Jump to content
Froxlor Forum

Search the Community

Showing results for tags 'ssl'.



More search options

  • Search By Tags

    Type tags separated by commas.
  • Search By Author

Content Type


Forums

  • Froxlor
    • Announcements
    • Feedback
    • Development
    • Bugs and Feature Requests
    • Trashcan
  • Support
    • General Discussion
  • Other Languages
    • German / Deutsch

Found 24 results

  1. SSL/HTTPS Webmail (odd) issue

    Hello, I am hoping someone on here has experienced an odd issue with SSL/HTTPS when using the webmail URL, in my case, https://my.froxlorserver.com/webmail. I can't prove it for sure however, I believe it is working for some in a different country to me but I can't connect to the above URL using https, it will connect with http on port 80. I get the below error. Forbidden You don't have permission to access /webmail on this server. I have confirmed this on different devices using different internet connections and I have cleared the cache/browsing data. Using Digicert's tool (https://www.digicert.com/help/) the https://Froxlor admin page comes back as a success with zero issues. If I try https://froxlor/webmail I get the below error message Error: my.froxlor.com/webmail is not a fully qualified public domain name or public IP address. The above error message does not make sense as using port 80 I can get to the /webmail page, so the above might be a red herring. Has anyone seen this issue? Thanks in advance.
  2. Hello everybody, in the monthly Froxlor usage report I'm getting the message PHP Warning: stream_socket_enable_crypto(): Peer certificate CN=`<my Froxlor domain>' did not match expected CN=`localhost' in /var/www/froxlor/lib/classes/phpmailer/class.SMTP.php on line 369 The mail is being sent to the systems root account, which is mapped in /etc/aliases to an existing Froxlor mail account (webmaster@<my Froxlor domain>). Is this related to the Froxlor admin user, whos mail address is the same? Either way, why is the function expecting the local CN instead of the FQDN one? What is the correct setting in this case, or how can I mitigate the warning? The only cause effect I discovered is, that mails cannot be sent to new mail accounts via the alternate mail address, which results in the same error. Thanks in advance, Martin
  3. Handshake failure vhost

