Jump to content
Froxlor Forum

lets.byte.it

Members
  • Content Count

    9
  • Joined

  • Last visited

Community Reputation

0 Neutral

About lets.byte.it

  • Rank
    Newbie
  1. Alles klar, es war nur die Frage, ob das theoretisch von Froxlor ?ber eine Einstellung geht, aber dann schau ich mal, wie ich das implementiere. Und der manuelle Weg ist nat?rlich NICHT der richtige Weg, wie Du richtig gesagt hast.
  2. Wenn das so ist, habe ich das jetzt mal gemacht. Also ein Zertifikat selbst erstellt und im IPundPorts-Bereich hinterlegt. Er liefert jetzt aber trotzdem f?r die Kunden-SSL-Domain das selbst signierte Zertifikat aus, was darin resultiert, dass sich nat?rlich kein Browser mit der Kunden-SSL-Domain verbinden m?chte. Also habe ich doch irgendwo eine Einstellung fehlerhaft gemacht? Ich habe jetzt noch mal im IPundPorts-Vhost die Checkboxen gesetzt wie das PDF es empfiehlt. Nebenfrage: Kann nginx die ssl_trusted_certificate-Direktive automatisch mit dem durch Froxlor optional angegebenen CertificateChainFile intern setzen? Alternativ m?sste man das ja dann als Administrator im Domain-Vhost manuell hinzuf?gen und manuell das entsprechende Chainfile auf den Server als Datei erstellen.
  3. Hehe, ja klar, ich dachte, es w?re nicht von Belangen, aber da hat ja schon jemand den Host aus dem Zertifikat extrahiert. Das ist ein guter Hinweis mit dem Clientcaching, weil die Configs ja (nach 100 Mal kontrollieren) wirklich stimmen m?ssten. Aber? Wenn ihr momentan den Host angesprochen habt, habt ihr aber das Kunden-Zertifikat aus der IPundPorts-Vhost-Datei ausgeliefert bekommen und nicht das Kundenzertifikat aus dem Kunden-Vhost. Und wenn ich das Zertifikat aus dem IPundPorts-Vhost wieder rausnehme, kann auch der SSl-Test keine sichere Verbindung zum Host aufbauen. Es kann also nicht am Clientcaching liegen. Qualsy SSL Test: Assessment failed: No secure protocols supported nginx error.log: [error] 18527#0: *9 no "ssl_certificate" is defined in server listening on SSL port while SSL handshaking, client: xx.xx.xx.xx, server: xx.xx.xx.xx:443 Der Witz an der Sache ist ja, dass es mir ohne den SSL-Test ?berhaupt nie aufgefallen w?re, dass da was nicht stimmt. Ich habe n?mlich im Kunden-Vhost alle weiteren Einstellungen hinterlegt, die auf A+ Rating schlie?en m?ssten (OCSP Stapling, Diffie-Hellman, SSL-Session Caching, Public-Key Pinning, Strict-Transport-Security, ?). Die SSL-Einstellungen im Kunden-Vhost werden also ignoriert.
  4. Mit Kundenzertifikat im IPundPorts-Vhost, bitte hier klicken. Ohne Kundenzertifikat im IPundPorts-Vhost (aber Kundenzertifikat im eigentlichen Vhost): $ openssl s_client -connect deine-ssl-seite.de:443 CONNECTED(00000003) write:errno=54
  5. Oh okay, alles klar. Ich hatte das nur hier gelesen und dann daraus gefolgert, dass deshalb keine Debug-Informationen im Log auftauchen. Die Ausgabe dazu findet sich hier, bei gesetztem Kundenzertifikat als IPundPorts Zertifikat. Bei nicht gesetzten IPundPorts Zertifikat (aber weiterhin gesetztem Kundenzertifikat) sieht das Ganze so aus.
  6. Danke f?r die ausf?hrliche Antwort, das kann wirklich jeder verstehen und nachvollziehen, super! Leider habe ich gelesen, dass nginx daf?r von Haus aus mit dem Debug-Flag kompiliert sein muss, was mein nginx scheinbar nicht ist, da sich die Logs dadurch nicht h?ufen/?ndern. Und das Neukompilieren auf einem Produktivsystem ist gerade etwas schlecht m?glich. Wenn nichts geht und ich Zeit finde, kann ich das gern mal machen. G?be es noch andere einflussnehmende Faktoren auf die Zertifikatauswahl? Weil es muss ja irgendwie Folgendes passieren: Anfrage -> Vhost zuordnen -> Bei richtigem Vhost wird richtiges Root-Verzeichnis angesprochen -> SSL-Zertifikat aus Vhost laden Ich verstehe halt nicht, warum da der richtige Vhost f?r das Root-Verzeichnis ja angesprochen wird (weil es kommen ja die erwarteten Daten bei raus) aber das Zertifikat aus dem anderen Vhost genommen wird. Ist da eine Hierarchie dabei, wenn ja, wie genau funktioniert das? Das ist nat?rlich mittlerer Weile wohl doch kein Froxlor-Problem mehr, anfangs dachte ich, es liegt an einer falschen Einstellung meiner Seits. Aber jetzt sieht mir das ja eher nach gescheiterter nginx Konfiguration aus.
