cisum Posted May 25, 2010 Share Posted May 25, 2010 Moin, ich habe eine Frage zum Einrichten von SSL. Mit Hilfe folgender Anleitung habe ich SSL f?r meinen Webroot (/var/web) eingerichtet bekommen: http://wiki.ubuntuusers.de/Apache/SSL Allerdings scheitere ich jetzt bei der Konfiguration f?r Froxlor.+ Gerne w?rde ich bei einigen Froxlor-Kundenaccounts SSl verwenden. Bei den SSL Einstellungen SSL nutzen aktiviert und den Pfad zum Zertifikat (/etc/apache2/ssl/apache.pem) eingetragen. Wo finde ich die ben?tigte SSL Schl?sseldatei und was muss ich dann noch beachten? Kann ich die Einstellungen bei Standardwerte zum Erstellen eines Zertifikats so lassen oder m?ssen die ge?ndert werden? Vielen Dank im Vorraus f?r die Hilfe! Gru?, cisum Link to comment Share on other sites More sharing options...
cisum Posted June 8, 2010 Author Share Posted June 8, 2010 Niemend eine Idee? Link to comment Share on other sites More sharing options...
d00p Posted June 8, 2010 Share Posted June 8, 2010 lighttpd? Falls ja, da habe ich erst heute was ge?ndert, eventuell braucht das apache auch...m?sste ich mal nachschauen Link to comment Share on other sites More sharing options...
imanuel Posted June 13, 2010 Share Posted June 13, 2010 Bei mir funktioniert es so: 1. In der Froxlor-Administration beim SSL-IPandPort folgendes einstellen: Listen nein NameVirtualHost ja vHost-Container ja ServerName ja 2. In der Froxlor-Datenbank in der Tabelle panel_ipsandports die id der SSL-IPandPort raussuchen. 3. In der Tabelle panel_domains im Datensatz der gew?nschten Subdomain "ssl"="1" und "ssl_ipandport"=die in Punkt 2 rausgesuchte ID einstellen. 4. Punkt 3 bei allen gew?nschten Subdomains wiederholen 5. In der Tabelle panel_tasks einen Datensatz mit "typ"="1" einf?gen. Das Zertifikat und die Schl?sseldatei m?ssen in /etc/apache2/ liegen und apache.pem sowie apache.key hei?en, weil das automatisch eingestellt wird und man keinen Einflu? darauf hat. Imanuel Link to comment Share on other sites More sharing options...
cisum Posted June 17, 2010 Author Share Posted June 17, 2010 Bei mir funktioniert es so: 1. In der Froxlor-Administration beim SSL-IPandPort folgendes einstellen: Listen nein NameVirtualHost ja vHost-Container ja ServerName ja 2. In der Froxlor-Datenbank in der Tabelle panel_ipsandports die id der SSL-IPandPort raussuchen. 3. In der Tabelle panel_domains im Datensatz der gew?nschten Subdomain "ssl"="1" und "ssl_ipandport"=die in Punkt 2 rausgesuchte ID einstellen. 4. Punkt 3 bei allen gew?nschten Subdomains wiederholen 5. In der Tabelle panel_tasks einen Datensatz mit "typ"="1" einf?gen. Das Zertifikat und die Schl?sseldatei m?ssen in /etc/apache2/ liegen und apache.pem sowie apache.key hei?en, weil das automatisch eingestellt wird und man keinen Einflu? darauf hat. Imanuel Danke, klappt wunderbar! Ist dann aber ein Bug, dass es nicht ?ber Froxlor direkt geht nehme ich an? Link to comment Share on other sites More sharing options...
imanuel Posted June 21, 2010 Share Posted June 21, 2010 Doch, inzwischen wei? ich auch mehr. SSL-IPandPort braucht keinen VHost, und die Pfade kann man im Froxlor-Admin unter Einstellungen, SSL-Einstellungen ?ndern. Leider kann man dort zwar ein CA-Zertifikat einstellen, aber keine Chainfile - die habe ich dann im SSL-IPandPort im VHost stehen (in dem Fall braucht man dort dann nat?rlich doch einen VHost). Den Rest mu? man allerdings trotzdem per Datenbank einstellen. Heute werde ich noch versuchen, f?r verschiedene Subdomains verschiedene Zertifikate einzuladen. Mal schauen ;-) Link to comment Share on other sites More sharing options...
imanuel Posted June 22, 2010 Share Posted June 22, 2010 Das ist so leider nicht m?glich, wie ich feststellen mu?te, weil Apache mit dem ersten SSL-VHost, der eingeladen wird, die Zertifikate l?dt und alle anderen nachher ignoriert. Schade! Oder hat vielleicht noch jemand einen Tip? Viele Gr??e Link to comment Share on other sites More sharing options...
