SSLCertificateChainFile wie funktioniert da?

[nightshift]

Wollte gerade ein Update auf die neue Version machen dabei ist mir bei der Installation das Feld SSLCertificateChainFile aufgefallen. Was muss ich da eintragen oder wann ist ein Eintrag n?tig ?

 

Ich Habe bei Start SSL eine Multi Domain Klasse 2 Zertifikatsdatei die bisher nicht lief. Theoretisch br?uchte ich also keine bzw maximal eine weitere IP da sie alle Domains die auf dem Server (in einem Froxlor Account laufen) im Zertifikat enthalten sind.

 

Was muss ich in dem Fall wenn ich 1 Zertifikat f?r alles (also auch Mails usw.) habe mit dem Eingabefeld machen bei dem Update auf die neue Froxlor Version. Wof?r ist das SSLCertificateChainFile gut?

[nightshift]

Apache Log und joa da sind einige komische Dinge drin: http://pastebin.com/SLAu4ENQ

 

Morgen schaue ich mal nach den vhosts

 

Auch kommt noch dazu das wie aus heiterem Himmel auf einmal ab und an Port 80 belegt ist und der Apache ausf?llt erst wenn ich den Port ?ffne geht es wieder:

 

 

 

Address already in use: make_sock: could not bind to address 0.0.0.0:80

no listening sockets available, shutting down

 

 

sudo fuser -k -n tcp 80

[d00p]

SSLCertificateChainFile Directive

Description: File of PEM-encoded Server CA Certificates

Syntax: SSLCertificateChainFile file-path

Context: server config, virtual host

Status: Extension

Module: mod_ssl

 

This directive sets the optional all-in-one file where you can assemble the certificates of Certification Authorities (CA) which form the certificate chain of the server certificate. This starts with the issuing CA certificate of of the server certificate and can range up to the root CA certificate. Such a file is simply the concatenation of the various PEM-encoded CA Certificate files, usually in certificate chain order.

 

This should be used alternatively and/or additionally to SSLCACertificatePath for explicitly constructing the server certificate chain which is sent to the browser in addition to the server certificate. It is especially useful to avoid conflicts with CA certificates when using client authentication. Because although placing a CA certificate of the server certificate chain into SSLCACertificatePath has the same effect for the certificate chain construction, it has the side-effect that client certificates issued by this same CA certificate are also accepted on client authentication. That's usually not one expect.

 

But be careful: Providing the certificate chain works only if you are using a single (either RSA or DSA) based server certificate. If you are using a coupled RSA+DSA certificate pair, this will work only if actually both certificates use the same certificate chain. Else the browsers will be confused in this situation.

 

Example

SSLCertificateChainFile /usr/local/apache2/conf/ssl.crt/ca.crt

[nightshift]

Vielen Dank erstmal.

 

Ich wollte nun noch einmal nachhaken...Habe mir inzwischen bzw schon vor einigen Wochen ein Klasse 2 Zertifikat bei startssl geholt. Dieses beinhaltet mehrere Domains auf meinem Server einschlie?licher jener die auch als Reverse und Hostname fungiert. Ich habe immer noch nicht verstanden wie ich in Froxlor in Kombination mit dem Apache2 Webserver (Standard Debian Lenny Paket) alle meine Domains oder zumindest einige (einschlie?lich jener die Hostname ist und somit nicht direkt in Froxlor einem Kunden zugeordnet ist verschl?sseln kann.

 

Langsam w?rde ich gerne auch einmal phpmyadmin und Co absichern. Die liegen "zentral unter /var/www sind also ?ber IP/PfadzumOrdner HostnameURL/PfadzumOrdner erreichbar, ebenso wie auch Froxlor IP/froxlo HostnameURL/PfadzumOrdner.

 

 

Meine vorhandenen Datein f?r das Zertifikat sind:

 

 

SSL.crt

Key.crt

 

au?erdem habe ich von denen noch ein Stammzertifikat ca.crt.

 

 

 

Und eine Textdatei in der ich noch meinen private Key habe.

 

Der Server verf?gt z.Z. ?ber eine IP, eine weitere ist aber in der Beschaffung. Was muss ich denn nun eintragen bzw wie auch im Bezug auf die ChainFile, denn so wirklich habe ich das nicht verstanden auch im Text usw.

 

Wo muss denn jetzt was rein in Froxlor ? Denn es gibt ja einmal die Felder "SSL Einstellungen" wo man wohl auch ein Zertifikat erzeugen kann ?

 

Und halt bei den IP-Adressen. Dann w?re noch die Frage wo welche Dateien rein kommen im Debian System.

/etc/apache2/apache2.pem und /etc/apache2/apache2.key existieren bei mir z.Z. nicht sondern nur in den o.g. Froxlor Einstellungen. Gibt es da eventuell nen Tut wie man das in Froxlor in Kombo mit dem Apache macht, ich hoffe doch denn langsam w?rde ich das gerne mal benutzen da es mich auch ein bisschen Geld gekostet hat.