  7. Die nginx-Logs sagen dazu "nichts". Das sind ganz normale Requests, es wird kein Eintrag in der error.log hinzugef?gt. Wenn ich das IPundPorts-Zertifikat l?sche, dann beschwert nginx sich, dass kein Zertifikat gefunden wurde. Aktuell habe ich da einfach aus Testgr?nden das Kundenzertifikat hinterlegt. Das nginx error.log: 2015/03/21 12:33:35 [error] 18085#0: *32390 no "ssl_certificate" is defined in server listening on SSL port while SSL handshaking, client: xx.xx.xx.xx, server: yy.yy.yy.yy:443
  8. Vielen Dank f?r das PDF, so ein nettes Support-Dokument hatte ich bisher nicht gefunden. Aber ich habe nat?rlich alle Schritte auch ohne das PDF-Dokument bereits exakt so ausgef?hrt, bis auf diverse Versuche im IP-Vhost-Bereich ?nderungen zu machen, damit das richtige Zertifikat ausgeliefert wird. Man kann also im Grunde sagen, dass meine Konfiguration nach dem PDF-Dokument korrekt ist. Wo jetzt das kleine Detail versteckt ist, das f?r die Fehlauslieferung verantwortlich ist, kann ich dadurch aber auch nicht sagen.
  9. Hallihallo liebes Forum, ich muss nach einer langen Recherche aufgeben und mal nachfragen. Und zwar geht es konkret darum Froxlor Kunden-Domains mit SSL-Zertifikaten zu best?cken. Wie schon erw?hnt, habe ich mich umgehend umgeschaut und kam nicht wirklich zu einer L?sung des Problems durch Suchen und Ausprobieren. Mal vorweg das Problem: nginx liefert dem Browser das SSL-Zertifikat, was unter "IP and Ports" hinterlegt wurde, also quasi sowas wie das "Server-Fallback-Zertifikat" statt dem SSL-Zertifikat, was der Kunde angelegt hat. Das ist so nat?rlich nicht praktikabel und daher kann da ja nur etwas nicht stimmen. Zu den technischen Details: Der Server ist ein Debian 3.2.65-1+deb7u2 x86_64 Es l?uft Froxlor 0.9.33.1-1 Es l?uft nginx 1.6.2 (SNI-Support) sowie php5-fpm PHP 5.4.36-0+deb7u3 Ich benutze aktuelle Browser mit SNI-Support Die Kunden k?nnen erfolgreich als "virtuelle" UNIX User gemappt werden (also f?r PHP-Socket-Zugriff etc.) Die nginx Vhost Dateien: IP und Port SSL-Vhost: http://nopaste.linux-dev.org/?450919 Kunden SSL-Vhost: http://nopaste.linux-dev.org/?450920 Wie ich das sehe, sieht das korrekt aus, oder? Das Problem ist nun, dass ich statt dem Kunden SSL Zertifikat das der IP bekomme, also das unter /pfad/zum/server/cert.crt. Was ich schon gemacht habe: s?mtliche Einstellungen der IP ge?ndert (alle Checkboxen mal durchprobiert), also diese Vhost-Container ja/nein, Servername ja/nein, ? Domains gel?scht/neu hinzugef?gt Zertifikate gel?scht/neu hinzugef?gt Configs neu geschrieben Services neu gestartet Was sonst noch so passiert: L?sche ich das der IP hinterlegte SSL-Zertifikat, sagt nginx bei einer Anfrage auf die SSL-Kunden-Domain, dass kein SSL-Zertifikat angegeben wurde Vielleicht habe ich einige Daten, Fakten und Dinge, die ich schon probiert habe, vergessen zu erw?hnen. Fragt doch bitte, wenn was fehlt oder unklar ist. ?ber Denkanst??e w?re ich sehr dankbar, ich bin noch recht neu um Umgang mir Froxlor und wollte jetzt mal die SSL-Implementation testen? Ich gehe mal davon aus, dass mein Fehler recht trivial sein d?rfte.
×
×
  • Create New...