OCSP stapling Error - Apache error.log

  • Guten Tag,


    Ich habe vor Kurzem das Update auf Liveconfig 1.9.0 (r3657) durchgeführt. Seitdem taucht folgende Fehlermeldung für alle selbsterstellten Zertifikate im Apache error.log (/var/log/apache2/error.log) auf.
    (OS: Debian 8)


    Code
    [Fri Jul 24 17:52:05.080607 2015] [ssl:error] [pid 4934] AH02217: ssl_stapling_init_cert: can't retrieve issuer certificate! [subject: emailAddress=...,CN=...,O=...,L=...,ST=...,C=... / issuer: emailAddress=...,CN=...,O=...,L=...,ST=...,C=... / serial: ... / notbefore: Jul 24 14:59:18 2015 GMT / notafter: Jul 23 14:59:18 2016 GMT]
    [Fri Jul 24 17:52:05.080633 2015] [ssl:error] [pid 4934] AH02567: Unable to configure certificate subdomain.website.net:443:0 for stapling


    Folgendes wurde bereits versucht:
    1. Zertifikat und Subdomain in Liveconfig neu laden (nochmals speichern)
    2. Neues Zertifikat erstellen und Schritt 1 wiederholen


    Leider wurde das Problem dadurch nicht behoben.
    Der Fehler tritt nach wie vor bei jedem Apache Neustart auf.
    Nicht selbst signierte Zertifikate (in meinem Fall RapidSSL SHA256) scheinen davon nicht betroffen zu sein.


    Würde mich über hilfreichen Input sehr freuen, sollten noch andere Daten/Logs benötigt werden, liefere ich diese gerne nach.


    MlG.
    Florian

  • Hallo overflo,


    dieses Problem hat absolut nix mit LC zu tun, sondern mit der fehlenden Aktualisierung des Apache2.
    Ich habe es bereits mehrfach gemacht und tu es gern auch jetzt nochmal:


    Dieses Forum hier ist dafür gedacht, Support für LiveConfig zu leisten und nicht dafür, um
    Anleitungen dafür zu geben, wie man einen Server zu konfigurieren hat.


    Eine Suche per google hätte folgendes ergeben:
    https://www.digitalocean.com/c…pling-on-apache-and-nginx


    Input genug oder soll Herr Keppler noch den Server rebooten, damit alles gut ist?



    Man man man, sorry ..... tut doch mal auch selber was und erwartet nicht, dass alles so schön ist wie in Windows. Ihr bezeichnet euch schließlich als Profi´s (Webhoster)!!!

  • Bitte immer schön sachlich bleiben.
    Der Apache bei Debian 8 unterstützt OCSP-Stapling (sonst hätte er diese Fehlermeldung ja gar nicht bringen können).
    Das eigentliche Problem besteht vielmehr darin, dass selbsignierte Zertifikate üblicherweise keine OCSP-URL enthalten, LiveConfig aber trotzdem auch hier OCSP aktiviert. Ein Kollege arbeitet da schon dran, ich denke dass das in den nächsten 1-2 Werktagen erledigt ist*.
    Apache funktioniert soweit zwar trotzdem, aber ordentlich ist das nicht.


    *) die Funktion in LiveConfig, welche die Zertifkate an Apache schickt, muss analysieren, ob das Zertifikat selbst oder ein Aussteller-Zertifikat eine OCSP-URL enthält; nur wenn das der Fall ist soll dann OCSP aktiviert werden.

  • Ach noch was: die Anleitung bei DigitalOcean enthält mindestens einen häufig gemachten Fehler. Ich verrate den hier aber nicht, denn an dem Fehler kann man schön erkennen wer sich selbst mit OCSP beschäftigt hat und wer nur aus anderen Anleitungen abschreibt. :p


  • Warum sollten sich selbst erfahrene Webhoster sich nicht diese Plattform nehmen um sich weiter zu entwickeln?

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!