    Hallo zusammen, ich habe Probleme mit diversen SEO-/Webseiten-Anlayse-Tools, die beim Crawlen der Domain einen SSL Handshake Failure bekommen. Wir haben den Verdacht, dass diese Tools eventuell SNI nicht beherrschen und haben daher testweise eine Domain mit eigener IP auf einem vHost mit entsprechendem SSL-Zertifikat installiert. Die Domains laufen über den Browser fehlerfrei, die Tools machen allerdings Probleme. Ein SSL-Test via https://www.ssllabs.com/ssltest/ hat nun ergeben, dass auf dem vHost neben dem Domainzertifikat auch noch das Serverzertifikat ausgegeben wird. Wie kann ich die Domain bzw. den vHost in Froxlor so konfigurieren, so dass auf dem vHost nur das Zertifkat des entsprechenden vHosts ausgegeben wird? Danke schonmal für euere Hilfe.
  4. Servus zusammen, Wir nutzen seit langem Froxlor als Kundenpanel und sind sehr happy damit! Wir haben damals relativ zeitnah auf die Version 0.9.36 upgedated (sind noch immer auf dieser Version!) um Let's Encrypt auf einigen Domains nutzen zu können. Nun haben wir aber auch Kunden, die ihre eigenen Custom SSL Zertifikate nutzen wollen. Leider kann ich aber das gelbe Lock Symbol bei den Domains nirgendwo mehr finden! Ich hab nun ewig herumgesucht und finde es nicht mehr wo man die "Zertifikat Strings" einfügen konnte ... das gelbe Lock Symbol ist wie gesagt einfach weg!! Was mache ich falsch? Muss ich Lets Encrypt wieder deaktivieren weil diese beiden SSL Lösungen nicht koexistieren können (wüsste aber nicht den Grund warum dem so wäre). Muss ich updaten? Bin ich blind? Hoffe ihr könnte helfen, ich bzw. der Kunde brauchen dieses Feature! Besten Dank im Voraus, mfg Patrick
  5. Hallo. Ich habe gerade gesehen, dass es hier das Forum auch in Deutsch gibt Habe die Frage zwar im englischen schon gestellt, aber in Deutsch wär mi das ganze doch lieber (Admin du kannst gerne meine Post im EN Forum löschen). Ich habe seit dem Update auf Debian 8 das Problem, dass ich einen 404 Error erhalte. Ich habe (wie in Froxlor beschrieben) die acme.conf erstellt und den Dienst "apache2" neugestartet. Weiters habe ich auch noch Could not get Let's Encrypt certificate for cloudservice.DOMAIN.com: Verification ended with error: {"identifier":{"type":"dns","value":"cloudservice.DOMAIN.com"},"status":"invalid","expires":"2017-06-07T20:05:14Z","challenges":[{"type":"tls-sni-01","status":"pending","uri":"https:\/\/acme-v01.api.letsencrypt.org\/acme\/challenge\/0auSVGvqbDFt-nH6HwptOkKZPYZNgDEguWYqE-vXTmQ\/1258196287","token":"IRK9FHJuWGV9l3qnCnoHuh7XGudY4bWd5Sx1JerSkSU"},{"type":"dns-01","status":"pending","uri":"https:\/\/acme-v01.api.letsencrypt.org\/acme\/challenge\/0auSVGvqbDFt-nH6HwptOkKZPYZNgDEguWYqE-vXTmQ\/1258196288","token":"ufnSkvFtYYIXOWhqBGuv1QZF_iaOkrZ5USKYE0U52QM"},{"type":"http-01","status":"invalid","error":{"type":"urn:acme:error:unauthorized","detail":"Invalid response from http:\/\/cloudservice.DOMAIN.com\/.well-known\/acme-challenge\/KbrYzEkrkGJLiCBf9F-tuAq_RSft3oa1Ub8bwhsVVb8: \"<html>\r\n<head><title>404 Not Found<\/title><\/head>\r\n<body bgcolor=\"white\">\r\n<center><h1>404 Not Found<\/h1><\/center>\r\n<hr><center>\"","status":403},"uri":"https:\/\/acme-v01.api.letsencrypt.org\/acme\/challenge\/0auSVGvqbDFt-nH6HwptOkKZPYZNgDEguWYqE-vXTmQ\/1258196289","token":"KbrYzEkrkGJLiCBf9F-tuAq_RSft3oa1Ub8bwhsVVb8","keyAuthorization":"KbrYzEkrkGJLiCBf9F-tuAq_RSft3oa1Ub8bwhsVVb8.smiCkvGETnwE6QlOocMBuKikIIKHHcPhTBjXZgHYBt4","validationRecord":[{"url":"http:\/\/cloudservice.DOMAIN.com\/.well-known\/acme-challenge\/KbrYzEkrkGJLiCBf9F-tuAq_RSft3oa1Ub8bwhsVVb8","hostname":"cloudservice.DOMAIN.com","port":"80","addressesResolved":["188.68.55.173","2001:1a50:11:0:5f:8f:acfa:7c"],"addressUsed":"2001:1a50:11:0:5f:8f:acfa:7c","addressesTried":[]}]}],"combinations":[[2],[0],[1]]} nano /etc/apache2/conf-enabled/acme.conf Alias "/.well-known/acme-challenge" "/var/www/froxlor/.well-known/acme-challenge" <Directory "/var/www/froxlor/.well-known/acme-challenge"> Require all granted </Directory> Weiters habe ich mir dann noch gedacht ich checke die apache Einstellungen die Floxlor angeben hat. mkdir -p /etc/apache2/sites-enabled/ chown root:0 /etc/apache2/sites-enabled/ chmod 0600 /etc/apache2/sites-enabled/ mkdir -p /etc/apache2/sites-enabled/ chown root:0 /etc/apache2/sites-enabled/ chmod 0600 /etc/apache2/sites-enabled/ mkdir -p /var/customers/webs/ mkdir -p /var/customers/logs/ mkdir -p /var/customers/tmp chmod 1777 /var/customers/tmp a2dismod userdir a2enmod headers apt-get install libapache2-mod-fastcgi Ich habe alles außer mkdir nochmals durchgeführt. Da die Folder sind ja schon vorhanden. Kann ich sonst noch irgendwo was einstellen oder kontrollieren? Liebe Grüße Matthias
  6. Hi, ich hab Eure tolle LetsEncrypt Funktion getestet und find sie echt mega gelungen. Erleichtert einem wirklich die Arbeit und gibt einem Zeit für wichtigeres :-) Jetzt ist da nur eine kleine Sache die noch nicht so rund läuft. Ich weiß nicht, ob das an einer Setting liegt oder bis dato noch nicht möglich ist aber eben schon in der GUI steht. Wenn ich eine Subdomain anlege und da LetsEncrypt nutzen möchte, vergibt er mit kein Zertifikat. Bei den Main-Domains gabs da keine Probleme. Müsste da dann ja auch so gehen - oder? Danke schon vorab für Info oder Hilfe?
  7. Hello, I'm trying to use lets encrypt with froxlor. I always get an error when froxlor tried to generate the certificate. Feb 18 19:05:03 ger2 Froxlor: [ Action cronjob] [error] Could not get Let's Encrypt certificate for test.gamerboy59.blue: No challenges received for test.gamerboy59.blue. Whole response: {"type":"urn:acme:error:unauthorized","detail":"No registration exists matching provided key","status":403} From what I figured out till now this might be because of a wrong email. I didn't find anything about email stuff in the csr part of the lescript yet but I found a site discussing the error: https://www.svennd.be/lets-encrypt-on-any-linux-distro/ (one of the last parts). I already tried deleting the domain and customer and set it up again but no success. Maybe you can have a look in it though it's still beta and developed anyway. Regards.
  8. Hallo, ich habe eine Frage zur Einbindung von SSL-Zertifikaten unter Forxlor. Einmal kann man ein Zertifikat unter Ressourcen -> IPs und Ports -> IP:Port(443) -> Webserver-SSL-Konfiguration einbinden und auch einmal unter System -> Einstellungen -> SSL-Einstellungen. Welcher Unterschied besteht zwischen beiden "Orten"? Gruß, Andreas
  9. Hallo zusammen, nachdem die Default-Installation ja ein wenig mager in Sachen Verschlüsselung ist, habe ich die Freiheit von Froxlor genutzt, um ein paar Anpassungen vorzunehmen. Die hier gezeigten Config-Files erheben keinerlei Anspruch auf Vollständigkeit, sollten jedoch ein gutes Grundgerüst dafür geben, was möglich ist. (und um Verbesserungen/Korrekturen wird dringendst gebeten ) Also, Postfix und Courier wurden über die vorgeschlagenen Paketabhängigkeiten von Froxlor installiert und die Konfigurationsdateien wurden entsprechend der Vorgaben aus Froxlor befüllt. Diese mögen für eine 0815-Installation durchaus ausreichend sein; wir möchten jedoch ein wenig mehr rauskitzeln Bitte beachten: alle Kommandos werden als root ausgeführt; sollte jemand untypischerweise sudo verwenden, so sollte der auch wissen, wie die einzelnen Befehle abzuändern sind. (brrrr, sudo ) Als Erstes nehmen wir uns Postfix vor. Der soll ja in Zukunft ordentlich STARTTLS oder SMTPS machen (ich schreibe bewußt BEIDES). Hierzu brauchen wir also als Allererstes ein paar Voraussetzungen erfüllt, damit das dann auch alles zusammenpaßt. cat /etc/hostname und ein cat /etc/mailname sollten auf der Konsole beide Male den FQDN ausspucken. FQDN = full qualified domain name, also sowas wie: servername.domain.tld Das hat den Hintergrund, daß wir nicht einfach Emails rejecten können, wenn unser System selbst sich nicht ordnungsgemäß ausweist. Bitte bei Diskrepanzen den jeweiligen Inhalt korrigieren. Zertifikat So, dann wollen wir erst mal ein entsprechendes Zertifikat generieren, welches uns dann die notwendigen Files ausspuckt; ich bevorzuge 4096 Bit, kann aber jeder machen, wie er will: mkdir /etc/postfix/ssl cd /etc/postfix/ssl/ openssl genrsa -des3 -rand /dev/urandom -out smtpd.key 4096 Jetzt kommen da ein paar Fragen, die Ihr ordnungsgemäß beantworten solltet: root@debian:/etc/postfix/ssl# openssl genrsa -des3 -rand /dev/urandom -out smtpd.key 4096 351 semi-random bytes loaded Generating RSA private key, 4096 bit long modulus ...................................................................................++ ..............++ e is 65537 (0x10001) Enter pass phrase for smtpd.key: (hier ein sehr gutes Kennwort eingeben, in Zukunft referenziert als CERTKEY) Verifying - Enter pass phrase for smtpd.key: (CERTKEY wiederholen) root@debian:/etc/postfix/ssl# Das ist jetzt unser Master-Key, von dem wir in Zukunft alles ableiten; erst mal nur für root zugänglich machen: chmod 600 smtpd.key Nun ein Cert, welches 10 Jahre gültig ist; zuerst den CSR: openssl req -new -key smtpd.key -out smtpd.csr -sha256 Enter pass phrase for smtpd.key: (CERTKEY eingeben) You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]: (hier den ISO-Code Eures Landes) State or Province Name (full name) [Some-State]: (Euer Bundesland/Kanton) Locality Name (eg, city) []: (Eure Heimatstadt oder den Serverstandort) Organization Name (eg, company) [Internet Widgits Pty Ltd]: (Firmenname oder Euer Clan, oder wasauchimmer) Organizational Unit Name (eg, section) []: (EDV, oder IT, oder irgendeine Sub-Kategorie zu Firma/Clan...) Common Name (e.g. server FQDN or YOUR name) []: (hier den FQDN - Servernamen) Email Address []: (Eure Mailadresse) Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: (leer lassen) An optional company name []: (einfach das Gleiche wie oben bei Firma eingeben) ... dann das Signieren: openssl x509 -req -days 3650 -in smtpd.csr -signkey smtpd.key -out smtpd.crt -sha256 Signature ok subject=/C=EuerLand/ST=Bundesland/L=EureStadet/O=EureFirmaoderClan/OU=IT/CN=euerfqdnservername/emailAddress=euremailadresse Getting Private key Enter pass phrase for smtpd.key: (CERTKEY eingeben) kurz encrypten, um später zwar etwas weniger Sicherheit, dafür aber mehr Komfort zu gewinnen (Thema Neustart...) openssl rsa -in smtpd.key -out smtpd.key.unencrypted Enter pass phrase for smtpd.key: (CERTKEY eingeben) writing RSA key mv -f smtpd.key.unencrypted smtpd.key ...und dann das Publizieren: openssl req -new -x509 -extensions v3_ca -keyout cakey.pem -out cacert.pem -days 3650 Generating a 2048 bit RSA private key ................................+++ ................................+++ ................................+++ ................................