Jump to content
Froxlor Forum

Search the Community

Showing results for tags 'ssl'.



More search options

  • Search By Tags

    Type tags separated by commas.
  • Search By Author

Content Type


Forums

  • Froxlor
    • Announcements
    • Feedback
    • Development
    • Bugs and Feature Requests
    • Trashcan
  • Support
    • General Discussion
  • Other Languages
    • German / Deutsch

Find results in...

Find results that contain...


Date Created

  • Start

    End


Last Updated

  • Start

    End


Filter by number of...

Joined

  • Start

    End


Group


AIM


MSN


Website URL


ICQ


Yahoo


Jabber


Skype


Location


Interests

Found 28 results

  1. Hi, I have a domain equipped with a certificate from LE. The cert is valid another 2 months. Now I added a domain as an alias of the existing domain, but the certificate isn't updated to have the new domain as its SAN. How do I trigger getting a new and updated certificate? Should I delete the existing one? Thanks for helping out. Peter
  2. Hi, I was wondering if it possible to specify different custom configurations for HTTP and HTTPS traffic. I have a couple of sites that would need to keep HTTP traffic active. Basically what I would like to do is the following: for HTTP: ProxyPreserveHost On ProxyRequests off ### HTTP Proxy AllowCONNECT 443 563 ProxyPass / http://localhost:16080/ ProxyPassReverse / http://localhost:16080/ for HTTPS: ###SSL Proxy ProxyPreserveHost On ProxyRequests off SSLProxyEngine on SSLProxyVerify none SSLProxyCheckPeerCN off SSLProxyCheckPeerName off SSLProxyCheckPeerExpire off ProxyPass / https://localhost:16443/ ProxyPassReverse / https://localhost:16433/ is this possible?
  3. Hallo, ich hätte eine Frage da ich aktuell in folgendes Problem laufe. Froxlor version: 0.9.39.5 (DB: 201805290) Meine Domains bekommen aktuell keine neuen Zertifikate mehr, da der Cronjob der die Letsencrypt Zertifikate erzeugt einen Fehler wirft. Gemäß Syspanel bekomme ich die Meldung (customer = mein Kunde, my.domain.com = meine Domain): 25.03.19 18:51:38 error customer Could not get Let's Encrypt certificate for my.domain.com: Curl: Unknown SSL protocol error in connection to acme-v02.api.letsencrypt.org:443 25.03.19 17:48:28 error froxlor.panel Could not get Let's Encrypt certificate for my.domain.com: Curl: Unknown SSL protocol error in connection to acme-v02.api.letsencrypt.org:443 25.03.19 17:35:04 error customer Could not get Let's Encrypt certificate for my.domain.com: Curl: Empty reply from server 25.03.19 16:47:52 error froxlor.panel Could not get Let's Encrypt certificate for my.domain.com: Curl: Unknown SSL protocol error in connection to acme-v02.api.letsencrypt.org:443 25.03.19 16:43:53 error froxlor.panel Could not get Let's Encrypt certificate for my.domain.com: Curl: Empty reply from server 25.03.19 16:43:53 error customer Could not get Let's Encrypt certificate for my.domain.com: Curl: Unknown SSL protocol error in connection to acme-v02.api.letsencrypt.org:443 25.03.19 16:30:27 error froxlor.panel Could not get Let's Encrypt certificate for my.domain.com: Curl: Empty reply from server 20.03.19 16:55:42 error froxlor.panel Could not get Let's Encrypt certificate for my.domain.com: Curl: Could not resolve host: acme-v02.api.letsencrypt.org 20.03.19 16:50:50 error customer Could not get Let's Encrypt certificate for my.domain.com: Curl: Could not resolve host: acme-v02.api.letsencrypt.org 20.03.19 16:50:20 error froxlor.panel Could not get Let's Encrypt certificate for my.domain.com: Curl: Operation timed out after 0 milliseconds with 0 out of 0 bytes received 09.03.19 16:12:36 error customer Could not get Let's Encrypt certificate for my.domain.com: Curl: Empty reply from server 09.03.19 14:52:02 error customer Could not get Let's Encrypt certificate for my.domain.com: Curl: Empty reply from server 01.03.19 14:54:10 error customer Could not get Let's Encrypt certificate for my.domain.com: Curl: Unknown SSL protocol error in connection to acme-v02.api.letsencrypt.org:443 01.03.19 05:30:01 error customer Could not get Let's Encrypt certificate for my.domain.com: Curl: error:14077438:SSL routines:SSL23_GET_SERVER_HELLO:tlsv1 alert internal error Leider bekomme ich wenn ich folgenden Befehl ausführe auch keine Meldung, es hängt einfach und passiert nix: root@server:/var/run# php -q /var/www/my.domain.com/scripts/froxlor_master_cronjob.php --letsencrypt --debug [information] Updating Let's Encrypt certificates [information] Updating my.domain.com [information] letsencrypt-v2 Using 'https://acme-v02.api.letsencrypt.org' to generate certificate [information] letsencrypt-v2 Using existing account key [information] letsencrypt-v2 Starting certificate generation process for domains [information] letsencrypt-v2 Requesting challenge for my.domain.com Leider sehe ich keine weitere Möglichkeit zum Debugging. Wo müsste ich ansetzen um mehr Logs zu bekommen, bzw. kennt jemand den Fehler und kann mir sagen was ich falsch mache ? Irgendwie verstehe ich nicht was das Problem ist. Auf einem anderen Server mit anderer IP und Froxlor habe ich genau das gleiche Problem. Ich kann erfolgreich pingen und telnetten: root@server:/var/run# telnet acme-v02.api.letsencrypt.org 443 Trying 2a02:26f0:eb:186::3a8e... Connected to e14990.dscx.akamaiedge.net. Escape character is '^]'. ^CConnection closed by foreign host.
