SSL Host und Zertifikate werden nicht angelegt. Dringend!

Hallo,

Ein Kunde benötigt für seinen Umzug auf unseren Server SSL (nicht SNI) für seine Seite. Dazu habe ich für den betroffenen Server eine neue IP-Gruppe mit der exklusiven IP angelegt. Diese Gruppe habe ich dem Reseller-Vertrag exklusiv zugeordnet.

Im Reseller habe ich die IP-Gruppe exklusiv dem Kundenvertrag zugeordnet.

Im Kundenbereich wurde, nachdem Schlüssel, Zertifikat und CA importiert wurden, die Domain auf die exklusive IP umgestellt und das SSL aktiviert.

Bei dem Versuch die Seite via https aufzurufen kommt der Fehler "Fehlercode: ssl_error_rx_record_too_long".

Daraufhin habe ich die Konfiguration des Kunden unter /etc/apache2/sites-available/xyz123.conf kontrolliert. Es wird zwar der Bereich "# IP group 'xyz123ssl'" angelegt, aber ein :443-Bereich fehlt gänzlich. Auch nachdem ich MEHRFACH die Domain editiert habe, das SSL-Zertifikat gelöscht und neu angelegt, sogar die IP-Gruppe von Grund auf entfernt und unter anderem Namen wieder angelegt habe, ändert sich daran nichts.

Schließlich habe ich versucht, über die LC-eigene Funktion ein SSL-Zertifikat zu erstellen. Es wird zwar alles klaglos angenommen aber im Ergebnis ändert sich nichts.

Auch ein Versuch über die Standard-IP des Servers und SNI blieb erfolglos.

Die SSL-Zertifikats-Dateien werden auch nicht in den entsprechenden /etc/ssl/-Verzeichnise angelegt.

Während aller Versuche habe ich mehrfach den LiveConfig Server-Dienst und alle Client-Dienste durchgestartet. In den Logfiles findet sich kein Hinweis auf ein Problem.

System:

LiveConfig Server: Debian Squeeze, liveconfig: 7.3 R2934
LiveConfig Client: Debian Wheezy, lcclient: 7.3 R2934

Auf diesem Server wurde bisher kein Kunde mit SSL angelegt. Auf dem LiveConfig-Server selbst und einem anderen Client laufen Präsenzen mit SSL - sowohl SNI, als auch exklusiv. Und seit der Anlage des letzen SSL-Zertifikats hat es einige LiveConfig-Updates gegeben. Daher wage ich mich jetzt auch nicht auszuprobieren, was passiert, wenn ich auf einem der beiden anderen WebServer ein Zertifikat ändere/anlege/zuordne.

Ich bitte dringend um Prüfung!

Viele Grüße,

Oskar Groh

Hallo Herr Keppler,

vielen Dank schonmal.

Ich hatte oben vergessen zu erwähnen, dass ich via netstat kontrolliert habe, ob überbaupt auf 443 gelauscht wird. Ja, wird! Auf der Apache-Default und auf der explizit zugewiesenen IP. mod_ssl ist ebenfalls an.

Dann habe ich die sites-enabled/ mit dem anderen WebServer verglichen, ob da noch irgendwelche Leichen zu finden sind. Nein, abgesehen natürlich von den Kunden-Configs gibt's nur die 000-default und die entspricht auch jeweils dem anderen Server. Allerdings ist gibt es da schon unterschiede im <IfModule mod_ssl.c>-Block.

Auf dem älteren lcclient (Debian squeeze) sieht der Bereich so aus:

<IfModule mod_ssl.c>
  SSLHonorCipherOrder on
  SSLCipherSuite !aNULL:!eNULL:!EXPORT:!ADH:!DES:!DSS:!LOW:!SSLv2:RC4-SHA:RC4-MD5:ALL
  Listen x.x.x.70:443
  NameVirtualHost x.x.x.70:443
  Listen x.x.x.81:443
  NameVirtualHost x.x.x.81:443
  Listen x.x.x.84:443
  NameVirtualHost x.x.x.84:443
</IfModule>

auf dem jüngeren, mit Debian wheezy so:

<IfModule mod_ssl.c>
  SSLProtocol ALL -SSLv2
  SSLHonorCipherOrder on
  SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:ECDHE-RSA-RC4-SHA:ECDHE-ECDSA-RC4-SHA:AES128:AES256:RC4-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!3DES:!MD5:!PSK
  Listen x.x.x.49:443
  NameVirtualHost x.x.x.49:443
  Listen x.x.x.59:443
  NameVirtualHost x.x.x.59:443
</IfModule>

Also deutlich mehr Spezifikation.

Ich habe keine Ideen mehr und hoffe auf den entscheidenden Hinweis von Ihnen.

Hallo Herr Keppler. Ich bin schon etwas empört über diese Frage! Aber es gibt Fragen, die man einfach stellen muss!

Selbstredend ist das so eingestellt. Aber - jetzt wird's peinlich für mich - meine Kurzssichtigkeit mit der bereits deutlich spürbaren Altersweitsicht hat mich etwas anderes übersehen lassen.

Wenn man bei einer Domain also HTTPS-Zugriff aktiviert, ist per Default "Webspace deaktiviert" ausgewählt. Und da kein Unterverzeichnis ausgewählt werden muss, ist mir das nicht aufgefallen.

Anstatt jetzt zu schrieben, dass es "wie von Geisterhand plötzlich geht", entschuldige ich mich für meine selektive Blindheit und Ihre verbrannte Zeit. Oh je - wie blind kann man sein?

Vielen Dank für Ihre Bemühungen!