Jump to content
Froxlor Forum
  • 0
Andreas

Handshake failure vhost

Question

Hallo zusammen,

ich habe Probleme mit diversen SEO-/Webseiten-Anlayse-Tools, die beim Crawlen der Domain einen SSL Handshake Failure bekommen. Wir haben den Verdacht, dass diese Tools eventuell SNI nicht beherrschen und haben daher testweise eine Domain mit eigener IP auf einem vHost mit entsprechendem SSL-Zertifikat installiert. Die Domains laufen über den Browser fehlerfrei, die Tools machen allerdings Probleme. Ein SSL-Test via https://www.ssllabs.com/ssltest/ hat nun ergeben, dass auf dem vHost neben dem Domainzertifikat auch noch das Serverzertifikat ausgegeben wird.

Wie kann ich die Domain bzw. den vHost in Froxlor so konfigurieren, so dass auf dem vHost nur das Zertifkat des entsprechenden vHosts ausgegeben wird?

Danke schonmal für euere Hilfe.

Share this post


Link to post
Share on other sites

7 answers to this question

Recommended Posts

  • 0

Hu? Neben dem Domain Zertifikat noch das Serverzertifikat? Wie soll das denn gehen? Wäre mir jetzt neu, ssllabs zeigt bei meinen Domains alles wunderbar und mind. A

Share this post


Link to post
Share on other sites
  • 0

Ich bin kein Serveradmin, vielleicht habe ich mich auch falsch ausgedrückt, sorry.

Kannst du mal btk-recht.de via SSL-Labs testen? Bei mir werden dann zwei Zertifikate ausgeworfen.

Share this post


Link to post
Share on other sites
  • 0

Weiss nicht was du hast, A+ und alles gut...wo ist das problem? Außer das es nur mit SNI geht, hat die Domain denn eine eigene IP?

Share this post


Link to post
Share on other sites
  • 0

Das Problem ist, dass die Crawler der Tools einen handshake failure bekommen.

Domain hat eine eigene IP mit eigenem Zertifikat. Trotzdem wird ein 2. Zertifikat angezeigt (siehe Certificate #2: RSA 2048) bei SSL-Labs.

  *.skyway-dc.net skyway-dc.net   MISMATCH

Share this post


Link to post
Share on other sites
  • 0

Dann stell doch mal in den IP/Port Einstellungen für diese IP das ssl Zertifikat ebenfalls auf das kundenzertifikat, oder was für eines steht da bei der IP drin?

Außerdem, wieso hast du da ein Zertifikat das auf skyway-dc läuft? Hast du da ne standard-domain von denen für die Kiste oder wie? Also so ganz rund ist das alles nicht, müsst ich halt Mal auf die Kiste gucken um mir da alle Infos zusammenzusuchen.

Share this post


Link to post
Share on other sites
  • 0

Hab's gefunden: "Erstelle ServerName-Eintrag im vHost-Container" war auf "Ja" gestellt. Habe ich rausgenommen, jetzt geht's. Danke für den Wink.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now