+++ writing new private key to 'cakey.pem' Enter PEM pass phrase: (CERTKEY eingeben) Verifying - Enter PEM pass phrase: (CERTKEY eingeben) ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]: (gleiche Informationen wie oben...) State or Province Name (full name) [Some-State]: (gleiche Informationen wie oben...) Locality Name (eg, city) []: (gleiche Informationen wie oben...) Organization Name (eg, company) [Internet Widgits Pty Ltd]: (gleiche Informationen wie oben...) Organizational Unit Name (eg, section) []:(gleiche Informationen wie oben...) Common Name (e.g. server FQDN or YOUR name) []: (gleiche Informationen wie oben...) Email Address []: (gleiche Informationen wie oben...) Zugegeben, den Schlüssel unencrypted zu speichern ist nicht die feine englische Art. Das kann jeder für sich selbst entscheiden. So, jetzt haben wir erst mal die Hausaufgaben für Postfix gemacht. Courier Zwischendrin kümmern wir uns noch um unseren IMAP-Server. In der Standard-Installation von froxlor ist da ja nur IMAP und POP3, wir wollen da aber mit SSL arbeiten. M?ssen wir also noch ein paar Pakete nachinstallieren: dpkg --get-selections | grep courier Aha, da fehlen die Pakete courier-*-ssl, welche wir mit: apt-get install courier-imap-ssl courier-pop-ssl courier-ssl gamin nachinstallieren; es kommt dabei ein Hinweis auf SSL, dort einfach auf OK klicken. So, jetzt haben wir uns so viel Mühe gemacht, Postfix ein hübsches Zertifikat mitzugeben, und jetzt schiebt uns Courier 2x 0815 unter. Also, erst mal die beiden Snakeoil-PEM's löschen: rm /etc/courier/*.pem Jetzt müssen wir aber eigene generieren. Hierzu werden die Dateien: imapd.cnf und pop3d.cnf entsprechend angepaßt: RANDFILE = /usr/lib/courier/imapd.rand [ req ] default_bits = 1024 encrypt_key = yes distinguished_name = req_dn x509_extensions = cert_type prompt = no default_md = sha1 [ req_dn ] C=(Euer Land) ST=(Euer Bundesland/Kanton) L=(Eure Stadt) O=Courier Mail Server OU=Automatically-generated IMAP SSL key CN=(Euer FQDN-Servername) emailAddress=(Eure Emailadresse) [ cert_type ] nsCertType = server Bitte die gleichen Werte wie auch schon beim Postfix verwenden. Mit einem: mkimapdcert && mkpop3dcert erhaltet Ihr anders als beim Postfix je ein Zertifikat für IMAP und POP3, jedoch ist dieses nur für 1 Jahr gültig. Damit Courier die Verbindungen in Zukunft also verschl?sselt, ein: service courier-imap-ssl restart && service courier-pop-ssl restart Tada, Courier versteht IMAP jetzt auch auf Port 993 und POP3 auf Port 995. Generell lassen sich die Ports vom Courier aber auch auf beliebige Werte anpassen, sofern sie nicht in Konflikt mit bereits belegten Ports kommen. Die Anpassung können in den Dateien: /etc/courier -> pop3d-ssl, imapd-ssl > SSLPORT=XXX und /etc/courier -> pop3d, imapd > PORT=XXX vorgenommen werden. Postfix Ich gehe davon aus, daß die entsprechenden Konfigurationen im Backend von froxlor gemacht wurden, d.h. eine Verbindung von Postfix zur froxlor-Datenbank funktioniert. Den Schritt von froxlor, mx-access, kann jeder nach Bedarf dazu ergänzen, ich bin kein Freund davon. Also, im Schritt 1 ändern wir die /etc/postfix/main.cf ab, damit sie inhaltlich ungefähr dem hier entspricht: (interessante Stellen wurden mit # kommentiert) main.cf: command_directory = /usr/sbin daemon_directory = /usr/lib/postfix data_directory = /var/lib/postfix # hier sollte der wirkliche Namen des Servers stehen myhostname = {{ FQDN des Servers }} mydomain = {{ FQDN des Servers }} # ah, genau, da steht der FQDN auch noch mal drin, theoretisch lie?e sich das alles zusammenfassen; # aus der Praxis hat sich aber gezeigt, da? es hier aber zu undefinierbaren Problemen kommen kann... # Anpassungen daher auf eigene Gefahr myorigin = /etc/mailname # wir lauschen auf allen Netzwerkkarten inet_interfaces = all mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain unknown_local_recipient_reject_code = 550 mynetworks = 127.0.0.0/8 smtpd_banner = $myhostname ESMTP $mail_name debugger_command = PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin ddd $daemon_directory/$process_name $process_id & sleep 5 sendmail_path = /usr/sbin/sendmail newaliases_path = /usr/bin/newaliases mailq_path = /usr/bin/mailq setgid_group = postdrop html_directory = no manpage_directory = /usr/share/man sample_directory = /usr/share/doc/postfix readme_directory = /usr/share/doc/postfix # ich beschränke meinen Postfix im Moment noch auf IPv4, kann aber jeder entscheiden, wie er will... inet_protocols = ipv4 append_dot_mydomain = no biff = no #####--- Anti-Spam start ---##### smtpd_helo_required = yes disable_vrfy_command = yes strict_rfc821_envelopes = yes invalid_hostname_reject_code = 554 multi_recipient_bounce_reject_code = 554 non_fqdn_reject_code = 554 relay_domains_reject_code = 554 unknown_address_reject_code = 554 unknown_client_reject_code = 554 unknown_hostname_reject_code = 554 unknown_local_recipient_reject_code = 554 unknown_relay_recipient_reject_code = 554 unknown_virtual_alias_reject_code = 554 unknown_virtual_mailbox_reject_code = 554 unverified_recipient_reject_code = 554 unverified_sender_reject_code = 554 smtpd_sender_restrictions = permit_mynetworks,permit_sasl_authenticated,reject_non_fqdn_sender,reject_unknown_helo_hostname,reject_unknown_recipient_domain,reject_unknown_sender_domain # bitte hier beachten: DNSBL sind mit Vorsicht zu genie?en # zum Einen entscheidet die Reihenfolge # (manche RBL-Anbieter lassen nur x queries/Tag zu, daher besser vorher schon ordentlich Spam wegputzen) # und zum Anderen das Vertrauen in den jeweiligen Anbieter # UCEPROTECT z.B. wird von vielen sehr kritisch betrachtet; # ich f?r meinen Teil kann deren Vorgehen jedoch nur unterst?tzen smtpd_recipient_restrictions = permit_mynetworks,permit_sasl_authenticated,reject_rbl_client ix.dnsbl.manitu.net,reject_rbl_client bl.spamcop.net,reject_rbl_client multi.surbl.org,reject_rbl_client dnsbl-1.uceprotect.net,reject_rbl_client cbl.abuseat.org,reject_rbl_client combined.rbl.msrbl.net,reject_rbl_client b.barracudacentral.org,reject_invalid_hostname,reject_non_fqdn_hostname,reject_non_fqdn_sender,reject_non_fqdn_recipient,reject_unknown_sender_domain,reject_unknown_recipient_domain,reject_unauth_pipelining,reject_unauth_destination,reject_unlisted_recipient smtpd_helo_restrictions = permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination,reject_non_fqdn_sender,reject_non_fqdn_recipient,reject_unknown_recipient_domain,reject_non_fqdn_hostname,reject_invalid_hostname,reject_unauth_pipelining smtpd_client_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unknown_client_hostname # die Mailgröße darf jeder selbst bestimmen; ich für meinen Teil habe hier 1/4 GB... message_size_limit = 268435456 ## SASL Auth Settings smtpd_sasl_auth_enable = yes smtpd_sasl_security_options = noanonymous smtpd_sasl_local_domain = $myhostname broken_sasl_auth_clients = yes # Zusatz-Setting, bei Problemen bitte mit einer Raute auskommentieren smtpd_sasl_authenticated_header = yes # Virtual delivery settings virtual_mailbox_base = /var/customers/mail/ virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual_mailbox_maps.cf virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual_mailbox_domains.cf virtual_alias_maps = mysql:/etc/postfix/mysql-virtual_alias_maps.cf # Das ist per Default aktiv; wenn man so wie ich Kunden hat, die verschiedene Konten haben, aber über EIN Absendekonto alles rauspusten # (Stichwort Exchange und Smarthost mit single-auth) # Wenn das bei Euch nicht der Fall ist, einfach auskommentieren! # smtpd_sender_login_maps = mysql:/etc/postfix/mysql-virtual_sender_permissions.cf virtual_uid_maps = static:2000 virtual_gid_maps = static:2000 local_transport = local alias_maps = $alias_database mailbox_size_limit = 0 virtual_mailbox_limit = 0 ### TLS settings ### ## TLS for outgoing mails from the server to another server smtp_use_tls = yes smtp_tls_security_level = may smtp_tls_note_starttls_offer = yes ## TLS for email client smtpd_use_tls = yes smtpd_tls_auth_only = no smtpd_tls_security_level = may # hier sind unsere ganzen Zertifikats-Sachen, die wir zuvor generiert haben smtpd_tls_cert_file = /etc/postfix/ssl/smtpd.crt smtpd_tls_key_file = /etc/postfix/ssl/smtpd.key smtpd_tls_CAfile = /etc/postfix/ssl/cacert.pem smtpd_tls_loglevel = 1 smtpd_tls_received_header = yes smtpd_tls_session_cache_timeout = 3600s tls_random_source = dev:/dev/urandom # hier die Haupt-IP vom Server; bei mehreren IP's wichtig wegen SPF und Co... smtp_bind_address = xxx.xxx.xxx.xxx Bei der nächsten Datei liste ich nur die 2 Settings, die entkommentiert werden können. Ich habe BEIDE aktiv, theoretisch reicht eines aus. Die meisten bevorzugen submission, ich habe aber auch Anwendungsfälle, in denen smtps benötigt wird... master.cf: submission inet n - - - - smtpd -o syslog_name=postfix/submission -o smtpd_tls_security_level=encrypt -o smtpd_sasl_auth_enable=yes -o smtpd_client_restrictions=permit_sasl_authenticated,reject # -o milter_macro_daemon_name=ORIGINATING smtps inet n - - - - smtpd -o syslog_name=postfix/smtps -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes -o smtpd_client_restrictions=permit_sasl_authenticated,reject # -o milter_macro_daemon_name=ORIGINATING Nachdem die beiden Dateien modifiziert worden sind, heißt es nur noch, dem Postfix die neue Konfiguration bekannt zu machen: service postfix reload Manchmal kann es sein, daß es mit einem freundlichen reload nicht klappt, dann einfach ein: service postfix restart (Achtung, dabei können dann Emails verschütt gehen...! So, jetzt sollte auch unser Postfix auf Port 587 (submission) und auf Port 465 (smtps) lauschen, und wenn wir mittels telnet eine Session zum Server öffnen: telnet localhost 25 und uns dann mal mit: ehlo localhost bemerkbar machen, dann sollten wir ein: root@debian:~# telnet localhost 25 Trying 127.0.0.1... Connected to localhost.localdomain. Escape character is '^]'. 220 EUER FQDN ESMTP Postfix ehlo localhost 250-euer-fqdn 250-PIPELINING 250-SIZE 268435456 250-ETRN 250-STARTTLS 250-AUTH PLAIN LOGIN CRAM-MD5 DIGEST-MD5 250-AUTH=PLAIN LOGIN CRAM-MD5 DIGEST-MD5 250-ENHANCEDSTATUSCODES 250-8BITMIME 250 DSN zurückbekommen, welches wir mit einem quit und dem Drücken der Enter-Taste verlassen. So, Verbesserungsvorschläge/Korrekturen herzlich willkommen. (ich weiß, gehört eigentlich ins Wiki; aber das war ja auch kürzlich schon mal offline...) Dovecot habe ich in diesem Fall außen vor gelassen, da ich persönlich zwar schon die Vorteile von Dovecot sehe, aber auch die ständigen Probleme mit den Konfigurationen. (aber wer weiß, vielleicht ergänze ich das dann ja noch...)
  10. Hallihallo liebes Forum, ich muss nach einer langen Recherche aufgeben und mal nachfragen. Und zwar geht es konkret darum Froxlor Kunden-Domains mit SSL-Zertifikaten zu best?cken. Wie schon erw?hnt, habe ich mich umgehend umgeschaut und kam nicht wirklich zu einer L?sung des Problems durch Suchen und Ausprobieren. Mal vorweg das Problem: nginx liefert dem Browser das SSL-Zertifikat, was unter "IP and Ports" hinterlegt wurde, also quasi sowas wie das "Server-Fallback-Zertifikat" statt dem SSL-Zertifikat, was der Kunde angelegt hat. Das ist so nat?rlich nicht praktikabel und daher kann da ja nur etwas nicht stimmen. Zu den technischen Details: Der Server ist ein Debian 3.2.65-1+deb7u2 x86_64 Es l?uft Froxlor 0.9.33.1-1 Es l?uft nginx 1.6.2 (SNI-Support) sowie php5-fpm PHP 5.4.36-0+deb7u3 Ich benutze aktuelle Browser mit SNI-Support Die Kunden k?nnen erfolgreich als "virtuelle" UNIX User gemappt werden (also f?r PHP-Socket-Zugriff etc.) Die nginx Vhost Dateien: IP und Port SSL-Vhost: http://nopaste.linux-dev.org/?450919 Kunden SSL-Vhost: http://nopaste.linux-dev.org/?450920 Wie ich das sehe, sieht das korrekt aus, oder? Das Problem ist nun, dass ich statt dem Kunden SSL Zertifikat das der IP bekomme, also das unter /pfad/zum/server/cert.crt. Was ich schon gemacht habe: s?mtliche Einstellungen der IP ge?ndert (alle Checkboxen mal durchprobiert), also diese Vhost-Container ja/nein, Servername ja/nein, ? Domains gel?scht/neu hinzugef?gt Zertifikate gel?scht/neu hinzugef?gt Configs neu geschrieben Services neu gestartet Was sonst noch so passiert: L?sche ich das der IP hinterlegte SSL-Zertifikat, sagt nginx bei einer Anfrage auf die SSL-Kunden-Domain, dass kein SSL-Zertifikat angegeben wurde Vielleicht habe ich einige Daten, Fakten und Dinge, die ich schon probiert habe, vergessen zu erw?hnen. Fragt doch bitte, wenn was fehlt oder unklar ist. ?ber Denkanst??e w?re ich sehr dankbar, ich bin noch recht neu um Umgang mir Froxlor und wollte jetzt mal die SSL-Implementation testen? Ich gehe mal davon aus, dass mein Fehler recht trivial sein d?rfte.
  11. Hallo, Ich habe Probleme mit Froxlor in Bezug auf SSL/SNI. Beim Aufruf einer Domain kommt die Meldung "ssl_error_rx_record_too_long". Hier der vHost: http://pastebin.com/H5H1FJ9C Wenn ich den vHost von "35_froxlor_ssl_vhost_Domain.com.conf" in "00_froxlor_ssl_vhost_Domain.com.conf" umbenenne funktioniert es. Das habe ich auch schon in anderen Topics zu dem Thema gelesen, allerdings wurde kein L?sungsvorschlag genannt. Jeden SSL vHost manuell umbenennen w?rde ich nur ungern. Im Log steht nichts IP Einstellungen: http://fs5.directupload.net/images/151205/s2g2n6rx.png Als Zertifikat wurde nichts eingetragen, da SNI verwendet wird. Gr??e
  12. SSL-Weiterleitung

