Hallo,
Thiemo Kellner wrote:
>> Ok, im ssl_engine_log h�tte aber schon etwas in der Art von
>>
>> [19/Jun/2003 13:34:07 01463] [info] Connection: Client IP:
>> 192.168.8.28, Protocol: TLSv1, Cipher: RC4-MD5 (1
>> 28/128 bits)
>
>
> Tja, wenn nichts im Log steht, ist der Fehler auch schwer festzunageln. :/
>
>> stehen sollen (SSLLogLvel Info vorrausgesetzt).
>
>
> Hab ihn bis debug hochgeschraubt, ohne wesentlich mehr Informationen zu
> bekommen.
>
> [19/Jun/2003 18:36:36 01096] [info] Init: 6nd restart round (already
> detached)
[...]
> [19/Jun/2003 18:36:36 01096] [trace] Init: (buchhaltung.thiam.ch:443) > Configuring RSA server private key
Und auch hier zeigt sich kein Verbindungsaufbau?!
> >>> Hm, eigentlich m�chte ich schon, dass mehere virtuelle ssl-Hosts zwar >>> dieselbe IP-Adresse haben, aber nach Namen unterschieden werden. >>> Diese �nderung hatte jedenfalls keinen Einfluss. >> >> >> >> Aber Du weisst doch das SSL-verschl�sslte Server nicht namens-basiert >> sein k�nnen, da die Entschl�sselung des Requests mit dem Host-Header >> erst nach dem Aufbau der SSL-Verbindung (Zetifikatsaustausch) erfolgen >> kann. > > > Weiss ich das? Vermutlich nicht. Um's mal mit eigenen Worten zu sagen: > ich kann nicht virtuelle Webserver betreiben, die �ber > https://server1.thiam.ch und https://server2.thaim.ch angesprochen > werden, aber dieselbe IP-Adresse teilen?
AFAIR gibt es wohl Browser, die auch Zertifikate mit einem CN in der
Form '*.domain.tld' (* als Sternchen) akzeptieren. Evtl. k�nntest Du �ber eine solches auch namensbasierte Vhosts realisieren.
> >>> [19/Jun/2003 17:21:52 01096] [warn] Init: (buchhaltung.thiam.ch:443) >>> RSA server certificate CommonName (CN) `localhost' does NOT match >>> server name!? >> >> >> >> Das ist aber ein bl�der Name, der schliesst die Akzeptanz durch einen >> Client schon aus (zumindest ohne Mecker). Das Zertifikat sollte auf >> den FQDN des Webservers ausgestellt sein. > > > Hm, ich gehe davon aus, dass Du mit bl�d buchhaltung.thiam.ch gemeint > hast. Ich verstehe nicht, was der Client-Name etwas mit der Akzeptanz > bei der Authentifizierung des Zertifikates zu tun hat. Mir scheint, dass > der Clent meckern muss, wenn das CA-Zertifikat noch nicht bekannt ist.
Ne, ich dachte 'localhost' sei Dein CommonName.
Also Mozilla meckert erstmal immer wenn der CN nicht mit dem Servernamen �bereinstimmt zu dem eine SSL-Verbindung aufgebaut werden soll, oder?
> > Auch ist mir nicht klar, woher das localhost stammt. > buchhaltung.thiam.ch habe ich als Common Name bei der > Zertifikat-Erzeugung angegeben.
Das kannst Du in der Ausgabe von
$ openssl x509 -noout -text -in <dein_zertifkat>
pr�fen. Vielleicht stimmt das aber auch etwas mit der Angabe von SSLCertificateFile nicht?
[...]
Ansonsten sehe ich leider nicht weiter wo die Ursache des Problems liegen k�nnte. Du kannst ja mal noch folgende Sachen testen
- das SnakeOil-Zertifikat verwenden, dass Du in den Apache-Sourcen unter './conf/ssl.crt/snakeoil-rsa.crt' findest
- SSLRandomSeed f�r connect und startup auf /dev/unrandom stellen
- mit 'openssl s_client' von localhost den Server testen.
> $ openssl s_client -connect 127.0.0.1:443
>
> 8< [ Verbindungsinfo ] 8<
>
> GET / HTTP/1.0
> Host: www.snakeoil.dombis dann, .max
--------------------------------------------------------------------------
Apache HTTP Server Mailing List "users-de" unsubscribe-Anfragen an [EMAIL PROTECTED]
sonstige Anfragen an [EMAIL PROTECTED]
--------------------------------------------------------------------------