  4. Guten Morgen liebe Community, ich hab schon gesucht hier, aber nicht wirklich was passendes gefunden, darum mach ich jetzt hier nochmal nen Thread auf. Ich nutz Froxlor nun erfolgreich seit über einem Jahr auf zwei Servern, es funktioniert soweit auch alles mit LetsEncrypt und den Zertifikaten. Jetzt hab ich nur folgendes Problem, bzw. ist dies möglich, da ich mehrere Kunden über Froxlor auf zwei Servern verwalte, muss ich natürlich auch E-Mails verwalten, und zwar verschlüsselt. Kann man das über Froxlor machen? Sprich, dass die Kunden ihre Emails über imap.kunde1.de & smtp.kunde1.de sowie imap.kunde2.de & smtp.kunde2.de usw. abrufen können. Momentan muss man ja bzw. so hat es mein Admin gemacht, ein Zertifikat für alle hinterlegen, welches auch nicht automatisch per Script geupdatet wird?! -> Ist das so richtig? Oder müssen alle Kunden ihre E-Mails per imap.hauptdomain.de abrufen?
  5. After migrating from syscp, all SSL hosts have empty host files. A comment is there, saying "# no ssl-certificate was specified for this domain, therefore no explicit vhost is being generated". Looking in lib/Froxlor/Cron/Http/Apache.php, I see that $domain['ssl_cert_file'] must be empty in order to get that message. But where in the domain form should I enter the certificate's filename? There is nothing under "Webserver SSL settings" that looks like that.
  6. Folgende Situation: Ich betreibe einen vServer mit Froxlor als Hostingpanel Der docroot von meinedomain.tld liegt unter /var/customers/webs/meinAccount Eine SSL Weiterleitung wurde auf meinedomain.tld eingerichtet Kunden verwenden ein paar vorinstallierte tools (Webmailer, DB Frontend, Froxlor Panel) über toolname.meinedomain.tld Die Tools liegen nicht im docroot von meinedomain.tld sondern unter /var/www/toolname Folgendes Problem: Die SSL Weiterleitung von http auf https bei der Hauptdomain meinedomain.tld funktioniert nicht, es sei denn, man verwendet eine der Subdomains für die Tools Für meinedomain.tld wird anstatt /var/customers/webs/meinAccount der docroot /var/www verwendet Vorübergehende Lösung: Die Prüfung, ob mod_rewrite in der NN_froxlor_normal_vhost_meinedomain.tld.conf aktiv ist, entfernen <IfModule !mod_rewrite.c> Redirect 301 / https://meinedomain.tld/ </IfModule> Dann findet IMMER ein Redirect auf HTTPS statt, wobei hier auch der richtige docroot geladen wird. Nachteil: Sobald die Configs neu geschrieben werden, ist die Änderung weg. Fragen: Kann man die mod_rewrite prüfung für die SSL Weiterleitung irgendwo dauerhaft deaktivieren? Warum verwendet der vHost Container für http keinen bzw. den falschen docroot? Wie kann ich persistente Änderungen an den .conf Dateien für einen vHost vornehmen?
  7. Hallo, ich habe in Problem mit dem Einrichten von SSL via Let's Encrypt. Ich nutze froxlor 0.9.39.5-1 Apache/2.2.22 (Debian) Ich möchte für alle Domains SSL mittels Let's Encrypt aktivieren. domain1 dafür entsprechend konfigiert. Funktioniert alles. domain2 genauso wie Domain1 konfiguriert (gleiche IP:443, Benutze Let's Encrypt an, ServerAlias-Angabe für Domain: www), der Zugriff via https gibt allerdings den Fehler aus: SSL_ERROR_BAD_CERT_DOMAIN Der Browser sagt, das Zertifikat gilt nur für folgende Namen: domain1 domain2 nutzt also das falsche Zertifikate. Die Debug Ausgabe des froxlor master cronjob sagt: [Thu Jul 12 13:28:05 2018] [warn] VirtualHost meineip:443 overlaps with VirtualHost meineip:443, the first has precedence, perhaps you need a NameVirtualHost directive Ich hab mir die erzeugten conf Dateien in /etc/apache2/sites-enabled angesehen, dort ist keine NameVirtualHost Anweisung erhalten. Diese eingefügt, Apache neu gestartet, funktioniert alles. Nun überschreibt froxlor diese Einstellung wieder, folglich, wieder das oben beschriebene Problem. Wie/wo kann ich das in Froxlor einstellen, global? Oder muss ich für jede Domain eine "Eigene vHost-Einstellungen" festlegen? Auf einem anderen Server mit Apache 2.4 und der gleichen Vorgehensweise hat alles problemlos mit einer IP und über 10 Domains funktioniert. Und dort steht keine NameVirtualHost directive in den conf Dateien.
  8. [Dieses Problem hat sich gelöst, ich hab mich doch tatsächlich verlesen, im Einsatz ist nur die .de, die .com ist nur eine Weiterleitung, klar funktioniert die nicht] ______________________________________________________________________________ Dann habe ich noch ein weiteres Problem und zwar habe ich eine neue Subdomain angelegt, beim versuch ein SSL Zertifikat zu ziehen kommen nun nur die folgenden Fehlermeldungen: [Lets Encrypt self-check] Please check http://www.mail.hoerth.eu/.well-known/acme-challenge/_s_fIpGAblEU_T6A9Iej0RV1Wp-gte-xrTeVRu9naPI - token seems to be not available. This is just a simple self-check, it might be wrong but consider using this information when Let's Encrypt fails to issue a certificate Could not get Let's Encrypt certificate for mail.hoerth.eu: Verification ended with error: {"identifier":{"type":"dns","value":"www.mail.hoerth.eu"},"status":"invalid","expires":"2018-06-15T12:01:38Z","challenges":[{"type":"dns-01","status":"invalid","uri":"https:\/\/acme-v01.api.letsencrypt.org\/acme\/challenge\/SXa_3IeDJd19Xg3oVtLd0iaj3H2lKBN_fzM1cZPtguc\/5014287643","token":"mOYe0nDwOyTxrfZc83fmpBVeL1vZesbZrV-t_nkRdZ0"},{"type":"http-01","status":"invalid","error":{"type":"urn:acme:error:dns","detail":"DNS problem: NXDOMAIN looking up A for www.mail.hoerth.eu","status":400},"uri":"https:\/\/acme-v01.api.letsencrypt.org\/acme\/challenge\/SXa_3IeDJd19Xg3oVtLd0iaj3H2lKBN_fzM1cZPtguc\/5014287644","token":"_s_fIpGAblEU_T6A9Iej0RV1Wp-gte-xrTeVRu9naPI","keyAuthorization":"_s_fIpGAblEU_T6A9Iej0RV1Wp-gte-xrTeVRu9naPI.JriXbK73HFGeqTSIPL3Qg0VCDy2Qt0n4wrUZon9dCEM","validationRecord":[{"url":"http:\/\/www.mail.hoerth.eu\/.well-known\/acme-challenge\/_s_fIpGAblEU_T6A9Iej0RV1Wp-gte-xrTeVRu9naPI","hostname":"www.mail.hoerth.eu","port":"80"}]}],"combinations":[[0],[1]]} Ich habe dann mal nachgesehen und der Token existiert defintiv nicht - klar findet ihn Lets Encrypt also nicht, was ist denn gerade bei mir Los?
