Hallo
Max Dittrich wrote:
> [19/Jun/2003 18:36:36 01096] [trace] Init: (buchhaltung.thiam.ch:443) > Configuring RSA server private key
Und auch hier zeigt sich kein Verbindungsaufbau?!
N�. :(
AFAIR gibt es wohl Browser, die auch Zertifikate mit einem CN in der
Form '*.domain.tld' (* als Sternchen) akzeptieren. Evtl. k�nntest Du �ber eine solches auch namensbasierte Vhosts realisieren.
Hm ja. Ich m�chte eigentlich nicht allzu viel Aufwand in meinen Webserver stecken. Mal sehen.
Jetzt ist aber erst mal Urlaub angesagt.
>>> [19/Jun/2003 17:21:52 01096] [warn] Init: (buchhaltung.thiam.ch:443) >>> RSA server certificate CommonName (CN) `localhost' does NOT match >>> server name!? >> >> Das ist aber ein bl�der Name, der schliesst die Akzeptanz durch einen
[...]
> Hm, ich gehe davon aus, dass Du mit bl�d buchhaltung.thiam.ch gemeint
[...]
Ne, ich dachte 'localhost' sei Dein CommonName.
Also Mozilla meckert erstmal immer wenn der CN nicht mit dem Servernamen �bereinstimmt zu dem eine SSL-Verbindung aufgebaut werden soll, oder?
Ja, richtig.
> Auch ist mir nicht klar, woher das localhost stammt. > buchhaltung.thiam.ch habe ich als Common Name bei der > Zertifikat-Erzeugung angegeben.
Das kannst Du in der Ausgabe von
$ openssl x509 -noout -text -in <dein_zertifkat>
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 1 (0x1)
Signature Algorithm: md5WithRSAEncryption
Issuer: C=CH, ST=Zuerich, L=Winterthur, O=Private (thiam.ch), CN=Thiemo Kellner/[EMAIL PROTECTED]
Validity
Not Before: Jun 19 16:13:19 2003 GMT
Not After : Jun 18 16:13:19 2004 GMT
Subject: C=CH, ST=Zuerich, L=Winterthur, O=Private buchhaltung.thiam.ch, OU=buchhaltung.thiam.ch, CN=buchhaltung.thiam.ch/[EMAIL PROTECTED]
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public Key: (1024 bit)
Modulus (1024 bit):
00:c7:d6:4f:b8:6e:51:f4:63:ff:6c:25:5d:09:21:
42:36:41:7a:64:a1:24:96:04:07:98:d3:93:cb:98:
19:e6:b6:36:05:3e:cc:44:a1:fe:7a:06:c8:1c:39:
cb:91:05:b1:01:8f:07:84:de:14:f2:a9:a1:ec:35:
de:00:27:f2:53:55:59:7f:cb:5d:52:95:da:94:ef:
ab:4f:c3:82:ae:ae:89:3c:6a:83:f7:2e:d0:dd:ea:
28:a8:2c:09:d4:95:b4:d4:d5:d3:56:6d:5b:1a:af:
cf:ec:b4:b0:1d:76:6f:85:03:d6:9f:14:da:ab:2d:
7a:6c:4a:d2:df:8b:04:f1:af
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
Netscape Comment:
OpenSSL Generated Certificate
X509v3 Subject Key Identifier:
A4:B4:A7:3D:1D:30:EE:4B:89:DD:A2:56:D5:35:08:B0:C6:95:1A:2A
X509v3 Authority Key Identifier:
keyid:9A:0E:5A:1D:B7:C3:7C:1D:5D:9D:1A:C8:3F:28:8E:6E:09:B5:BB:C8
DirName:/C=CH/ST=Zuerich/L=Winterthur/O=Private (thiam.ch)/CN=Thiemo Kellner/[EMAIL PROTECTED]
serial:00
Signature Algorithm: md5WithRSAEncryption [...]
Sieht nach meinem Daf�rhalten vern�nftig aus. Immerhin hat mir Dein s_client-Tip nach einen Anhaltspunkt gegeben, den zu l�sen ich aber noch keine Ahnung habe:
bash-2.05b$ openssl s_client -connect buchhaltung.thiam.ch:443
CONNECTED(00000003)
21383:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:470:
Ein wenig Internet-Recherche hat ergeben:
bash-2.05b$ openssl s_client -connect buchhaltung.thiam.ch:443 -state -debug
CONNECTED(00000003)
SSL_connect:before/connect initialization
write to 08154B48 [08154B90] (130 bytes => 130 (0x82))
0000 - 80 80 01 03 01 00 57 00-00 00 20 00 00 16 00 00 ......W... .....
0010 - 13 00 00 0a 07 00 c0 00-00 66 00 00 07 00 00 05 .........f......
0020 - 00 00 04 05 00 80 03 00-80 01 00 80 08 00 80 00 ................
0030 - 00 65 00 00 64 00 00 63-00 00 62 00 00 61 00 00 .e..d..c..b..a..
0040 - 60 00 00 15 00 00 12 00-00 09 06 00 40 00 00 14 [EMAIL PROTECTED]
0050 - 00 00 11 00 00 08 00 00-06 00 00 03 04 00 80 02 ................
0060 - 00 80 f2 b1 d8 ce b4 24-ef 27 77 47 8e 51 0c e0 .......$.'wG.Q..
0070 - ed 78 9d d8 26 7f 52 e5-a5 10 c8 14 d3 fb 3f 84 .x..&.R.......?.
0080 - 07 76 .v
SSL_connect:SSLv2/v3 write client hello A
read from 08154B48 [0815A0F0] (7 bytes => 7 (0x7))
0000 - 3c 21 44 4f 43 54 59 <!DOCTY
SSL_connect:error in SSLv2/v3 read server hello A
25185:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:470:
Wie Du schon geschrieben hast, ist es wohl nicht m�glich mehrere https-vhosts auf ein und derselben IP-Adresse zu betreiben.
Vielen Dank, Max.
Gruss
Thiemo
-- root ist die Wurzel allen �bels
--------------------------------------------------------------------------
Apache HTTP Server Mailing List "users-de" unsubscribe-Anfragen an [EMAIL PROTECTED]
sonstige Anfragen an [EMAIL PROTECTED]
--------------------------------------------------------------------------
