[rinderroulette]

Hallo, ich hoffe mir kann jemand von euch helfen. Ich bin fast am verzweifeln, habe schon verschieden Foren durchsucht und stundenlang gegoogled, hat mir alles nix gebracht.

Was möchte ich machen?
Ich habe einen Root-Server auf dem Apache, OpenSSl, ModSSL und Confixx drauf ist. Der Webserver hat 1 IP.

Ich möchte für die confixx-Oberfläche SSL Verschlüsselung einrichten.
Wenn das geklappt hat, möchte ich die confixx_mhost so anpassen, dass nur die Webseite eines Confixx-Kunden SSL-gesichert ist.

Was habe ich bisher gemacht:
Ich habe über die Confixx-Oberfläche ein eigenes Zertifikat erstellt.
Alle Dateien sind standardmäßig in den /etc/apache2/ssl.* Ordner abgelegt worden.
Da die Seite aber Ladefehler gebracht hat mit https, habe ich selber noch einmal mit openssl ein Zertifikat erstellt und die Dateien in den Ordnern jeweils abgelegt.
(key.pem; 123.servername.com.key; 123.servername.com.csr; 123.servername.com.crt)

Angaben für das Zertifikat:

Country Name (2 letter code) [AU]: DE
State or Province Name (full name) [Some-State]:Sax
Locality Name (eg, city) []: DD
Organization Name (eg, company) [Internet Widgits Pty Ltd]:keine
Organizational Unit Name (eg, section) []: Test GmbH
Common Name (eg, YOUR name) []:123.servername.com
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Die confixx_mhost.conf:

<VirtualHost 12.34.56.78:443>

ServerName 123.servername.com

#User confixx
#Group confixx
DocumentRoot /srv/www/htdocs/confixx/html
Options FollowSymLinks


php_admin_flag safe_mode Off
php_admin_flag file_uploads On
php_admin_flag track_vars On
php_admin_flag magic_quotes_runtime Off
php_admin_flag magic_quotes_gpc Off
php_admin_value upload_tmp_dir /srv/www/htdocs/confixx/tmp
php_admin_value include_path ".:/srv/www/htdocs/confixx/html/include:/srv/www/htdocs/confixx/html:/srv/www/htdocs/confixx/html/PEAR"
php_admin_value default_charset none
php_admin_value open_basedir /srv/www/htdocs/confixx
php_admin_flag allow_url_fopen Off

php_admin_value session.cookie_path /
php_admin_value session.auto_start 0
php_admin_value session.gc_maxlifetime 1800
php_admin_value session.use_cookies 1
php_admin_value session.cookie_lifetime 0
php_admin_value session.cookie_secure Off
php_admin_value session.use_trans_sid 0

ScriptAlias /cgi-bin/ /srv/www/htdocs/confixx/html/cgi-bin/

<IfModule mod_dir.c>
DirectoryIndex index.html index.htm index.shtml index.cgi index.php
</IfModule>


<IfModule mod_ssl.c>

SSLEngine on
SSLCertificateKeyFile /etc/apache2/ssl.key/123.servername.com.key
SSLCertificateFile /etc/apache2/ssl.crt/123.servername.com.crt



SetEnvIf User-Agent ".*MSIE.*" \
nokeepalive ssl-unclean-shutdown downgrade-1.0 force-response-1.0

<Files ~ "\.(cgi|shtml|phtml|php3?)$">
SSLOptions +StdEnvVars
</Files>

<Directory "/srv/www/htdocs/confixx/html/cgi-bin">
SSLOptions +StdEnvVars
</Directory>

</IfModule>


CustomLog /var/log/apache2/123.servername.com_access.ssl.log "%h %l %u %t \"%r\" %s %b \"%{Referer}i\" \"%{User-agent}i\""
ErrorLog /var/log/apache2/123.servername.com_error.ssl.log


</VirtualHost>

/etc/init.d/apache2 stop
/etc/init.d/apache2 start
alles wunderbar....
Seite versucht aufzurufen mit https://123.servername.com
-> Seiten-Ladefehler


Die Apache error.log:

[Mon Mar 10 23:04:01 2008] [warn] Init: Session Cache is not configured [hint: SSLSessionCache]
[Mon Mar 10 23:04:01 2008] [warn] RSA server certificate CommonName (CN) `123.servername.com' does NOT match server name!?
[Mon Mar 10 23:04:01 2008] [warn] RSA server certificate CommonName (CN) `123.servername.com' does NOT match server name!?
[Mon Mar 10 23:04:01 2008] [warn] RSA server certificate CommonName (CN) `123.servername.com' does NOT match server name!?
[Mon Mar 10 23:04:01 2008] [warn] RSA server certificate CommonName (CN) `123.servername.com' does NOT match server name!?
[Mon Mar 10 23:04:01 2008] [notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec2)
[Mon Mar 10 23:04:01 2008] [warn] RSA server certificate CommonName (CN) `123.servername.com' does NOT match server name!?
[Mon Mar 10 23:04:01 2008] [warn] RSA server certificate CommonName (CN) `123.servername.com' does NOT match server name!?
[Mon Mar 10 23:04:01 2008] [warn] RSA server certificate CommonName (CN) `123.servername.com' does NOT match server name!?
[Mon Mar 10 23:04:01 2008] [warn] RSA server certificate CommonName (CN) `123.servername.com' does NOT match server name!?
[Mon Mar 10 23:04:02 2008] [notice] Apache/2.0.54 (Linux/SUSE) configured -- resuming normal operations



Ich hab ja aber den FQDN im Zertifikat richtig angegeben. Oder etwa nicht?
Hab ich irgendwo einen Denkfehler oder was vergessen?

Wenn ich die seite normal aufrufe (port 80), also http://123.servername.com funktionierts ist aber halt nicht verschlüsselt.

Vielen Dank schonmal für eure Anstrengungen.

[trojan]

confixx auf 443? auf 443 läuft eigentlich das ssl vom normalen webserver (apache) ...

[rinderroulette]

naja eben, apache nutzt den port 443 für ssl
die confixx_mhost ist nur in die httpd.conf included und leitet entsprechende anfragen an den jeweiligen vhost weiter.

[trojan]

hab von confixx net viel ahnung, aber legs doch mal auf port 8443 zB (wenn da kein plesk rennt) ansonsten tendiere ich eher zu ispcofig, bisher nur gute erfahrungen gemacht

[rinderroulette]

jo, aber ich will jetzt eigentlich ni meinen ganzen server umbasteln um ispconfig zu nutzen, der muss laufen.
never touch a running system ^^ naja ssl läuft halt irgendwie ni, son mist.

[DrFuture]

Confixx hat keinen eigenen Webserver - sondern läuft wie schon beschrieben als vhost ... daher stimmt port 443 schon.

Das Serverzertifikat muss so viel ich weis auf den hostname des Servers ausgestellt sein. nicht die Domain von der du es aufrufst.

[rinderroulette]

Also folgendes, wenn jmd mal das gleiche problem hat:
Confixx hat in der listen.conf ne if define anweisung, die hab ich auskommentiert und gesagt, dass er unter allen umständen auf port 443 listen soll.
dann noch die port80 vhosts in der mhost.conf auskommentiert und jetzt gehts erstmal.