  9. Hi, I|m getting the following error on enabling SSL. * Restarting web server apache2 [fail] * The apache2 configtest failed. Output of config test was: AH00526: Syntax error on line 18 of /etc/apache2/sites-enabled/10_froxlor_ipandport_12.345.67.89.80.conf: Invalid command 'SSLEngine', perhaps misspelled or defined by a module not included in the server configuration Action 'configtest' failed. The Apache error log may have more information.How to enable SSL?
  10. ================================================================================================================= Package Arch Version Repository Size ================================================================================================================= Reinstalling: proftpd x86_64 1.3.5e-4.el7 epel 3.7 M proftpd-mysql x86_64 1.3.5e-4.el7 epel 50 k Transaction Summary ================================================================================================================= Reinstall 2 Packages Total download size: 3.7 M Installed size: 9.7 M Is this ok [y/d/N]: y Downloading packages: (1/2): proftpd-1.3.5e-4.el7.x86_64.rpm | 3.7 MB 00:00:00 (2/2): proftpd-mysql-1.3.5e-4.el7.x86_64.rpm | 50 kB 00:00:00 ----------------------------------------------------------------------------------------------------------------- Total 4.0 MB/s | 3.7 MB 00:00:00 Running transaction check Running transaction test Transaction test succeeded Running transaction Installing : proftpd-1.3.5e-4.el7.x86_64 1/2 Installing : proftpd-mysql-1.3.5e-4.el7.x86_64 2/2 Verifying : proftpd-mysql-1.3.5e-4.el7.x86_64 1/2 Verifying : proftpd-1.3.5e-4.el7.x86_64 2/2 Installed: proftpd.x86_64 0:1.3.5e-4.el7 proftpd-mysql.x86_64 0:1.3.5e-4.el7 Complete! [root@s128426 ~]# mv "/etc/proftpd/proftpd.conf" "/etc/proftpd/proftpd.conf.frx.bak" mv: cannot stat ‘/etc/proftpd/proftpd.conf’: No such file or directory [root@s128426 ~]# ^C [root@s128426 ~]# cd /etc/proftpd/ -bash: cd: /etc/proftpd/: No such file or directory I am unable to setup ProFTP. I am using the latest version of Centos 7 and PHP 7. It says it installed, but yeah as ya can see. With the SSL it says to config something but does nto say what. So was wondering if anyone had any tips on how to get Lets Encypt working properly. Thank You.
  11. Hello everybody, I try to configure a letsencrypt certificate for one of my domains https://jukusoft.com , certificates are already generated by froxlor, but i get this error, if i browse the domain with firefox: SSL_ERROR_RX_RECORD_TOO_LONG If i search with google there are many threads about this topic, but there isn't any solution for this. Also there is no good tutorial on froxlor sites. Because i dont know if this is a bug or only a issue about a not-existent documentation, i havent created a issue on github yet. I also doesnt get any results by your forum search. If this is the wrong forum, please move my topic to the right! thanks! If i try to execute "openssl s_client -showcerts -connect jukusoft.com:443 -servername jukusoft.com" i get this output: CONNECTED(00000003) 140505437533840:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:782: --- no peer certificate available --- No client certificate CA names sent --- SSL handshake has read 7 bytes and written 310 bytes --- New, (NONE), Cipher is (NONE) Secure Renegotiation IS NOT supported Compression: NONE Expansion: NONE SSL-Session: Protocol : TLSv1.2 Cipher : 0000 Session-ID: Session-ID-ctx: Master-Key: Key-Arg : None PSK identity: None PSK identity hint: None SRP username: None Start Time: 1521806504 Timeout : 300 (sec) Verify return code: 0 (ok) --- I have also configured IP / Port settings: Domain Settings: Where is the problem? And please, can you write a good tutorial / documentation for SSL & letsencrypt configuration for froxlor?
  12. Ich hab mal wieder ein Problem bzw. einen Fehler mit unguten Auswirkungen begangen und bekomme es nicht mehr gerade gebügelt. Und zwar habe ich nach anfänglichem Testen mittlerweile auch mein privates Mailkonto auf einen neuen Server mit Froxlor gezogen. Ich hatte wie erwähnt bereits vorher einen Umzug mit Website, daher auch Datenbanken so wie Mailadressen erfolgreich durchgeführt. Der Umzug lief auch relativ glatt und auch meine privaten Mails liegen auf dem neuen Server, senden funktioniert, alle Websites sind via https erreichbar (Letsencrypt Zertifikate erfolgreich gezogen) und alles könnte eigentlich besser nicht sein. Nun kann ich mich allerdings von Extern nicht mehr am smtp Server anmelden mit meiner privaten Mail-Adresse. Und zwar wollte ich in meiner noch Unwissenheit (das ist mein erstes "eigenes" Serverprojekt, meine ersten Server wurden durch andere eingerichtet und ich habe nur zugekuckt/mitgeschrieben) SSL Zertifikate für den Mailserver bekommen, Outlook hat nämlich die überaus nervige Angewohnheit bei jedem Start Zertifikatsfehlermeldungen auszugeben (bei Selbstsignierten) und auch das Speichern in den vertrauenswürdigen Zertifikatsspeicher von Windows bringt hier scheinbar keine Lösung. Nun dachte ich, ist ja einfach, einfach in Froxlor für jede Domain welche auch Mailadressen hat noch die Subdomain "mail.*" und "smtp.*" anlegen, LetsEncrypt anschmeißen und fertig, den Verweis stelle ich einfach auf den Ordner in welchem der Webmailer liegt. Soweit so gut, nun hat er hier allerdings keine Zertifikate gezogen sondern nur am laufenden meter PHP Errors ausgegeben. Diese hatte ich vorher immer wenn der PHP Flag für eine Domain nicht richtig gesetzt war, also mit dem admin in Froxlor eingelogt, Domain aufgerufen und gespeichert und... nichts. Gleicher Fehler. PHP Funktioniert (Webmailer wird korrekt aufgerufen) nur werden keine Zertifikate gezogen. Also wollte ich erst einmal alles rückgängig machen und habe alle Subdomains (mail.* & smtp.