    Guten Abend, bei mir funktioniert das H?kchen "SSL-Weiterleitung" in der Domain Einstellung nicht. Jedes mal wenn ich das H?kchen setze, speichern dr?cke, ist es danach wieder weg und die Weiterleitung funtioniert nicht. Ist da bei euch was bekannt? Edit: Eben dazu was interessantes per root mail vom cronjob bekommen: PHP Notice: Undefined variable: domain in /var/www/froxlor/scripts/jobs/cron_tasks.inc.http.10.apache.php on line 321 Liebe Gr??e Tobias
  13. Hallo, ich habe meinen Server auf Debian Jessie aktualisiert. Seit dem ist ?ber den Apache keine SSL Verbindung mehr m?glich. Im Browser bekomm ich die Fehlermeldung "ssl_error_rx_record_too_long". Ein Test der SSL-Verbindung auf z. B. sslshopper.com, gibt folgende Fehlermeldung: "No SSL certificates were found on domain1.de. Make sure that the name resolves to the correct server and that the SSL port (default is 443) is open on your server's firewall." Die Domain zeigt auf den korrekten Server und die korrekte IP. Die Firewall wurde deaktiviert und alle Einstellungen in Froxlor entsprechend gesetzt. Im Error-Log des Apache oder der Domain kommt dazu kein Fehler an, da scheinbar erst gar keine korrekt SSL Verbindung aufgebaut werden kann. In Froxlor ist Apache 2.4 aktiviert. Zertifikate sind alle g?ltig bis 2016 und die Checksum von crt und key sind identisch. Als vHosts hab ich folgende: lrwxrwxrwx 1 root root 35 Mai 5 09:29 000-default.conf -> ../sites-available/000-default.conf lrwxrwxrwx 1 root root 35 Mai 5 10:51 000-default-ssl -> ../sites-available/default-ssl.conf -rw-r--r-- 1 root root 818 Mai 4 16:57 10_froxlor_ipandport_IP.443.conf -rw-r--r-- 1 root root 807 Mai 4 16:57 10_froxlor_ipandport_IP.80.conf -rw-r--r-- 1 root root 1,4K Mai 4 16:57 22_froxlor_normal_vhost_domain2.de.conf -rw-r--r-- 1 root root 1,4K Mai 4 16:57 22_froxlor_normal_vhost_domain1.de.conf -rw-r--r-- 1 root root 1,8K Mai 4 16:57 22_froxlor_ssl_vhost_domain2.de.conf -rw-r--r-- 1 root root 1,8K Mai 4 16:57 22_froxlor_ssl_vhost_domain1.de.conf lrwxrwxrwx 1 root root 35 Mai 5 09:29 default-ssl.conf -> ../sites-available/default-ssl.conf Benenne ich z. B. 22_froxlor_ssl_vhost_domain1.de.conf in 00_froxlor_ssl_vhost_domain1.de.conf um, ist die SSL-Verbindung zu dieser Domain korrekt m?glich. Mache ich dies weider r?ckg?ngig, ist keine SSL-Verbindung mehr m?glich. Ich seh allerdings nicht den Fehler bzw. die Ursache, die den Fehler verursacht. Scheinbar erfolgt kein korrektes "Durchreichen" der Verbindung zu dem SSL vhost. Ich hab jetzt schon vieles gepr?ft, komme aber nicht weiter. Hat vielleicht jemand einen Tipp f?r mich? Mit Wheezy und Apache 2.2 lief alles mit den gleichen Einstellungen korrekt. 10_froxlor_ipandport_IP.80.conf # 10_froxlor_ipandport_IP.80.conf # Created 05.05.2015 08:55 # Do NOT manually edit this file, all changes will be deleted after the next domain change at the panel. <VirtualHost IP:80> DocumentRoot "/var/www/froxlor/" ServerName www.froxlordomain.de FastCgiExternalServer /var/www/php-fpm/froxlor.panel/www.froxlordomain.de/e23b.fpm.external -socket /var/lib/apache2/fastcgi/froxlor.panel-www.froxlordomain.de-php-fpm.socket -idle-timeout 180 <Directory "/var/www/froxlor/"> <FilesMatch "\.(php)$"> AddHandler php5-fastcgi .php Action php5-fastcgi /fastcgiphp Options +ExecCGI </FilesMatch> Require all granted </Directory> Alias /fastcgiphp /var/www/php-fpm/froxlor.panel/www.froxlordomain.de/e23b.fpm.external </VirtualHost> 10_froxlor_ipandport_IP.443.conf # 10_froxlor_ipandport_IP.443.conf # Created 05.05.2015 09:43 # Do NOT manually edit this file, all changes will be deleted after the next domain change at the panel. <VirtualHost IP:443> DocumentRoot "/var/www/froxlor/" ServerName www.froxlordomain.de FastCgiExternalServer /var/www/php-fpm/froxlor.panel/www.froxlordomain.de/8afc.ssl-fpm.external -socket /var/lib/apache2/fastcgi/froxlor.panel-www.froxlordomain.de-php-fpm.socket -idle-timeout 180 <Directory "/var/www/froxlor/"> <FilesMatch "\.(php)$"> AddHandler php5-fastcgi .php Action php5-fastcgi /fastcgiphp Options +ExecCGI </FilesMatch> Require all granted </Directory> Alias /fastcgiphp /var/www/php-fpm/froxlor.panel/www.froxlordomain.de/8afc.ssl-fpm.external </VirtualHost> 22_froxlor_normal_vhost_domain1.de.conf # 22_froxlor_normal_vhost_domain1.de.conf # Created 05.05.2015 09:43 # Do NOT manually edit this file, all changes will be deleted after the next domain change at the panel. # Domain ID: 1 - CustomerID: 1 - CustomerLogin: domain1 <VirtualHost IP:80> ServerName domain1.de ServerAlias www.domain1.de ServerAdmin test@domain1.de <IfModule mod_rewrite.c> RewriteEngine On RewriteCond %{HTTPS} off RewriteRule ^/(.*) https://domain1.de/$1'>https://domain1.de/$1 </IfModule> Redirect / https://domain1.de/ </VirtualHost> 22_froxlor_ssl_vhost_domain1.de.conf # 22_froxlor_ssl_vhost_domain1.de.conf # Created 05.05.2015 09:43 # Do NOT manually edit this file, all changes will be deleted after the next domain change at the panel. # Domain ID: 1 (SSL) - CustomerID: 1 - CustomerLogin: x-dast <VirtualHost IP:443> ServerName domain1.de ServerAlias www.domain1.de ServerAdmin test@domain1.de SSLEngine On SSLProtocol ALL -SSLv2 -SSLv3 SSLHonorCipherOrder On SSLCipherSuite AES256+EECDH:AES256+EDH SSLVerifyDepth 10 SSLCertificateFile /etc/ssl/froxlor-custom/domain1.de.crt SSLCertificateKeyFile /etc/ssl/froxlor-custom/domain1.de.key SSLCACertificateFile /etc/ssl/froxlor-custom/domain1.de_CA.pem SSLCertificateChainFile /etc/ssl/froxlor-custom/domain1.de_chain.pem DocumentRoot "/var/customers/webs/x-dast/websites/main/" SuexecUserGroup "x-dast" "x-dast" FastCgiExternalServer /var/www/php-fpm/x-dast/domain1.de/ssl-fpm.external -socket /var/lib/apache2/fastcgi/x-dast-domain1.de-php-fpm.socket -idle-timeout 180 <Directory "/var/customers/webs/x-dast/websites/main/"> <FilesMatch "\.php$"> SetHandler php5-fastcgi Action php5-fastcgi /fastcgiphp Options +ExecCGI </FilesMatch> Require all granted </Directory> Alias /fastcgiphp /var/www/php-fpm/x-dast/domain1.de/ssl-fpm.external Alias /webalizer "/var/customers/webs/x-dast/webalizer" ErrorLog "/var/customers/logs/x-dast-error.log" CustomLog "/var/customers/logs/x-dast-access.log" combined </VirtualHost> mods-enabled: lrwxrwxrwx 1 root root 36 Mai 5 09:29 access_compat.load -> ../mods-available/access_compat.load lrwxrwxrwx 1 root root 30 M?r 31 10:03 actions.conf -> ../mods-available/actions.conf lrwxrwxrwx 1 root root 30 M?r 31 10:03 actions.load -> ../mods-available/actions.load lrwxrwxrwx 1 root root 28 M?r 5 18:52 alias.conf -> ../mods-available/alias.conf lrwxrwxrwx 1 root root 28 M?r 5 18:52 alias.load -> ../mods-available/alias.load lrwxrwxrwx 1 root root 33 M?r 5 18:52 auth_basic.load -> ../mods-available/auth_basic.load lrwxrwxrwx 1 root root 33 Mai 5 09:29 authn_core.load -> ../mods-available/authn_core.load lrwxrwxrwx 1 root root 33 M?r 5 18:52 authn_file.load -> ../mods-available/authn_file.load lrwxrwxrwx 1 root root 33 Mai 5 09:29 authz_core.load -> ../mods-available/authz_core.load lrwxrwxrwx 1 root root 38 M?r 5 18:52 authz_groupfile.load -> ../mods-available/authz_groupfile.load lrwxrwxrwx 1 root root 33 M?r 5 18:52 authz_host.load -> ../mods-available/authz_host.load lrwxrwxrwx 1 root root 33 M?r 5 18:52 authz_user.load -> ../mods-available/authz_user.load lrwxrwxrwx 1 root root 32 M?r 5 18:52 autoindex.conf -> ../mods-available/autoindex.conf lrwxrwxrwx 1 root root 32 M?r 5 18:52 autoindex.load -> ../mods-available/autoindex.load lrwxrwxrwx 1 root root 27 M?r 31 10:14 cgid.conf -> ../mods-available/cgid.conf lrwxrwxrwx 1 root root 27 M?r 31 10:14 cgid.load -> ../mods-available/cgid.load lrwxrwxrwx 1 root root 26 M?r 5 18:52 cgi.load -> ../mods-available/cgi.load lrwxrwxrwx 1 root root 30 M?r 5 18:52 deflate.conf -> ../mods-available/deflate.conf lrwxrwxrwx 1 root root 30 M?r 5 18:52 deflate.load -> ../mods-available/deflate.load lrwxrwxrwx 1 root root 26 M?r 5 18:52 dir.conf -> ../mods-available/dir.conf lrwxrwxrwx 1 root root 26 M?r 5 18:52 dir.load -> ../mods-available/dir.load lrwxrwxrwx 1 root root 26 M?r 5 18:52 env.load -> ../mods-available/env.load lrwxrwxrwx 1 root root 30 M?r 31 10:03 fastcgi.conf -> ../mods-available/fastcgi.conf lrwxrwxrwx 1 root root 30 M?r 31 10:03 fastcgi.load -> ../mods-available/fastcgi.load lrwxrwxrwx 1 root root 29 Mai 5 09:29 filter.load -> ../mods-available/filter.load lrwxrwxrwx 1 root root 30 Apr 23 14:03 headers.load -> ../mods-available/headers.load lrwxrwxrwx 1 root root 27 M?r 5 18:52 mime.conf -> ../mods-available/mime.conf lrwxrwxrwx 1 root root 27 M?r 5 18:52 mime.load -> ../mods-available/mime.load