  • Similar Content

    • By FearTheDude
      Hey liebe Leute,
      bin nagelneu hier, benutze Froxlor aber schon etwas länger. Nachdem ich heute Golem kurz durchgeblättert habe, ist mir ein Artikel ins Auge gesprungen, den vermutlich auch Froxlor, deren Maintainer und natürlich am meisten die Nutzer dieser Software erfreuen sollte.
      Kurze Rede, langer Sinn: Ab 27. Februar 2018 möchte Let's Encrypt mit der produktiven Vergabe von Wildcard Zertifikaten beginnen.
      Eine Test-Api wird wohl ab dem 4. Januar 2018 verfügbar sein.
      Quelle: https://www.golem.de/news/https-let-s-encrypt-bringt-wildcard-zertifikate-1712-131621.html
    • By UncleSnycs
      Hallo ich hoffe, mir kann jemand helfen. Ich habe eine Subdomain erstellt (phpmyadmin.example.ltd). Dort funktioniert PHP ohne probleme. Auf meiner anderen Subdomain (wi.example.ltd) funktioniert PHP überhaupt nicht und er zeigt mir bei der index.php nur den text an, der in der Datei drin steht. In Der vHost.conf steht, dass php disabled ist. Weiss jemand, wo man das aktivieren kann? Ich finde in der Konfiguration von der Subdomain den Eintrag nicht.
      Vielen Dank schonmal in vorraus.
      Mit freundlichen Grüßen
      UncleSnycs
    • By irisdina
      Debian (9) Stretch
      1. 
      sudo apt install curl wget apt-transport-https dirmngr git 1a. Keys install
      wget http://www.deb-multimedia.org/pool/main/d/deb-multimedia-keyring/deb-multimedia-keyring_2016.8.1_all.deb && dpkg -i deb-multimedia-keyring_2016.8.1_all.deb && wget https://nginx.org/keys/nginx_signing.key && apt-key add nginx_signing.key && curl https://packages.sury.org/php/apt.gpg | apt-key add - 1b. Source List ( nano /etc/apt/source.list )
      1c. 
      sudo apt update && sudo apt dist-upgrade && sudo apt autoclean && sudo apt autoremove 2.  MariaDB Install
      use sudo command for install MariaDB!
      sudo apt install mariadb-server mariadb-client 2a. MariaDB 10.1 Workround (Optional)
      when you MariaDB install with not sudo command, have you Problems with your Froxlor install. 
      you can use this workround: (Thanks J-BBB for this Note  )
      mysql -u root MariaDB [(none)]> update mysql.user set password=password('your PASS') where user='root'; MariaDB [(none)]> update mysql.user set plugin='' where user='root'; MariaDB [(none)]> flush privileges; 3. nginx Install
      sudo apt install nginx 3a. 
      mkdir /etc/nginx/sites-available mkdir /etc/nginx/sites-enabled 3b. nano /etc/nginx/nginx.conf
      3c. 
      service nginx restart 4. PHP install
      sudo apt update && sudo apt install php7.1-mysql php7.1-curl php7.1-gd php7.1-intl php-pear php-imagick php7.1-imap php7.1-mcrypt php-memcache php7.1-memcached php7.1-pspell php7.1-recode php7.1-sqlite3 php7.1-tidy php7.1-xmlrpc php7.1-xsl php7.1-mbstring php-gettext php7.1-fpm php7.1-cli php7.1-cgi php-bcmath php-zip 4a.
      service nginx restart service php7.1-fpm restart  
      Ubuntu 17.10 (Artful)
      1. 
      sudo apt install curl wget apt-transport-https dirmngr git software-properties-common python-software-properties 1b. Source List ( nano /etc/apt/source.list )
      1c. Key Install
      sudo apt-key adv --recv-keys --keyserver hkp://keyserver.ubuntu.com:80 0xF1656F24C74CD1D8 1d. PPA (https://askubuntu.com/questions/4983/what-are-ppas-and-how-do-i-use-them/4987#4987)
      sudo add-apt-repository ppa:ondrej/nginx-mainline sudo add-apt-repository ppa:ondrej/php 2. 
      sudo apt update && sudo apt dist-upgrade && sudo apt autoclean && sudo apt autoremove 3.  MariaDB Install
      sudo apt install mariadb-server mariadb-client 3a. MariaDB 10.1 Workround (Optional)
      when you MariaDB install with not sudo command, have you Problems with your Froxlor install. 
      you can use this workround: (Thanks J-BBB for this Note  )
      mysql -u root MariaDB [(none)]> update mysql.user set password=password('your PASS') where user='root'; MariaDB [(none)]> update mysql.user set plugin='' where user='root'; MariaDB [(none)]> flush privileges; 4. nginx Install
      sudo apt install nginx 4a. nano /etc/nginx/nginx.conf
      4b. 
      service nginx restart 5. PHP install
      sudo apt update && sudo apt install php7.1-mysql php7.1-curl php7.1-gd php7.1-intl php-pear php-imagick php7.1-imap php7.1-mcrypt php-memcache php7.1-memcached php7.1-pspell php7.1-recode php7.1-sqlite3 php7.1-tidy php7.1-xmlrpc php7.1-xsl php7.1-mbstring php-gettext php7.1-fpm php7.1-cli php7.1-cgi php-bcmath php-zip 5a.
      service nginx restart service php7.1-fpm restart  
      Froxlor Install Git version
      1. vhost
      nano /etc/nginx/sites-enabled/frox 1a. 
      service nginx restart 2. Change dir
      cd /usr/share/nginx/ 2a. Froxlor git Load
      sudo git clone https://github.com/Froxlor/Froxlor.git 2a. Folder Rename
      mv /usr/share/nginx/Froxlor /usr/share/nginx/your Folder Name 2b. User/Group Change for Froxlor Folder
      sudo chown -HR www-data:www-data Your Froxlor Folder 3. Browser Open
      http://your-SubDomain/your-Frolxor-Folder 3c. Change Your DB/User Name for Froxlor

      Install Froxlor finish
      3d. Move userdata (Optional)
      mv /tmp/userdata.inc.php /usr/share/nginx/Your Froxlor Folder/lib/ 4. vhost delete
      rm /etc/nginx/site-enable/frox don't restart nginx!
      Froxlor Settings
      1. cronjob
      nano /etc/cron.d/froxlor # # Set PATH, otherwise restart-scripts won't find start-stop-daemon # PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin # # Regular cron jobs for the froxlor package # # Please check that all following paths are correct # */5 * * * *    root    /usr/bin/nice -n 5 /usr/bin/php -q /usr/share/nginx/your Froxlor Folder/scripts/froxlor_master_cronjob.php chmod 0640 "/etc/cron.d/froxlor" chown root:0 "/etc/cron.d/froxlor" service cron restart Froxlor Panel
      1. Change your PHP-Backend Settings
      Settings > Webserver settings > Nginx PHP backend
      from 127.0.0.1:8888 to unix:/run/php/php7.1-fpm.sock
      2. Make Folder and Change chmod
      mkdir -p /etc/nginx/sites-enabled/ chown root:0 /etc/nginx/sites-enabled/ chmod 0600 /etc/nginx/sites-enabled/ mkdir -p /etc/nginx/sites-enabled/ chown root:0 /etc/nginx/sites-enabled/ chmod 0600 /etc/nginx/sites-enabled/ mkdir -p /home/customers/webs/ mkdir -p /var/customers/logs/ mkdir -p /var/customers/tmp chmod 1777 /var/customers/tmp service nginx restart 2a. IPs and Ports > Add IP/Port