*) wieder gelöscht. So und nun habe ich den Salat, seltsamerweise kann noch sämtliche Mailkonten von extern ansteuern, auch den jeweiligen smtp nur bei meiner privaten Mailadresse mit eigener Domain geht es nicht, auch nicht mehr bei der meiner Frau mit gleicher Domain. Outlook fragt nach den SMTP Zugangsdaten und nimmt Mailadresse + Passwort nicht, Thunderbird sagt er findet das Passwort nicht, iPhone & Android bringen ebenfalls diese Fehler. ALLE anderen Domains bzw. verbundenen Mailkonten funktionieren (bis auf den Punkt mit dem Zertifikatsfehler) problemlos. Nur die meiner Hauptdomain nicht. Das ganz komische ist aber, dass mein Webmailer noch ganz normal Empfangen und vor allem auch Senden kann, dieser erreicht den SMTP Server ohne Probleme und hat auch keine Login Probleme. Ports sind Frei in der Windows eigenen Firewall, Ping an smtp.* geht problemlos durch, ich habe auch keinen Speedport mit vertrauenswürdiger E-Mail Liste sondern eine Fritz!Box. Bis vor 2 Stunden lief auch noch alles. Und ganz kurios ist auch, dass Outlook den smtp Server bei einer anderen Domain auf "smtpauth.*" geändert hat, Thunderbird geht allerdings via "smtp.*" ran. Nun noch Screenshots von meinem Webmailer (Rainloop) und der dort voll funktionalen Konfiguration welche aber von Extern (egal ob mein Heimnetz (Unitymedia) oder Handynetz (Telekom & O2)) nicht laufen will:
  13. Guten morgen liebe Froxlor Gemeinde, meistens ist ja gar nichts kaputt Ich komme nur nicht mehr weiter und finde meinen Fehler. Ich bekomme einfach die SSL Einstellungen nicht ans laufen und der Apache2 versagt sein Dienst. Folgendes mache ich und hätte gedacht das läuft: - Nagel neue Installation von Frocxlor - SSL Einstellungen aktivieren (mehr nicht - Nur die Option angemacht) - Apache neugestartet (per Shell) Apache Dienst wird mit folgenden Status nicht neugestartet: AH00526: Syntax error on line 5 of /etc/apache2/sites-enabled/03_froxlor_ocsp_cache.conf: Invalid command 'SSLStaplingCache', perhaps misspelled or defined by a module not included in th...guration Alle versuche SSL Mods zu aktivieren sind Fehlgeschlagen. Wo ist mein Fehler? Was habe ich vergessen vorher zu aktivieren, entweder per Shell oder Froxlor selbst. Schöne Grüße, KnowSlayes
  14. Hey liebe Leute, bin nagelneu hier, benutze Froxlor aber schon etwas länger. Nachdem ich heute Golem kurz durchgeblättert habe, ist mir ein Artikel ins Auge gesprungen, den vermutlich auch Froxlor, deren Maintainer und natürlich am meisten die Nutzer dieser Software erfreuen sollte. Kurze Rede, langer Sinn: Ab 27. Februar 2018 möchte Let's Encrypt mit der produktiven Vergabe von Wildcard Zertifikaten beginnen. Eine Test-Api wird wohl ab dem 4. Januar 2018 verfügbar sein. Quelle: https://www.golem.de/news/https-let-s-encrypt-bringt-wildcard-zertifikate-1712-131621.html
  15. Hello, I am hoping someone on here has experienced an odd issue with SSL/HTTPS when using the webmail URL, in my case, https://my.froxlorserver.com/webmail. I can't prove it for sure however, I believe it is working for some in a different country to me but I can't connect to the above URL using https, it will connect with http on port 80. I get the below error. Forbidden You don't have permission to access /webmail on this server. I have confirmed this on different devices using different internet connections and I have cleared the cache/browsing data. Using Digicert's tool (https://www.digicert.com/help/) the https://Froxlor admin page comes back as a success with zero issues. If I try https://froxlor/webmail I get the below error message Error: my.froxlor.com/webmail is not a fully qualified public domain name or public IP address. The above error message does not make sense as using port 80 I can get to the /webmail page, so the above might be a red herring. Has anyone seen this issue? Thanks in advance.
  16. Hello everybody, in the monthly Froxlor usage report I'm getting the message PHP Warning: stream_socket_enable_crypto(): Peer certificate CN=`<my Froxlor domain>' did not match expected CN=`localhost' in /var/www/froxlor/lib/classes/phpmailer/class.SMTP.php on line 369 The mail is being sent to the systems root account, which is mapped in /etc/aliases to an existing Froxlor mail account (webmaster@<my Froxlor domain>). Is this related to the Froxlor admin user, whos mail address is the same? Either way, why is the function expecting the local CN instead of the FQDN one? What is the correct setting in this case, or how can I mitigate the warning? The only cause effect I discovered is, that mails cannot be sent to new mail accounts via the alternate mail address, which results in the same error. Thanks in advance, Martin
  17. Hallo zusammen, ich habe Probleme mit diversen SEO-/Webseiten-Anlayse-Tools, die beim Crawlen der Domain einen SSL Handshake Failure bekommen. Wir haben den Verdacht, dass diese Tools eventuell SNI nicht beherrschen und haben daher testweise eine Domain mit eigener IP auf einem vHost mit entsprechendem SSL-Zertifikat installiert. Die Domains laufen über den Browser fehlerfrei, die Tools machen allerdings Probleme. Ein SSL-Test via https://www.ssllabs.com/ssltest/ hat nun ergeben, dass auf dem vHost neben dem Domainzertifikat auch noch das Serverzertifikat ausgegeben wird. Wie kann ich die Domain bzw. den vHost in Froxlor so konfigurieren, so dass auf dem vHost nur das Zertifkat des entsprechenden vHosts ausgegeben wird? Danke schonmal für euere Hilfe.