lrwxrwxrwx 1 root root 33 Mai 5 09:29 mpm_worker.conf -> ../mods-available/mpm_worker.conf lrwxrwxrwx 1 root root 33 Mai 5 09:29 mpm_worker.load -> ../mods-available/mpm_worker.load lrwxrwxrwx 1 root root 34 M?r 5 18:52 negotiation.conf -> ../mods-available/negotiation.conf lrwxrwxrwx 1 root root 34 M?r 5 18:52 negotiation.load -> ../mods-available/negotiation.load lrwxrwxrwx 1 root root 33 M?r 5 18:52 reqtimeout.conf -> ../mods-available/reqtimeout.conf lrwxrwxrwx 1 root root 33 M?r 5 18:52 reqtimeout.load -> ../mods-available/reqtimeout.load lrwxrwxrwx 1 root root 30 M?r 25 04:39 rewrite.load -> ../mods-available/rewrite.load lrwxrwxrwx 1 root root 31 M?r 5 18:52 setenvif.conf -> ../mods-available/setenvif.conf lrwxrwxrwx 1 root root 31 M?r 5 18:52 setenvif.load -> ../mods-available/setenvif.load lrwxrwxrwx 1 root root 36 Mai 5 09:29 socache_shmcb.load -> ../mods-available/socache_shmcb.load lrwxrwxrwx 1 root root 26 M?r 6 14:24 ssl.conf -> ../mods-available/ssl.conf lrwxrwxrwx 1 root root 26 M?r 6 14:24 ssl.load -> ../mods-available/ssl.load lrwxrwxrwx 1 root root 29 M?r 5 18:52 status.conf -> ../mods-available/status.conf lrwxrwxrwx 1 root root 29 M?r 5 18:52 status.load -> ../mods-available/status.load lrwxrwxrwx 1 root root 29 M?r 5 19:18 suexec.load -> ../mods-available/suexec.load conf-enabled: lrwxrwxrwx 1 root root 30 Mai 5 09:29 charset.conf -> ../conf-available/charset.conf lrwxrwxrwx 1 root root 44 Mai 5 09:29 localized-error-pages.conf -> ../conf-available/localized-error-pages.conf lrwxrwxrwx 1 root root 46 Mai 5 09:29 other-vhosts-access-log.conf -> ../conf-available/other-vhosts-access-log.conf lrwxrwxrwx 1 root root 31 Mai 5 09:29 security.conf -> ../conf-available/security.conf lrwxrwxrwx 1 root root 36 Mai 5 09:29 serve-cgi-bin.conf -> ../conf-available/serve-cgi-bin.conf apache2.conf # This is the main Apache server configuration file. It contains the # configuration directives that give the server its instructions. # See http://httpd.apache.org/docs/2.4/ for detailed information about # the directives and /usr/share/doc/apache2/README.Debian about Debian specific # hints. # # # Summary of how the Apache 2 configuration works in Debian: # The Apache 2 web server configuration in Debian is quite different to # upstream's suggested way to configure the web server. This is because Debian's # default Apache2 installation attempts to make adding and removing modules, # virtual hosts, and extra configuration directives as flexible as possible, in # order to make automating the changes and administering the server as easy as # possible. # It is split into several files forming the configuration hierarchy outlined # below, all located in the /etc/apache2/ directory: # # /etc/apache2/ # |-- apache2.conf # | `-- ports.conf # |-- mods-enabled # | |-- *.load # | `-- *.conf # |-- conf-enabled # | `-- *.conf # `-- sites-enabled # `-- *.conf # # # * apache2.conf is the main configuration file (this file). It puts the pieces # together by including all remaining configuration files when starting up the # web server. # # * ports.conf is always included from the main configuration file. It is # supposed to determine listening ports for incoming connections which can be # customized anytime. # # * Configuration files in the mods-enabled/, conf-enabled/ and sites-enabled/ # directories contain particular configuration snippets which manage modules, # global configuration fragments, or virtual host configurations, # respectively. # # They are activated by symlinking available configuration files from their # respective *-available/ counterparts. These should be managed by using our # helpers a2enmod/a2dismod, a2ensite/a2dissite and a2enconf/a2disconf. See # their respective man pages for detailed information. # # * The binary is called apache2. Due to the use of environment variables, in # the default configuration, apache2 needs to be started/stopped with # /etc/init.d/apache2 or apache2ctl. Calling /usr/bin/apache2 directly will not # work with the default configuration. # Global configuration # # # ServerRoot: The top of the directory tree under which the server's # configuration, error, and log files are kept. # # NOTE! If you intend to place this on an NFS (or otherwise network) # mounted filesystem then please read the Mutex documentation (available # at <URL:http://httpd.apache.org/docs/2.4/mod/core.html#mutex>); # you will save yourself a lot of trouble. # # Do NOT add a slash at the end of the directory path. # #ServerRoot "/etc/apache2" # # The accept serialization lock file MUST BE STORED ON A LOCAL DISK. # Mutex file:${APACHE_LOCK_DIR} default # # PidFile: The file in which the server should record its process # identification number when it starts. # This needs to be set in /etc/apache2/envvars # PidFile ${APACHE_PID_FILE} # # Timeout: The number of seconds before receives and sends time out. # Timeout 300 # # KeepAlive: Whether or not to allow persistent connections (more than # one request per connection). Set to "Off" to deactivate. # KeepAlive On # # MaxKeepAliveRequests: The maximum number of requests to allow # during a persistent connection. Set to 0 to allow an unlimited amount. # We recommend you leave this number high, for maximum performance. # MaxKeepAliveRequests 100 # # KeepAliveTimeout: Number of seconds to wait for the next request from the # same client on the same connection. # KeepAliveTimeout 5 # These need to be set in /etc/apache2/envvars User ${APACHE_RUN_USER} Group ${APACHE_RUN_GROUP} # # HostnameLookups: Log the names of clients or just their IP addresses # e.g., www.apache.org (on) or 204.62.129.132 (off). # The default is off because it'd be overall better for the net if people # had to knowingly turn this feature on, since enabling it means that # each client request will result in AT LEAST one lookup request to the # nameserver. # HostnameLookups Off # ErrorLog: The location of the error log file. # If you do not specify an ErrorLog directive within a <VirtualHost> # container, error messages relating to that virtual host will be # logged here. If you *do* define an error logfile for a <VirtualHost> # container, that host's errors will be logged there and not here. # ErrorLog ${APACHE_LOG_DIR}/error.log # # LogLevel: Control the severity of messages logged to the error_log. # Available values: trace8, ..., trace1, debug, info, notice, warn, # error, crit, alert, emerg. # It is also possible to configure the log level for particular modules, e.g. # "LogLevel info ssl:warn" # LogLevel warn # Include module configuration: IncludeOptional mods-enabled/*.load IncludeOptional mods-enabled/*.conf # Include list of ports to listen on Include ports.conf # Sets the default security model of the Apache2 HTTPD server. It does # not allow access to the root filesystem outside of /usr/share and /var/www. # The former is used by web applications packaged in Debian, # the latter may be used for local directories served by the web server. If # your system is serving content from a sub-directory in /srv you must allow # access here, or in any related virtual host. <Directory /> Options FollowSymLinks AllowOverride None Require all denied </Directory> <Directory /usr/share> AllowOverride None Require all granted </Directory> <Directory /var/www/> Options Indexes FollowSymLinks AllowOverride None Require all granted </Directory> #<Directory /srv/> # Options Indexes FollowSymLinks # AllowOverride None # Require all granted #</Directory> # AccessFileName: The name of the file to look for in each directory # for additional configuration directives. See also the AllowOverride # directive. # AccessFileName .htaccess # # The following lines prevent .htaccess and .htpasswd files from being # viewed by Web clients. # <FilesMatch "^\.ht"> Require all denied </FilesMatch> # # The following directives define some format nicknames for use with # a CustomLog directive. # # These deviate from the Common Log Format definitions in that they use %O # (the actual bytes sent including headers) instead of %b (the size of the # requested file), because the latter makes it impossible to detect partial # requests. # # Note that the use of %{X-Forwarded-For}i instead of %h is not recommended. # Use mod_remoteip instead. # LogFormat "%v:%p %h %l %u %t \"%r\" %>s %O \"%{Referer}i\" \"%{User-Agent}i\"" vhost_combined LogFormat "%h %l %u %t \"%r\" %>s %O \"%{Referer}i\" \"%{User-Agent}i\"" combined LogFormat "%h %l %u %t \"%r\" %>s %O" common LogFormat "%{Referer}i -> %U" referer LogFormat "%{User-agent}i" agent # Include of directories ignores