Heimchen Posted May 27, 2010 Share Posted May 27, 2010 Du h?ttest unter Froxlor unter den IPs und Ports ne neue IP hinzuf?gen m?ssen, dort kannst du dann unten die Zertifikate angeben. Die Konfiguration vom apachen ?bernimmt dann Froxlor bzw der Cronjob von Froxlor f?r dich. Du musst lediglich im vorhinein die Zertifikate generieren, den Pfad zu diesen gibst du dann unten an. Falls das noch nicht tut mit a2emod ssl den ssl mod aktivieren. von Hand in den Configs rumwurschteln empfiehlt sich nur bedingt, da dann Probleme in Kombi mit Froxlor auftreten k?nnen. Link to comment Share on other sites More sharing options...
cisum Posted May 27, 2010 Author Share Posted May 27, 2010 Zertifikat hab ich: /etc/apache2/ssl/apache.pem Aber wo bekomme ich die Scl?sseldatei her und ist SSL CA Zertifikat optional? Edit: Hat sich glaub ich erledigt. Werd sp?ter mal schreiben ob alles funzt. Link to comment Share on other sites More sharing options...
marauder Posted May 28, 2010 Share Posted May 28, 2010 hab auch so einige probleme mit ssl. ich erzeuge meinen ssl zertifikat so: openssl genrsa -des3 -out name.key 2048 openssl req -new -key name.key -out name.csr openssl rsa -in name.key -out name.key openssl x509 -req -days 365 -in name.csr -signkey name.key -out name.crt cat name.crt name.key > name.pem chmod 644 *.crt chmod 600 *.key chmod 600 *.pem mein problem; nach jedem cron-update der config muss ich den lighttpd in ssh per hand starten, da eine passworteingabe erforderlich ist und lighttpd gestopt wird. was mache ich falsch? Link to comment Share on other sites More sharing options...
chefsalat Posted May 29, 2010 Share Posted May 29, 2010 ?ndere openssl genrsa -des3 -out name.key 2048 in openssl genrsa -out name.key 2048 dann fr?gt er nicht nach eine PW, da unveschl?sselt Link to comment Share on other sites More sharing options...
cisum Posted May 31, 2010 Author Share Posted May 31, 2010 Hatte sich leider doch noch nicht ganz erledigt. SSL funktioniert nun bei den Domains, allerdings nicht bei den Subdomains. Beispiel: https://www.domain.de funktioniert und Zeigt auch an, was es anzeigen soll, allerdings https://subdomain.domain.de funktioniert nicht und zeigt den Inhalt vom Webroot (/var/www) Jemand ne Idee? Gru?, cisum Link to comment Share on other sites More sharing options...
nightshift Posted July 30, 2010 Share Posted July 30, 2010 Hallo ich w?rde auch gerne SSL nutzen und habe mir bereits bei Start SSL gratis das Zertifikat f?r meine erste Domain erstellt. Die Cert Datei und Key Datei habe ich auf meinem Rechner. Ich habe dabei an dieser Anleitung orientiert und dann die Dateien auf Debian Lenny wie folgt einsortiert /etc/ssl/certs -> directhost.crt + sub.class1.server.ca.pem (Muss das nicht aif Debian auch .pem hei?en ?) /etc/ssl/private --directhost.key Das ganze soll mit der Domain fuktionieren die auch als Hostname hinterlegt ist. Zweck: phpmyadmin ?ber SSL Verschl?sselung aufrufen und nicht per IP/phpmyadmin Domain www.direct-host.de Was muss ich jetzt wo eintragen damit es funktioniert ? Vor allen Dingen hier, denn da sind ja andere Pfade eingetragen um sich wohl selbst ein Zertifikat zu erstellen das von Browsern erst angenommen werden muss ? Muss ich einfach die 2 Pfade anpassen zu den beiden o.g Zertifikatsdateien ? Die Domain selbst verwalte ich nicht mit dem Froxlor Interface da sie ja nicht direkt f?r Kunden gedacht ist, daher habe ich auch nur in den allgemeinen Einstellungen geschaut. Muss ich bei der IP-Adresse noch etwas eintragen ? 2. Weitergehende Frage Wie ist eigendlich das vorgehen wenn ich Kunden auch (?ber Start SSL) Domains zur Verf?gung stellen m?chte ? Brauche ich f?r jede SSL Domain eine eigene IP ? Was muss ich da einstellen (bei den IP, oder VHOST oder auch Domain Einstellungen ? Link to comment Share on other sites More sharing options...