  18. Servus zusammen, Wir nutzen seit langem Froxlor als Kundenpanel und sind sehr happy damit! Wir haben damals relativ zeitnah auf die Version 0.9.36 upgedated (sind noch immer auf dieser Version!) um Let's Encrypt auf einigen Domains nutzen zu können. Nun haben wir aber auch Kunden, die ihre eigenen Custom SSL Zertifikate nutzen wollen. Leider kann ich aber das gelbe Lock Symbol bei den Domains nirgendwo mehr finden! Ich hab nun ewig herumgesucht und finde es nicht mehr wo man die "Zertifikat Strings" einfügen konnte ... das gelbe Lock Symbol ist wie gesagt einfach weg!! Was mache ich falsch? Muss ich Lets Encrypt wieder deaktivieren weil diese beiden SSL Lösungen nicht koexistieren können (wüsste aber nicht den Grund warum dem so wäre). Muss ich updaten? Bin ich blind? Hoffe ihr könnte helfen, ich bzw. der Kunde brauchen dieses Feature! Besten Dank im Voraus, mfg Patrick
  19. Hallo. Ich habe gerade gesehen, dass es hier das Forum auch in Deutsch gibt Habe die Frage zwar im englischen schon gestellt, aber in Deutsch wär mi das ganze doch lieber (Admin du kannst gerne meine Post im EN Forum löschen). Ich habe seit dem Update auf Debian 8 das Problem, dass ich einen 404 Error erhalte. Ich habe (wie in Froxlor beschrieben) die acme.conf erstellt und den Dienst "apache2" neugestartet. Weiters habe ich auch noch Could not get Let's Encrypt certificate for cloudservice.DOMAIN.com: Verification ended with error: {"identifier":{"type":"dns","value":"cloudservice.DOMAIN.com"},"status":"invalid","expires":"2017-06-07T20:05:14Z","challenges":[{"type":"tls-sni-01","status":"pending","uri":"https:\/\/acme-v01.api.letsencrypt.org\/acme\/challenge\/0auSVGvqbDFt-nH6HwptOkKZPYZNgDEguWYqE-vXTmQ\/1258196287","token":"IRK9FHJuWGV9l3qnCnoHuh7XGudY4bWd5Sx1JerSkSU"},{"type":"dns-01","status":"pending","uri":"https:\/\/acme-v01.api.letsencrypt.org\/acme\/challenge\/0auSVGvqbDFt-nH6HwptOkKZPYZNgDEguWYqE-vXTmQ\/1258196288","token":"ufnSkvFtYYIXOWhqBGuv1QZF_iaOkrZ5USKYE0U52QM"},{"type":"http-01","status":"invalid","error":{"type":"urn:acme:error:unauthorized","detail":"Invalid response from http:\/\/cloudservice.DOMAIN.com\/.well-known\/acme-challenge\/KbrYzEkrkGJLiCBf9F-tuAq_RSft3oa1Ub8bwhsVVb8: \"<html>\r\n<head><title>404 Not Found<\/title><\/head>\r\n<body bgcolor=\"white\">\r\n<center><h1>404 Not Found<\/h1><\/center>\r\n<hr><center>\"","status":403},"uri":"https:\/\/acme-v01.api.letsencrypt.org\/acme\/challenge\/0auSVGvqbDFt-nH6HwptOkKZPYZNgDEguWYqE-vXTmQ\/1258196289","token":"KbrYzEkrkGJLiCBf9F-tuAq_RSft3oa1Ub8bwhsVVb8","keyAuthorization":"KbrYzEkrkGJLiCBf9F-tuAq_RSft3oa1Ub8bwhsVVb8.smiCkvGETnwE6QlOocMBuKikIIKHHcPhTBjXZgHYBt4","validationRecord":[{"url":"http:\/\/cloudservice.DOMAIN.com\/.well-known\/acme-challenge\/KbrYzEkrkGJLiCBf9F-tuAq_RSft3oa1Ub8bwhsVVb8","hostname":"cloudservice.DOMAIN.com","port":"80","addressesResolved":["188.68.55.173","2001:1a50:11:0:5f:8f:acfa:7c"],"addressUsed":"2001:1a50:11:0:5f:8f:acfa:7c","addressesTried":[]}]}],"combinations":[[2],[0],[1]]} nano /etc/apache2/conf-enabled/acme.conf Alias "/.well-known/acme-challenge" "/var/www/froxlor/.well-known/acme-challenge" <Directory "/var/www/froxlor/.well-known/acme-challenge"> Require all granted </Directory> Weiters habe ich mir dann noch gedacht ich checke die apache Einstellungen die Floxlor angeben hat. mkdir -p /etc/apache2/sites-enabled/ chown root:0 /etc/apache2/sites-enabled/ chmod 0600 /etc/apache2/sites-enabled/ mkdir -p /etc/apache2/sites-enabled/ chown root:0 /etc/apache2/sites-enabled/ chmod 0600 /etc/apache2/sites-enabled/ mkdir -p /var/customers/webs/ mkdir -p /var/customers/logs/ mkdir -p /var/customers/tmp chmod 1777 /var/customers/tmp a2dismod userdir a2enmod headers apt-get install libapache2-mod-fastcgi Ich habe alles außer mkdir nochmals durchgeführt. Da die Folder sind ja schon vorhanden. Kann ich sonst noch irgendwo was einstellen oder kontrollieren? Liebe Grüße Matthias
  20. Hi, ich hab Eure tolle LetsEncrypt Funktion getestet und find sie echt mega gelungen. Erleichtert einem wirklich die Arbeit und gibt einem Zeit für wichtigeres :-) Jetzt ist da nur eine kleine Sache die noch nicht so rund läuft. Ich weiß nicht, ob das an einer Setting liegt oder bis dato noch nicht möglich ist aber eben schon in der GUI steht. Wenn ich eine Subdomain anlege und da LetsEncrypt nutzen möchte, vergibt er mit kein Zertifikat. Bei den Main-Domains gabs da keine Probleme. Müsste da dann ja auch so gehen - oder? Danke schon vorab für Info oder Hilfe?
  21. Hello, I'm trying to use lets encrypt with froxlor. I always get an error when froxlor tried to generate the certificate. Feb 18 19:05:03 ger2 Froxlor: [ Action cronjob] [error] Could not get Let's Encrypt certificate for test.gamerboy59.blue: No challenges received for test.gamerboy59.blue. Whole response: {"type":"urn:acme:error:unauthorized","detail":"No registration exists matching provided key","status":403} From what I figured out till now this might be because of a wrong email. I didn't find anything about email stuff in the csr part of the lescript yet but I found a site discussing the error: https://www.svennd.be/lets-encrypt-on-any-linux-distro/ (one of the last parts). I already tried deleting the domain and customer and set it up again but no success. Maybe you can have a look in it though it's still beta and developed anyway. Regards.
  22. Hallo, ich habe eine Frage zur Einbindung von SSL-Zertifikaten unter Forxlor. Einmal kann man ein Zertifikat unter Ressourcen -> IPs und Ports -> IP:Port(443) -> Webserver-SSL-Konfiguration einbinden und auch einmal unter System -> Einstellungen -> SSL-Einstellungen. Welcher Unterschied besteht zwischen beiden "Orten"? Gruß, Andreas