editors' and dpkg's backup files, # see README.Debian for details. # Include generic snippets of statements IncludeOptional conf-enabled/*.conf # Include the virtual host configurations: IncludeOptional sites-enabled/*.conf # vim: syntax=apache ts=4 sw=4 sts=4 sr noet ssl.conf <IfModule mod_ssl.c> # Pseudo Random Number Generator (PRNG): # Configure one or more sources to seed the PRNG of the SSL library. # The seed data should be of good random quality. # WARNING! On some platforms /dev/random blocks if not enough entropy # is available. This means you then cannot use the /dev/random device # because it would lead to very long connection times (as long as # it requires to make more entropy available). But usually those # platforms additionally provide a /dev/urandom device which doesn't # block. So, if available, use this one instead. Read the mod_ssl User # Manual for more details. # SSLRandomSeed startup builtin SSLRandomSeed startup file:/dev/urandom 512 SSLRandomSeed connect builtin SSLRandomSeed connect file:/dev/urandom 512 ## ## SSL Global Context ## ## All SSL configuration in this context applies both to ## the main server and all SSL-enabled virtual hosts. ## # # Some MIME-types for downloading Certificates and CRLs # AddType application/x-x509-ca-cert .crt AddType application/x-pkcs7-crl .crl # Pass Phrase Dialog: # Configure the pass phrase gathering process. # The filtering dialog program (`builtin' is a internal # terminal dialog) has to provide the pass phrase on stdout. SSLPassPhraseDialog exec:/usr/share/apache2/ask-for-passphrase # Inter-Process Session Cache: # Configure the SSL Session Cache: First the mechanism # to use and second the expiring timeout (in seconds). # (The mechanism dbm has known memory leaks and should not be used). #SSLSessionCache dbm:${APACHE_RUN_DIR}/ssl_scache SSLSessionCache shmcb:${APACHE_RUN_DIR}/ssl_scache(512000) SSLSessionCacheTimeout 300 # Semaphore: # Configure the path to the mutual exclusion semaphore the # SSL engine uses internally for inter-process synchronization. # (Disabled by default, the global Mutex directive consolidates by default # this) #Mutex file:${APACHE_LOCK_DIR}/ssl_mutex ssl-cache # SSL Cipher Suite: # List the ciphers that the client is permitted to negotiate. See the # ciphers(1) man page from the openssl package for list of all available # options. # Enable only secure ciphers: SSLCipherSuite HIGH:!aNULL # SSL server cipher order preference: # Use server priorities for cipher algorithm choice. # Clients may prefer lower grade encryption. You should enable this # option if you want to enforce stronger encryption, and can afford # the CPU cost, and did not override SSLCipherSuite in a way that puts # insecure ciphers first. # Default: Off #SSLHonorCipherOrder on # The protocols to enable. # Available values: all, SSLv3, TLSv1, TLSv1.1, TLSv1.2 # SSL v2 is no longer supported SSLProtocol all -SSLv3 # Allow insecure renegotiation with clients which do not yet support the # secure renegotiation protocol. Default: Off #SSLInsecureRenegotiation on # Whether to forbid non-SNI clients to access name based virtual hosts. # Default: Off #SSLStrictSNIVHostCheck On </IfModule> # vim: syntax=apache ts=4 sw=4 sts=4 sr noet ports.conf # If you just change the port or add more ports here, you will likely also # have to change the VirtualHost statement in # /etc/apache2/sites-enabled/000-default.conf Listen 80 <IfModule ssl_module> Listen 443 </IfModule> <IfModule mod_gnutls.c> Listen 443 </IfModule> # vim: syntax=apache ts=4 sw=4 sts=4 sr noet apache2ctl -S [10:58:28 root /etc/apache2/mods-available]> apache2ctl -S VirtualHost configuration: IP:80 is a NameVirtualHost default server www.froxlordomain.de (/etc/apache2/sites-enabled/10_froxlor_ipandport_IP.80.conf:5) port 80 namevhost www.froxlordomain.de (/etc/apache2/sites-enabled/10_froxlor_ipandport_IP.80.conf:5) port 80 namevhost domain2.de (/etc/apache2/sites-enabled/22_froxlor_normal_vhost_domain2.de.conf:6) alias www.domain2.de port 80 namevhost domain1.de (/etc/apache2/sites-enabled/22_froxlor_normal_vhost_domain1.de.conf:6) alias www.domain1.de IP:443 is a NameVirtualHost default server www.froxlordomain.de (/etc/apache2/sites-enabled/10_froxlor_ipandport_IP.443.conf:5) port 443 namevhost www.froxlordomain.de (/etc/apache2/sites-enabled/10_froxlor_ipandport_IP.443.conf:5) port 443 namevhost domain2.de (/etc/apache2/sites-enabled/22_froxlor_ssl_vhost_domain2.de.conf:6) alias www.domain2.de port 443 namevhost domain1.de (/etc/apache2/sites-enabled/22_froxlor_ssl_vhost_domain1.de.conf:6) alias www.domain1.de port 443 namevhost froxlordomain.de (/etc/apache2/sites-enabled/default-ssl.conf:2) *:80 froxlordomain.de (/etc/apache2/sites-enabled/000-default.conf:1) ServerRoot: "/etc/apache2" Main DocumentRoot: "/var/www/html" Main ErrorLog: "/var/log/apache2/error.log" Mutex ssl-stapling: using_defaults Mutex ssl-cache: using_defaults Mutex default: dir="/var/lock/apache2" mechanism=fcntl Mutex mpm-accept: using_defaults Mutex watchdog-callback: using_defaults Mutex rewrite-map: using_defaults PidFile: "/var/run/apache2/apache2.pid" Define: DUMP_VHOSTS Define: DUMP_RUN_CFG Define: ENABLE_USR_LIB_CGI_BIN User: name="www-data" id=33 Group: name="www-data" id=33 openssl s_client -connect domain1.de:443 -state -debug CONNECTED(00000003) SSL_connect:before/connect initialization write to 0x1e00420 [0x1e00d90] (295 bytes => 295 (0x127)) 0000 - 16 03 01 01 22 01 00 01-1e 03 03 6e 57 de c5 87 ...."......nW... 0010 - 15 a8 72 75 8d 24 f0 d4-3f 4d b3 0f 5c 81 e7 5a ..ru.$..?M..\..Z 0020 - 18 3d 13 66 bf 8e e3 e7-fc 6c fb 00 00 88 c0 30 .=.f.....l.....0 0030 - c0 2c c0 28 c0 24 c0 14-c0 0a 00 a3 00 9f 00 6b .,.(.$.........k 0040 - 00 6a 00 39 00 38 00 88-00 87 c0 32 c0 2e c0 2a .j.9.8.....2...* 0050 - c0 26 c0 0f c0 05 00 9d-00 3d 00 35 00 84 c0 2f .&.......=.5.../ 0060 - c0 2b c0 27 c0 23 c0 13-c0 09 00 a2 00 9e 00 67 .+.'.#.........g 0070 - 00 40 00 33 00 32 00 9a-00 99 00 45 00 44 c0 31 .@.3.2.....E.D.1 0080 - c0 2d c0 29 c0 25 c0 0e-c0 04 00 9c 00 3c 00 2f .-.).%.......<./ 0090 - 00 96 00 41 c0 11 c0 07-c0 0c c0 02 00 05 00 04 ...A............ 00a0 - c0 12 c0 08 00 16 00 13-c0 0d c0 03 00 0a 00 15 ................ 00b0 - 00 12 00 09 00 ff 01 00-00 6d 00 0b 00 04 03 00 .........m...... 00c0 - 01 02 00 0a 00 34 00 32-00 0e 00 0d 00 19 00 0b .....4.2........ 00d0 - 00 0c 00 18 00 09 00 0a-00 16 00 17 00 08 00 06 ................ 00e0 - 00 07 00 14 00 15 00 04-00 05 00 12 00 13 00 01 ................ 00f0 - 00 02 00 03 00 0f 00 10-00 11 00 23 00 00 00 0d ...........#.... 0100 - 00 20 00 1e 06 01 06 02-06 03 05 01 05 02 05 03 . .............. 0110 - 04 01 04 02 04 03 03 01-03 02 03 03 02 01 02 02 ................ 0120 - 02 03 00 0f 00 01 01 ....... SSL_connect:SSLv2/v3 write client hello A read from 0x1e00420 [0x1e062f0] (7 bytes => 7 (0x7)) 0000 - 48 54 54 50 2f 31 2e HTTP/1. SSL_connect:error in SSLv2/v3 read server hello A 139646614730384:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:795: --- no peer certificate available --- No client certificate CA names sent --- SSL handshake has read 7 bytes and written 295 bytes --- New, (NONE), Cipher is (NONE) Secure Renegotiation IS NOT supported Compression: NONE Expansion: NONE --- Gru? x-dast
  14. Hallo alle zusammen, seit heute Nachmittag sitze ich jetzt an diesem Spa? und frage jetzt doch mal die Erfahrenen unter euch hier. Ich habe vor einiger Zeit ein Thawte 123 SSL-Zertifikat f?r meinen vServer bestellt und in Froxlor eingerichtet, das l?uft prinzipiell auch, aber einige Browser (u.a. Firefox und Android-Chrome) machen mir Probleme mit der Akzeptanz. Nach ein bisschen schauen und googeln lief das darauf hinaus, dass mir wohl das entsprechende CA-Zertifikat von Thawte fehlt. Das also hier heruntergeladen, dazu auch gleich das Bundle von hier besorgt, hochgeladen und in Froxlor eingef?gt. Erste H?rde genommen, nachdem Apache nicht mehr starten wollte, indem ich das CA-Zertifikat konvertiert habe. Leider hat das an der Einstellung der Browser zu meiner Seite nichts ge?ndert. Hab die Seite dann auch nochmal durch den Thawte Check gejagt. Ergebnis: Intermediate certificate missing. Es wird mir auch gleich das entsprechende Intermediate Zertifikat zum Download angeboten, aber ich habe jetzt keine Ahnung, wo ich das in Froxlor hinpacken muss. Soweit ich das verstanden habe, ist das doch schon im Bundle enthalten, aber irgendwie scheint er das trotzdem zu ignorieren. Irgendjemand die entsprechende Erfahrung und eine gute Idee? Danke f?r jede Hilfe! Florian
  15. SSL error with Apache 2.4