nightshift Posted August 2, 2010 Share Posted August 2, 2010 Habe nun eine 2. IP bekommen ? Wo muss ich die nun ?berall hinterlegen. Reicht es im Froxlor oder muss ich bei Debian Lenny sonst noch wo was einstellen ? Wie kann ich die URL die nicht von Froxlor verwaltet wird (also die System URL / Hostname) mittels einem Zertifkat sch?tzen, haben das wie o.g. bereits bei StartSSL geholt nur wei? ich nicht wie ich es einbinden soll. edit: Habe nun die IP wie folgt eingerichtet, die Dateien unten sind vorhanden. Also die CRT, KEY und PEM Datei. Das Riesen Problem ist bei diesen Einstellungen das der Apache 2 nicht bei einem Neustart startet. Dies geht erst wieder wenn ich die in folgender Fehlermeldung genannte Datei (das ist ja wohl die config Datei der IP leere und sie keinen Inhalt mehr hat) vorher startet der Apache einfach nicht. Rufe ich ?brigens die Domain auf bei der diese IP als SSL IP hinterlegt wurde bekomme ich bei https://.... nur die Meldung vom Firefox das die Seite nicht vorhanden ist. direct-host:~# /etc/init.d/apache2 restart Restarting web server: apache2We failed to correctly shutdown apache, so we're now killing all running apache processes. This is almost certainly suboptimal, so please make sure your system is working as you'd expect now! (warning). ... waiting Syntax error on line 9 of /etc/apache2/sites-enabled/10_froxlor_ipandport_178.63.145.52.443.conf: Invalid command 'SSLEngine', perhaps misspelled or defined by a module not included in the server configuration failed! direct-host:~# /etc/init.d/apache2 restart Restarting web server: apache2. Link to comment Share on other sites More sharing options...
Softbuilder Posted August 3, 2010 Share Posted August 3, 2010 Das ist so leider nicht m?glich, wie ich feststellen mu?te, weil Apache mit dem ersten SSL-VHost, der eingeladen wird, die Zertifikate l?dt und alle anderen nachher ignoriert. Schade! Oder hat vielleicht noch jemand einen Tip? Viele Gr??e Da die Kommunikation zwischen Browser und Apache Webserver verschl?sselt wird, bevor der Browser seinen HTTP Request schickt, aus dem hervor geht um welche Domain es geht, kann der Webserver kein Domain spezifisches Zertifikat liefern. Der sicherste und meist teuerste Weg ist, jeder Domain die SSL Nutzen soll eine eigenen IP zu geben. Ansonsten kann man SNI Nutzen, was aber nur von neueren Browsern unterst?tzt wird. http://de.wikipedia.org/wiki/Server_Name_Indication Link to comment Share on other sites More sharing options...
Question
cisum
Moin,
ich habe eine Frage zum Einrichten von SSL.
Mit Hilfe folgender Anleitung habe ich SSL f?r meinen Webroot (/var/web) eingerichtet bekommen: http://wiki.ubuntuusers.de/Apache/SSL
Allerdings scheitere ich jetzt bei der Konfiguration f?r Froxlor.+
Gerne w?rde ich bei einigen Froxlor-Kundenaccounts SSl verwenden.
Bei den SSL Einstellungen SSL nutzen aktiviert und den Pfad zum Zertifikat (/etc/apache2/ssl/apache.pem) eingetragen.
Wo finde ich die ben?tigte SSL Schl?sseldatei und was muss ich dann noch beachten?
Kann ich die Einstellungen bei Standardwerte zum Erstellen eines Zertifikats so lassen oder m?ssen die ge?ndert werden?
Vielen Dank im Vorraus f?r die Hilfe!
Gru?,
cisum
Link to comment
Share on other sites
14 answers to this question
Recommended Posts
Archived
This topic is now archived and is closed to further replies.