      2a(1), SSL Port



      Wait 5min for Autimatic Start Froxlor's cronjob
      Optional
      PHP-FPM activate
      1. User/Group add
      sudo adduser froxlorlocal --disabled-password --no-create-home 2. libnss-extrausers install
      sudo apt install install nscd libnss-extrausers mkdir -p /var/lib/extrausers touch /var/lib/extrausers/{passwd,group,shadow} mv "/etc/nsswitch.conf" "/etc/nsswitch.conf.frx.bak" nano /etc/nsswitch.conf # Make sure that `passwd`, `group` and `shadow` have mysql in their lines # You should place mysql at the end, so that it is queried after the other mechanisams # passwd:         compat extrausers group:          compat extrausers shadow:         compat extrausers hosts:       files dns networks:    files dns services:    db files protocols:   db files rpc:         db files ethers:      db files netmasks:    files netgroup:    files bootparams:  files automount:   files aliases:     files sudo service nscd restart sudo nscd --invalidate=group 2a. Settings > System settings > Activate > Use libnss-extrausers instead of libnss-mysql

      3. Settings > PHP-FPM > Activated:
      Change from NO to YES
      3a. Settings > PHP-FPM > Settings
      Change > Configuration directory of php-fpm to 
      /etc/php/7.1/fpm/pool.d/ Change > php-fpm restart command to
      /etc/init.d/php7.1-fpm restart or service php7.1-fpm restart 3b. Settings > Froxlor VirtualHost settings > Activate > Enable PHP-FPM for the Froxlor vHost

      3c. When you 502 error on Nginx have, use this command (Optional) (Thanks lino16 for this Note)
      sudo usermod -a -G www-data froxlorlocal SSL / Let's Encrypt activate
      1. Create Folder on nginx
      mkdir /etc/nginx/ssl cd /etc/nginx/ssl 1a. Create SSL File
      sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/nginx/ssl/nginx.key -out /etc/nginx/ssl/nginx.crt 1b. create acme.conf
      nano /etc/nginx/acme.conf location /.well-known/acme-challenge {     alias /usr/share/nginx/Your Froxlor Folder/.well-known/acme-challenge;     location ~ /.well-known/acme-challenge/(.*) {         default_type text/plain;     } } 2. Open your  Froxlor Panel
      Settings> SSL > Activated:
      Change from NO to YES
      2a. Settings > SSL > Settings
      Change your path from your certificate / Keyfile
      Path to the SSL certificate
      insert
      /etc/nginx/ssl/nginx.crt Path to the SSL Keyfile
      insert
      /etc/nginx/ssl/nginx.key 2b. Settings > SSL > Settings
      Activate > Enable Let's Encrypt

      2c. Activate on Settings > Froxlor VirtualHost settings
      - Enable Let's Encrypt for the froxlor vhost
      - Enable SSL-redirect for the froxlor vhost
      - HTTP Strict Transport Security (HSTS)
      - Include HSTS for any subdomain

       
    • By oedwards0088
      Hello,
      I am hoping someone on here has experienced an odd issue with SSL/HTTPS when using the webmail URL, in my case, https://my.froxlorserver.com/webmail. I can't prove it for sure however, I believe it is working for some in a different country to me but I can't connect to the above URL using https, it will connect with http on port 80. I get the below error.
      Forbidden You don't have permission to access /webmail on this server. I have confirmed this on different devices using different internet connections and I have cleared the cache/browsing data.
      Using Digicert's tool (https://www.digicert.com/help/) the https://Froxlor admin page comes back as a success with zero issues. If I try https://froxlor/webmail I get the below error message
      Error: my.froxlor.com/webmail is not a fully qualified public domain name or public IP address. The above error message does not make sense as using port 80 I can get to the /webmail page, so the above might be a red herring.
      Has anyone seen this issue?
      Thanks in advance.
    • By martinvh
      Hello everybody,
      in the monthly Froxlor usage report I'm getting the message PHP Warning:  stream_socket_enable_crypto(): Peer certificate CN=`<my Froxlor domain>' did not match expected CN=`localhost' in /var/www/froxlor/lib/classes/phpmailer/class.SMTP.php on line 369
      The mail is being sent to the systems root account, which is mapped in /etc/aliases to an existing Froxlor mail account (webmaster@<my Froxlor domain>). Is this related to the Froxlor admin user, whos mail address is the same? Either way, why is the function expecting the local CN instead of the FQDN one? What is the correct setting in this case, or how can I mitigate the warning? The only cause effect I discovered is, that mails cannot be sent to new mail accounts via the alternate mail address, which results in the same error.
      Thanks in advance,
      Martin


×