    Hi, I|m getting the following error on enabling SSL. * Restarting web server apache2 [fail] * The apache2 configtest failed. Output of config test was: AH00526: Syntax error on line 18 of /etc/apache2/sites-enabled/10_froxlor_ipandport_12.345.67.89.80.conf: Invalid command 'SSLEngine', perhaps misspelled or defined by a module not included in the server configuration Action 'configtest' failed. The Apache error log may have more information.How to enable SSL?
  16. Hallo liebe Community Ich habe vor einigen Monaten bei netcup f?r meinen vServer ein SSL-Zertifikat bestellt. Das habe ich manuell (ohne froxlor) eingerichtet. Da sich das mit am Anlegen von Subdomains ?ber froxlor aber nicht vertragen hat, musste ich das SSL nochmal ?ber Froxlor einrichten. Dazu habe ich mich zuerst an Forennutzer bei netcup gewandt und entsprechend Hilfestellung bekommen. (https://forum.netcup.de/administration-eines-server-vserver/vserver-server-kvm-server/6540-ssl-funktioniert-nicht-mehr-nach-anlegen-von-subdomains/) Das Problem ist nun folgendes: Beim Eingeben des Zertifikatinhaltes und des Private Keys bei der entsprechenden Domain in Froxlor bekomme ich die Fehlermeldung Der angegebene Key (Private-Key) geh?rt nicht zum angegebenen Zertifikat. Der angegebene Key und das Zertifikat geh?ren aber zweifelsfrei zusammen, ich hab das auch noch einmal ?ber die SSH-Konsole ?berpr?ft. (s. hier: http://www.ssl-faq.info/article/AA-00136/8/Technisches/Wie-kann-ich-berprfen-ob-ein-privater-Key-zu-einem-Zertifikat-passt.html) Daher gehe ich (und auch der netcup-Support) davon aus, dass der Fehler auf Seite von froxlor liegt. Andere Kunden im netcup-Forum haben das Problem nicht, ist euch ein ?hnlicher Fehler bekannt? Liebe Gr??e, Florian
  17. Hi all, I just upgraded from 0.9.29-rc(1 / 2 ?) to 0.9.31.2, mainly because of the missing SNI feature (and the IPv4/IPv6 dualstack ). According to http://redmine.froxlor.org/issues/365, SNI configuration (SSL certificate configuration per domain) should be available in this release. But in the domain configuration I don't see any inputs to configure the certificate files. Am I missing something or is it just not done yet? I am using Debian 7 with Apache 2.2 and OpenSSL 1.0.1e. In principle SNI works for me as I configured it manually in the domains vhost settings. But this is a bit dirty since the SSL options will then also be inserted to the non-ssl configuration file. For the certificate configuration this is alright, because without "SSLEngine On" it will just be ignored. But for some SSL redirections this a bit painful because it requires some rather complex rewrite conditions. Thank you! Best regards, Max
  18. [answered] SSL f?r Admin Panel