  23. Hallo zusammen, nachdem die Default-Installation ja ein wenig mager in Sachen Verschlüsselung ist, habe ich die Freiheit von Froxlor genutzt, um ein paar Anpassungen vorzunehmen. Die hier gezeigten Config-Files erheben keinerlei Anspruch auf Vollständigkeit, sollten jedoch ein gutes Grundgerüst dafür geben, was möglich ist. (und um Verbesserungen/Korrekturen wird dringendst gebeten ) Also, Postfix und Courier wurden über die vorgeschlagenen Paketabhängigkeiten von Froxlor installiert und die Konfigurationsdateien wurden entsprechend der Vorgaben aus Froxlor befüllt. Diese mögen für eine 0815-Installation durchaus ausreichend sein; wir möchten jedoch ein wenig mehr rauskitzeln Bitte beachten: alle Kommandos werden als root ausgeführt; sollte jemand untypischerweise sudo verwenden, so sollte der auch wissen, wie die einzelnen Befehle abzuändern sind. (brrrr, sudo ) Als Erstes nehmen wir uns Postfix vor. Der soll ja in Zukunft ordentlich STARTTLS oder SMTPS machen (ich schreibe bewußt BEIDES). Hierzu brauchen wir also als Allererstes ein paar Voraussetzungen erfüllt, damit das dann auch alles zusammenpaßt. cat /etc/hostname und ein cat /etc/mailname sollten auf der Konsole beide Male den FQDN ausspucken. FQDN = full qualified domain name, also sowas wie: servername.domain.tld Das hat den Hintergrund, daß wir nicht einfach Emails rejecten können, wenn unser System selbst sich nicht ordnungsgemäß ausweist. Bitte bei Diskrepanzen den jeweiligen Inhalt korrigieren. Zertifikat So, dann wollen wir erst mal ein entsprechendes Zertifikat generieren, welches uns dann die notwendigen Files ausspuckt; ich bevorzuge 4096 Bit, kann aber jeder machen, wie er will: mkdir /etc/postfix/ssl cd /etc/postfix/ssl/ openssl genrsa -des3 -rand /dev/urandom -out smtpd.key 4096 Jetzt kommen da ein paar Fragen, die Ihr ordnungsgemäß beantworten solltet: root@debian:/etc/postfix/ssl# openssl genrsa -des3 -rand /dev/urandom -out smtpd.key 4096 351 semi-random bytes loaded Generating RSA private key, 4096 bit long modulus ...................................................................................++ ..............++ e is 65537 (0x10001) Enter pass phrase for smtpd.key: (hier ein sehr gutes Kennwort eingeben, in Zukunft referenziert als CERTKEY) Verifying - Enter pass phrase for smtpd.key: (CERTKEY wiederholen) root@debian:/etc/postfix/ssl# Das ist jetzt unser Master-Key, von dem wir in Zukunft alles ableiten; erst mal nur für root zugänglich machen: chmod 600 smtpd.key Nun ein Cert, welches 10 Jahre gültig ist; zuerst den CSR: openssl req -new -key smtpd.key -out smtpd.csr -sha256 Enter pass phrase for smtpd.key: (CERTKEY eingeben) You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]: (hier den ISO-Code Eures Landes) State or Province Name (full name) [Some-State]: (Euer Bundesland/Kanton) Locality Name (eg, city) []: (Eure Heimatstadt oder den Serverstandort) Organization Name (eg, company) [Internet Widgits Pty Ltd]: (Firmenname oder Euer Clan, oder wasauchimmer) Organizational Unit Name (eg, section) []: (EDV, oder IT, oder irgendeine Sub-Kategorie zu Firma/Clan...) Common Name (e.g. server FQDN or YOUR name) []: (hier den FQDN - Servernamen) Email Address []: (Eure Mailadresse) Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: (leer lassen) An optional company name []: (einfach das Gleiche wie oben bei Firma eingeben) ... dann das Signieren: openssl x509 -req -days 3650 -in smtpd.csr -signkey smtpd.key -out smtpd.crt -sha256 Signature ok subject=/C=EuerLand/ST=Bundesland/L=EureStadet/O=EureFirmaoderClan/OU=IT/CN=euerfqdnservername/emailAddress=euremailadresse Getting Private key Enter pass phrase for smtpd.key: (CERTKEY eingeben) kurz encrypten, um später zwar etwas weniger Sicherheit, dafür aber mehr Komfort zu gewinnen (Thema Neustart...) openssl rsa -in smtpd.key -out smtpd.key.unencrypted Enter pass phrase for smtpd.key: (CERTKEY eingeben) writing RSA key mv -f smtpd.key.unencrypted smtpd.key ...und dann das Publizieren: openssl req -new -x509 -extensions v3_ca -keyout cakey.pem -out cacert.pem -days 3650 Generating a 2048 bit RSA private key ................................+++ ................................+++ ................................+++ ................................+++ writing new private key to 'cakey.pem' Enter PEM pass phrase: (CERTKEY eingeben) Verifying - Enter PEM pass phrase: (CERTKEY eingeben) ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]: (gleiche Informationen wie oben...) State or Province Name (full name) [Some-State]: (gleiche Informationen wie oben...) Locality Name (eg, city) []: (gleiche Informationen wie oben...) Organization Name (eg, company) [Internet Widgits Pty Ltd]: (gleiche Informationen wie oben...) Organizational Unit Name (eg, section) []:(gleiche Informationen wie oben...) Common Name (e.g. server FQDN or YOUR name) []: (gleiche Informationen wie oben...) Email Address []: (gleiche Informationen wie oben...) Zugegeben, den Schlüssel unencrypted zu speichern ist nicht die feine englische Art. Das kann jeder für sich selbst entscheiden. So, jetzt haben wir erst mal die Hausaufgaben für Postfix gemacht. Courier Zwischendrin kümmern wir uns noch um unseren IMAP-Server. In der Standard-Installation von froxlor ist da ja nur IMAP und POP3, wir wollen da aber mit SSL arbeiten. M?ssen wir also noch ein paar Pakete nachinstallieren: dpkg --get-selections | grep courier Aha, da fehlen die Pakete courier-*-ssl, welche wir mit: apt-get install courier-imap-ssl courier-pop-ssl courier-ssl gamin nachinstallieren; es kommt dabei ein Hinweis auf SSL, dort einfach auf OK klicken. So, jetzt haben wir uns so viel Mühe gemacht, Postfix ein hübsches Zertifikat mitzugeben, und jetzt schiebt uns Courier 2x 0815 unter. Also, erst mal die beiden Snakeoil-PEM's löschen: rm /etc/courier/*.pem Jetzt müssen wir aber eigene generieren. Hierzu werden die Dateien: imapd.cnf und pop3d.cnf entsprechend angepaßt: RANDFILE = /usr/lib/courier/imapd.rand [ req ] default_bits = 1024 encrypt_key = yes distinguished_name = req_dn x509_extensions = cert_type prompt = no default_md = sha1 [ req_dn ] C=(Euer Land) ST=(Euer Bundesland/Kanton) L=(Eure Stadt) O=Courier Mail Server OU=Automatically-generated IMAP SSL key CN=(Euer FQDN-Servername) emailAddress=(Eure Emailadresse) [ cert_type ] nsCertType = server Bitte die gleichen Werte wie auch schon beim Postfix verwenden. Mit einem: mkimapdcert && mkpop3dcert erhaltet Ihr anders als beim Postfix je ein Zertifikat für IMAP und POP3, jedoch ist dieses nur für 1 Jahr gültig. Damit Courier die Verbindungen in Zukunft also verschl?sselt, ein: service courier-imap-ssl restart && service courier-pop-ssl restart Tada, Courier versteht IMAP jetzt auch auf Port 993 und POP3 auf Port 995. Generell lassen sich die Ports vom Courier aber auch auf beliebige Werte anpassen, sofern sie nicht in Konflikt mit bereits belegten Ports kommen. Die Anpassung können in den Dateien: /etc/courier -> pop3d-ssl, imapd-ssl > SSLPORT=XXX und /etc/courier -> pop3d, imapd > PORT=XXX vorgenommen werden. Postfix Ich gehe davon aus, daß die entsprechenden Konfigurationen im Backend von froxlor gemacht wurden, d.h. eine Verbindung von Postfix zur froxlor-Datenbank funktioniert. Den Schritt von froxlor, mx-access, kann jeder nach Bedarf dazu ergänzen, ich bin kein Freund davon. Also, im Schritt 1 ändern wir die /etc/postfix/main.cf ab, damit sie inhaltlich ungefähr dem hier entspricht: (interessante Stellen wurden mit # kommentiert) main.cf: command_directory = /usr/sbin daemon_directory = /usr/lib/postfix data_directory = /var/lib/postfix # hier sollte der wirkliche Namen des Servers stehen myhostname = {{ FQDN des Servers }} mydomain = {{ FQDN des Servers }} # ah, genau, da steht der FQDN auch noch mal drin, theoretisch lie?e sich das alles zusammenfassen; # aus der Praxis hat sich aber gezeigt, da? es hier aber zu undefinierbaren Problemen kommen kann... # Anpassungen daher auf eigene Gefahr myorigin = /etc/mailname # wir lauschen auf allen Netzwerkkarten inet_interfaces = all mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain unknown_local_recipient_reject_code = 550 mynetworks = 127.0.0.0/8 smtpd_banner = $myhostname ESMTP $mail_name debugger_command = PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin ddd $daemon_directory/$process_name $process_id & sleep 5 sendmail_path = /usr/sbin/sendmail newaliases_path = /usr/bin/newaliases mailq_path = /usr/bin/mailq setgid_group = postdrop html_directory = no manpage_directory = /usr/share/man sample_directory = /usr/share/doc/postfix readme_directory = /usr/share/doc/postfix # ich beschränke meinen Postfix im Moment noch auf IPv4, kann aber jeder entscheiden, wie er will... inet_protocols = ipv4 append_dot_mydomain = no biff = no #####--- Anti-Spam start ---##### smtpd_helo_required = yes disable_vrfy_command = yes strict_rfc821_envelopes = yes invalid_hostname_reject_code = 554 multi_recipient_bounce_reject_code = 554 non_fqdn_reject_code = 554 relay_domains_reject_code = 554 unknown_address_reject_code = 554 unknown_client_reject_code = 554 unknown_hostname_reject_code = 554 unknown_local_recipient_reject_code = 554 unknown_relay_recipient_reject_code = 554 unknown_virtual_alias_reject_code = 554 unknown_virtual_mailbox_reject_code = 554 unverified_recipient_reject_code = 554 unverified_sender_reject_code = 554 smtpd_sender_restrictions = permit_mynetworks,permit_sasl_authenticated,reject_non_fqdn_sender,reject_unknown_helo_hostname,reject_unknown_recipient_domain,reject_unknown_sender_domain # bitte hier beachten: DNSBL sind mit Vorsicht zu genie?en # zum Einen entscheidet die Reihenfolge # (manche RBL-Anbieter lassen nur x queries/Tag zu, daher besser vorher schon ordentlich Spam wegputzen) # und zum Anderen das Vertrauen in den jeweiligen Anbieter # UCEPROTECT z.B. wird von vielen sehr kritisch betrachtet; # ich f?r meinen Teil kann deren Vorgehen jedoch nur unterst?tzen smtpd_recipient_restrictions = permit_mynetworks,permit_sasl_authenticated,reject_rbl_client ix.dnsbl.manitu.net,reject_rbl_client bl.spamcop.net,reject_rbl_client multi.surbl.org,reject_rbl_client dnsbl-1.uceprotect.net,reject_rbl_client cbl.abuseat.org,reject_rbl_client combined.rbl.msrbl.net,reject_rbl_client b.barracudacentral.org,reject_invalid_hostname,reject_non_fqdn_hostname,reject_non_fqdn_sender,reject_non_fqdn_recipient,reject_unknown_sender_domain,reject_unknown_recipient_domain,reject_unauth_pipelining,reject_unauth_destination,reject_unlisted_recipient smtpd_helo_restrictions = permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination,reject_non_fqdn_sender,reject_non_fqdn_recipient,reject_unknown_recipient_domain,reject_non_fqdn_hostname,reject_invalid_hostname,reject_unauth_pipelining smtpd_client_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unknown_client_hostname # die Mailgröße darf jeder selbst bestimmen; ich für meinen Teil habe hier 1/4 GB... message_size_limit = 268435456 ## SASL Auth Settings smtpd_sasl_auth_enable = yes smtpd_sasl_security_options = noanonymous smtpd_sasl_local_domain = $myhostname broken_sasl_auth_clients = yes # Zusatz-Setting, bei Problemen bitte mit einer Raute auskommentieren smtpd_sasl_authenticated_header = yes # Virtual delivery settings virtual_mailbox_base = /var/customers/mail/ virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual_mailbox_maps.cf virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual_mailbox_domains.cf virtual_alias_maps = mysql:/etc/postfix/mysql-virtual_alias_maps.cf # Das ist per Default aktiv; wenn man so wie ich Kunden hat, die verschiedene Konten haben, aber über EIN Absendekonto alles rauspusten # (Stichwort Exchange und Smarthost mit single-auth) # Wenn das bei Euch nicht der Fall ist, einfach auskommentieren! # smtpd_sender_login_maps = mysql:/etc/postfix/mysql-virtual_sender_permissions.cf