[arnoldB]

Gibt es da eventuell nen Tut wie man das in Froxlor in Kombo mit dem Apache macht, ich hoffe doch denn langsam w?rde ich das gerne mal benutzen da es mich auch ein bisschen Geld gekostet hat.

 

 

Google kennt ne Menge

 

Mir hatte die Anleitung von meinem PROV geholfen und ein Tipp zur Probleml?sung per E-Mail hatte ich vom gleichen auch bekommen.

 

Allgemein: https://support.comodo.com/index.php?_m=knowledgebase&_a=view&parentcategoryid=95&pcid=1&nav=0,96,1

 

 

Mein Tipp: Erstelle dir die IP in Froxlor, schalte SSL dr?ber, erstelle die gew?nschte Domain (oder irgendeine andere falls noch nicht geschehen) und schaue dir mal an wie das fertige SSL-vHost (von froxlor generiert in /etc/apache2/sites-enable/ o.?.) aussieht. Vergleiche diesen mit dem was du brauchst und was bei dir funktioniert. Bei Problemen; Logs durchsuchen, PROV anschreiben (wei? in den meisten F?llen ne Menge ).

 

Gru?,

 

arnoldB

[nightshift]

Habe es nun irgendwie geschafft indem ich die gleiche IP nochmal mit dem SSL Port angelegt habe und SSL auch bei URLs und als Weiterleitung aktiviert habe.

 

Letztes Problem sind externes Scripts. Ich habe in meiner Seite den teamspeakviewer eingebunden, der ziegt die Daten von tsviewer.com. Kann ich da irgendetwas machen das die Browser das Zertifikat auch komplett korrekt anzeigen und nicht melden das teilweise nicht verschl?sselt wird ?

[arnoldB]

Der TSviewer arbeitet glaube ich nur mit JS, da kann mir deswegen kein Problem vorstellen. K?nntest du den Link mal freigeben, damit man sich das ganze ansehen kann?

[nightshift]

Die Adresse ist: https://trek-rs.de/ bzw https://www.trek-rs.de/

 

 

Selbst wenn ich einzelne Grafiken der Webseite via SSL in einem extra Browser Tab aufrufe erhalte ich noch eine Meldung das die Daten unverschl?sselt sind.

[arnoldB]

hmm der Fehler "der server unterst?tzt keine tls neuaushandlung" existiert bei mir momentan auch noch.

 

Gibst du die Versionen f?r SSL explizit an? Bsp

 

SSLProtocol -all +SSLv3 +TLSv1

SSLCipherSuite SSLv3:+HIGH:+MEDIUM

[nightshift]

 

Gibst du die Versionen f?r SSL explizit an? Bsp

 

SSLProtocol -all +SSLv3 +TLSv1

SSLCipherSuite SSLv3:+HIGH:+MEDIUM

 

Wo mache ich das ? Denn das sagt mir so g ar nichts .

 

Habe inzwischen mein cert neu eingerichtet da noch einige Subdomains fehlten. Jetzt hat Froxlor noch das Problem das alles SUbdomains die via SSL

 

 

Auch f?llt mir auf das Subdomains mit http://subdomain.domainname oder eben http://www.subdomain.domainname .de korrekt auf das Sub Projekt gehen. setze ich ein https:// statt dem http:// davor dazu lande ich auf der https://www.trek-rs.de Seite wobei in dem Beispiel im Browser weiterhin https://www.personal.trek-rs.de/ steht- Was da falsch ? Anfangs hatte ich bei allen Subdomains SSL aktiviert aber die Weiterleitung aus. Dann bin ich in var/www gelandet mittels der https Adrsse also auf dem Pfad vom Apache wo nichts ist au?er Froxlor in einem Unteronrder. Nun lande icfh danke der Weiterleitung zwar beim richtigen "Froxlor Kunden" allerdings irgendwie immer auf der Hauptdomain....

 

 

 

[arnoldB]

Den Code kannst du in die apache.conf/vhost eintragen.

 

 

Jetzt hat Froxlor noch das Problem das alles SUbdomains die via SSL

 

..ja?

 

 

setze ich ein https:// statt dem http:// davor dazu lande ich auf der https://www.trek-rs.de Seite wobei in dem Beispiel im Browser weiterhin https://www.personal.trek-rs.de/ steht- Was da falsch ?

 

D?rften wir mal die vHosts sehen, denn ohne diese, kann zumindest ich dir keine Hilfe anbieten. Ich kann mir vorstellen das du das SSL-zertifikat (im vhost) auf einen bestimmten ServerName bzw. docroot gelegt hast (oder eben froxlor durch deine konfiguration). There's no place like /var/log/*, geben die (apache)logs denn gar keine Auskunft?