    Hallo alle zusammen, ich habe dank anderer Eintr?ge hier im Forum SSL f?r bestimmte Domains einrichten k?nnen. Doch wie kann ich es bewerkstelligen, dass auch https://meinedomain.de/froxlor/ ?ber eines meiner SSL Zertifikate erreichbar ist? Und ist es auch m?glich nur SSL f?r die Administrationsoberfl?che zuzulassen? Ich m?chte nur ungern Kunden die Wahl ?berlassen, ob sie SSL verwenden oder nicht, denn der Gro?teil wird das wohl nicht von sich aus tun -.- Vielen Dank im Voraus
  19. [solved] SSL per Domain

    Hello together, as far as I understand some tickets and db (table domain_ssl_settings) froxlor supports SSL-Certificates per Domain. My questions is now were to find the configuration in the panel and how to configure ssl for the domains? I was able to configure ssl for the main domain by adding an ssl port in IPs and Ports and by editing Settings > SSL Settings. Now I want configure a second domain for a customer.
  20. Hallo, ich installiere gerade Forxlor auf Ubuntu 12.04 (neue Installation) und komme bei ProFTPd zu dem Fehler: proftpd[8269]: mod_tls/2.4.3: compiled using OpenSSL version 'OpenSSL 1.0.0e 6 Sep 2011' headers, but linked to OpenSSL version 'OpenSSL 1.0.1 14 Mar 2012' library Leider konnte mir google nicht helfen, ich hoffe, dass kann hier jemand ?bernehmen. Mit freundlichen Gr??en Homwer
  21. Guten Tag Froxlor-Community, ich schreibe euch, da ich momentan Probleme mit meinen zertifizierten SSL-Zertifikaten habe. Habe diese ordnungsgem?? in Forxlor hinterlegt. Das aufrufen der mit SSL konfigurierten Domain funktioniert an einem Rechner (egal ob Windows oder Linux und egal welcher Browser) auch, versuche ich allerdings die Domain ?ber eine Android-Ger?t zu ?ffnen bekomme ich die Meldung das das Zertifikat nicht vertrauensw?rdig ist. Jemand eine Idee? Danke f?r eure Hilfe.
  22. Hallo zusammen, ich habe - seid der neusesten Froxlor-Version - das merkw?rdige Problem, dass nach jedem Update der Konfigurationsfiles durch Froxlor die Dateien meines SSL Zertifikates aus /etc/apache2/ssl verschwunden sind. Ich wei?, das klingt komisch. Evtl. hat es ja auch gar nichts mit Froxlor zu tun. Da das Problem aber seid dem letzten Update exisiitert, versuche ich es erst mal hier... Ich bin f?r alle Tipps dankbar :-) Viele Gr??e Holger
  23. Hi, ich habe ein kleines Problem mit SSL und den standard Subdomains. Ich habe das Zertifikat so eingerichtet das die Subdomains abgesichert sind. Das funktioniert soweit, aber anstatt im Ordner des jeweiligen Kunden lande ich bei der SSL-Domain immer auf dem Froxlor Panel. Detaillierte Infos Froxlor Version: 0.9.28 Server Hostname: mein-server.de Kunden standard Subdomain: mein-server.de (also wie Hostname) Beispiel Kunden Subdomain: webXY.mein-server.de F?r SSL ist eine IP/Port Kombination mit Port 443 und den Zertifikaten eingerichtet. Das Panel ist ?ber https://mein-server.de erreichbar, Zertifikat validiert passt alles. Die Kundenseiten sind ?ber http:// und den Subdomains ganz normal erreichbar, aber wenn ich z.B. https://webXY.mein-server.de eingebe lande ich auf dem Panel und nicht auf dem Kundenaccount. Zusatzinfo: Wenn ich irgend eine andere Domain, also z.B. test.de ?ber https:// aufrufe die auf webXY.mein-server.de zeigt dann lande ich AUCH auf dem Panel (Ich vermute also es liegt nicht an der standard Subdomain). Das w?rde ich gerne vermeiden, ich will ja nicht das jeder der einen https:// aufruf auf irgend eine unserer Domains macht auf Froxlor st??t. Ich vermute da habe ich irgendwas falsch eingestellt, aber ich weis ehrlich gesagt nicht was. W?re super wenn mir jemand dabei helfen k?nnte. LG Florian Edit: Nur so am Rande, ich kann im Forum nicht nach SSL suchen, weil die Suche min. 4 Buchstaben voraus setzt. Sorry also fals das schon beantwortet wurde.
  24. ssl certificate kaufen

    hallo leute, wer kann mir sagen, wo ich g?nstig ein ssl certificate kaufen kann? mein aktuelles certificate, quickssl premium, l?uft demn?chst aus. vielen dank im voraus!
×