virtual_uid_maps = static:2000 virtual_gid_maps = static:2000 local_transport = local alias_maps = $alias_database mailbox_size_limit = 0 virtual_mailbox_limit = 0 ### TLS settings ### ## TLS for outgoing mails from the server to another server smtp_use_tls = yes smtp_tls_security_level = may smtp_tls_note_starttls_offer = yes ## TLS for email client smtpd_use_tls = yes smtpd_tls_auth_only = no smtpd_tls_security_level = may # hier sind unsere ganzen Zertifikats-Sachen, die wir zuvor generiert haben smtpd_tls_cert_file = /etc/postfix/ssl/smtpd.crt smtpd_tls_key_file = /etc/postfix/ssl/smtpd.key smtpd_tls_CAfile = /etc/postfix/ssl/cacert.pem smtpd_tls_loglevel = 1 smtpd_tls_received_header = yes smtpd_tls_session_cache_timeout = 3600s tls_random_source = dev:/dev/urandom # hier die Haupt-IP vom Server; bei mehreren IP's wichtig wegen SPF und Co... smtp_bind_address = xxx.xxx.xxx.xxx Bei der nächsten Datei liste ich nur die 2 Settings, die entkommentiert werden können. Ich habe BEIDE aktiv, theoretisch reicht eines aus. Die meisten bevorzugen submission, ich habe aber auch Anwendungsfälle, in denen smtps benötigt wird... master.cf: submission inet n - - - - smtpd -o syslog_name=postfix/submission -o smtpd_tls_security_level=encrypt -o smtpd_sasl_auth_enable=yes -o smtpd_client_restrictions=permit_sasl_authenticated,reject # -o milter_macro_daemon_name=ORIGINATING smtps inet n - - - - smtpd -o syslog_name=postfix/smtps -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes -o smtpd_client_restrictions=permit_sasl_authenticated,reject # -o milter_macro_daemon_name=ORIGINATING Nachdem die beiden Dateien modifiziert worden sind, heißt es nur noch, dem Postfix die neue Konfiguration bekannt zu machen: service postfix reload Manchmal kann es sein, daß es mit einem freundlichen reload nicht klappt, dann einfach ein: service postfix restart (Achtung, dabei können dann Emails verschütt gehen...! So, jetzt sollte auch unser Postfix auf Port 587 (submission) und auf Port 465 (smtps) lauschen, und wenn wir mittels telnet eine Session zum Server öffnen: telnet localhost 25 und uns dann mal mit: ehlo localhost bemerkbar machen, dann sollten wir ein: root@debian:~# telnet localhost 25 Trying 127.0.0.1... Connected to localhost.localdomain. Escape character is '^]'. 220 EUER FQDN ESMTP Postfix ehlo localhost 250-euer-fqdn 250-PIPELINING 250-SIZE 268435456 250-ETRN 250-STARTTLS 250-AUTH PLAIN LOGIN CRAM-MD5 DIGEST-MD5 250-AUTH=PLAIN LOGIN CRAM-MD5 DIGEST-MD5 250-ENHANCEDSTATUSCODES 250-8BITMIME 250 DSN zurückbekommen, welches wir mit einem quit und dem Drücken der Enter-Taste verlassen. So, Verbesserungsvorschläge/Korrekturen herzlich willkommen. (ich weiß, gehört eigentlich ins Wiki; aber das war ja auch kürzlich schon mal offline...) Dovecot habe ich in diesem Fall außen vor gelassen, da ich persönlich zwar schon die Vorteile von Dovecot sehe, aber auch die ständigen Probleme mit den Konfigurationen. (aber wer weiß, vielleicht ergänze ich das dann ja noch...)
  24. Hallihallo liebes Forum, ich muss nach einer langen Recherche aufgeben und mal nachfragen. Und zwar geht es konkret darum Froxlor Kunden-Domains mit SSL-Zertifikaten zu best?cken. Wie schon erw?hnt, habe ich mich umgehend umgeschaut und kam nicht wirklich zu einer L?sung des Problems durch Suchen und Ausprobieren. Mal vorweg das Problem: nginx liefert dem Browser das SSL-Zertifikat, was unter "IP and Ports" hinterlegt wurde, also quasi sowas wie das "Server-Fallback-Zertifikat" statt dem SSL-Zertifikat, was der Kunde angelegt hat. Das ist so nat?rlich nicht praktikabel und daher kann da ja nur etwas nicht stimmen. Zu den technischen Details: Der Server ist ein Debian 3.2.65-1+deb7u2 x86_64 Es l?uft Froxlor 0.9.33.1-1 Es l?uft nginx 1.6.2 (SNI-Support) sowie php5-fpm PHP 5.4.36-0+deb7u3 Ich benutze aktuelle Browser mit SNI-Support Die Kunden k?nnen erfolgreich als "virtuelle" UNIX User gemappt werden (also f?r PHP-Socket-Zugriff etc.) Die nginx Vhost Dateien: IP und Port SSL-Vhost: http://nopaste.linux-dev.org/?450919 Kunden SSL-Vhost: http://nopaste.linux-dev.org/?450920 Wie ich das sehe, sieht das korrekt aus, oder? Das Problem ist nun, dass ich statt dem Kunden SSL Zertifikat das der IP bekomme, also das unter /pfad/zum/server/cert.crt. Was ich schon gemacht habe: s?mtliche Einstellungen der IP ge?ndert (alle Checkboxen mal durchprobiert), also diese Vhost-Container ja/nein, Servername ja/nein, ? Domains gel?scht/neu hinzugef?gt Zertifikate gel?scht/neu hinzugef?gt Configs neu geschrieben Services neu gestartet Was sonst noch so passiert: L?sche ich das der IP hinterlegte SSL-Zertifikat, sagt nginx bei einer Anfrage auf die SSL-Kunden-Domain, dass kein SSL-Zertifikat angegeben wurde Vielleicht habe ich einige Daten, Fakten und Dinge, die ich schon probiert habe, vergessen zu erw?hnen. Fragt doch bitte, wenn was fehlt oder unklar ist. ?ber Denkanst??e w?re ich sehr dankbar, ich bin noch recht neu um Umgang mir Froxlor und wollte jetzt mal die SSL-Implementation testen? Ich gehe mal davon aus, dass mein Fehler recht trivial sein d?rfte.
  25. Hallo, Ich habe Probleme mit Froxlor in Bezug auf SSL/SNI. Beim Aufruf einer Domain kommt die Meldung "ssl_error_rx_record_too_long". Hier der vHost: http://pastebin.com/H5H1FJ9C Wenn ich den vHost von "35_froxlor_ssl_vhost_Domain.com.conf" in "00_froxlor_ssl_vhost_Domain.com.conf" umbenenne funktioniert es. Das habe ich auch schon in anderen Topics zu dem Thema gelesen, allerdings wurde kein L?sungsvorschlag genannt. Jeden SSL vHost manuell umbenennen w?rde ich nur ungern. Im Log steht nichts IP Einstellungen: http://fs5.directupload.net/images/151205/s2g2n6rx.png Als Zertifikat wurde nichts eingetragen, da SNI verwendet wird. Gr??e
×
×
  • Create New...