722] SSL Library Error: error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch
[Wed Dec 30 17:36:20.799722 2015] [ssl:emerg] [pid 5722] AH02312: Fatal error initialising mod_ssl, exiting.

Ja, die Config liegt in Sites-enabled.

Kommentar von eumel88 ,

okay, das bedeutet jetzt, dass der private key nicht zum Zertifikat passt. Ist es der Key, mit dem Du das CSR erstellt hast, mit dem Du das CRT bestellt hast? Du kannst in die Dateien mit einem Texteditor reingucken. Sie beginnen mit === BEGIN Private key und enden auch mit === End Private Key

Kommentar von Technicboy12 ,

Ja, eigentlich schon. 

Ich habe eigentlich gar nichts geändert, oder mag mich nicht mehr daran erinnern. :S

Kommentar von eumel88 ,

Das ist zumindest die Erklaerung der Fehlermeldung Vielleicht ueberpruefst Du nochmal die Dateien unter /etc/ssl/ Wenn der Server.key zum ausgestellten Zertifikat weg oder ueberschrieben ist, ist das natuerlich bloed.

Kommentar von Technicboy12 ,

Sollte dies der Fall sein, kann ich es dann einfach "Ersetzen" also neu ausstellen?

Kommentar von eumel88 ,

Ja, mit einem neuen Key. Aber je nach Anbieter kostet das nochmal Geld.

Kommentar von Technicboy12 ,

Vielen Dank für die Info.

Ich werde mal schauen ob ich es jetzt hinkriege.

Kommentar von eumel88 ,

Also den Key am besten immer nochmal irgendwo abspeichern. Wenn wegen eines Plattencrashs oder Arbeitsfehlers das Key-File geloescht wird, kann das leicht ein paar hundert Euro kosten, wenn man dann ein neues Zertifikat kaufen muss.

Kommentar von Technicboy12 ,

Leider kommt immer noch die selbe Fehlermeldung, auch bei einem neuen ausgestellten Key. :S

Kommentar von eumel88 ,

Also mit dem Key wurde ein neues CSR erstellt und ein neues CRT gekauft? Key und CRT sind unter /etc/ssl installiert, in der apache conf wird auch auf die richtigen Dateien verwiesen und apache wurde nach dem Kopieren neu gestartet?

Kommentar von Technicboy12 ,

Ja, das alles trifft zu, funktioniert bis heute noch nicht. :S

Kommentar von eumel88 ,

Dann bedeutet das immer noch, das Key und Cert nicht zusammenpassen. HIer ist eine Anleitung wie man dies ueberprueft: https://www.digicert.com/ssl-support/apache-fix-common-ssl-errors.htm

Keine passende Antwort gefunden?

Fragen Sie die Community