https Probleme bei Einrichtung

c4yolli · 5. August 2015

Hallo,
ich habe Heute einen neuen Debian 8.1 Server (Hetzner, Minimal-Image) aufgesetzt. Liveconfig per Meta-Paket installiert. Liveconfig läuft auch per SSL.

Aber bekomme beim Kundenaccount https nicht ans Laufen. Das Zertifikat ist soweit eingerichtet, aber die Seite kann nicht aufgerufen werden (Diese Webseite ist nicht verfügbar).

Die apache2/error.log sagt:

Code

[Wed Aug 05 21:10:45.169606 2015] [mpm_prefork:notice] [pid 22800] AH00171: Graceful restart requested, doing restart
[Wed Aug 05 21:10:45.269415 2015] [mpm_prefork:notice] [pid 22800] AH00163: Apache/2.4.10 (Debian) mod_fcgid/2.3.9 OpenSSL/1.0.1k configured -- resuming normal operations
[Wed Aug 05 21:10:45.269435 2015] [core:notice] [pid 22800] AH00094: Command line: '/usr/sbin/apache2'

netstat -anp | grep LISTEN | grep apache

Code

tcp        0      0 144.76.xx.xx:80         0.0.0.0:*               LISTEN      22800/apache2

apache2ctl -S -t

Code

VirtualHost configuration:
144.76.xx.xx:80        is a NameVirtualHost
         default server default (/etc/apache2/sites-enabled/000-default.conf:48)
         port 80 namevhost default (/etc/apache2/sites-enabled/000-default.conf:48)
         port 80 namevhost subdomain.kundendomain.de (/etc/apache2/sites-enabled/zz.conf:13)
144.76.xx.xx:443       subdomain.kundendomain.de (/etc/apache2/sites-enabled/zz.conf:85)
ServerRoot: "/etc/apache2"
Main DocumentRoot: "/usr/share/liveconfig/html/"
Main ErrorLog: "/var/log/apache2/error.log"
Mutex rewrite-map: using_defaults
Mutex fcgid-proctbl: using_defaults
Mutex ssl-stapling: using_defaults
Mutex ssl-cache: using_defaults
Mutex default: dir="/var/lock/apache2" mechanism=fcntl 
Mutex mpm-accept: using_defaults
Mutex fcgid-pipe: using_defaults
Mutex watchdog-callback: using_defaults
PidFile: "/var/run/apache2/apache2.pid"
Define: DUMP_VHOSTS
Define: DUMP_RUN_CFG
User: name="www-data" id=33
Group: name="www-data" id=33

Alles anzeigen

Das Zertifikat ist in Ordnung. Habe die Configs auch schon mehrfach neu schreiben lassen.
Das Apache SSL Modul ist aktiv. Der Haken bei Domains/HTTPS ist gesetzt.

Fehlt noch irgendein Modul? Wo kann ich noch suchen?

c4yolli · 6. August 2015

Wenn ich in der IP-Gruppe IPv6 aktiviere, habe ich Zugriff auf die https Seite.
Dann bekomme ich aber neue Fehlermeldungen in der error.log

Code

[Thu Aug 06 06:37:20.869174 2015] [ssl:warn] [pid 25052] AH01909: default:443:0 server certificate does NOT include an ID which matches the server name
[Thu Aug 06 06:37:20.869243 2015] [ssl:error] [pid 25052] AH02217: ssl_stapling_init_cert: can't retrieve issuer certificate! [subject: CN=Default SSL Certificate / issuer: CN=Default SSL Certificate / serial: 55C2E40900097DDB / notbefore: Aug  6 04:35:21 2015 GMT / notafter: Aug  5 04:35:21 2018 GMT]
[Thu Aug 06 06:37:20.869249 2015] [ssl:error] [pid 25052] AH02567: Unable to configure certificate default:443:0 for stapling
[Thu Aug 06 06:37:20.869330 2015] [suexec:notice] [pid 25052] AH01232: suEXEC mechanism enabled (wrapper: /usr/lib/apache2/suexec)
[Thu Aug 06 06:37:20.907843 2015] [ssl:warn] [pid 25053] AH01909: default:443:0 server certificate does NOT include an ID which matches the server name
[Thu Aug 06 06:37:20.907920 2015] [ssl:error] [pid 25053] AH02217: ssl_stapling_init_cert: can't retrieve issuer certificate! [subject: CN=Default SSL Certificate / issuer: CN=Default SSL Certificate / serial: 55C2E40900097DDB / notbefore: Aug  6 04:35:21 2015 GMT / notafter: Aug  5 04:35:21 2018 GMT]
[Thu Aug 06 06:37:20.907929 2015] [ssl:error] [pid 25053] AH02567: Unable to configure certificate default:443:0 for stapling
[Thu Aug 06 06:37:20.911170 2015] [mpm_prefork:notice] [pid 25053] AH00163: Apache/2.4.10 (Debian) mod_fcgid/2.3.9 OpenSSL/1.0.1k configured -- resuming normal operations
[Thu Aug 06 06:37:20.911202 2015] [core:notice] [pid 25053] AH00094: Command line: '/usr/sbin/apache2'

WebLive · 2. Oktober 2016

Hallo,

ich habe auch in der apache2/error.log folgendes:

Code

lclogsplit: got TERM signal
[Sun Oct 02 17:42:30.017133 2016] [ssl:warn] [pid 30416:tid 140102211028864] AH01909: default:443:0 server certificate does NOT include an ID which matches the server name
[Sun Oct 02 17:42:31.002511 2016] [mpm_event:notice] [pid 30416:tid 140102211028864] AH00489: Apache/2.4.10 (Debian) mod_fcgid/2.3.9 OpenSSL/1.0.1t configured -- resuming normal operations
[Sun Oct 02 17:42:31.002558 2016] [core:notice] [pid 30416:tid 140102211028864] AH00094: Command line: '/usr/sbin/apache2'
[Sun Oct 02 17:46:48.038450 2016] [mpm_event:notice] [pid 30416:tid 140102211028864] AH00491: caught SIGTERM, shutting down
lclogsplit: got TERM signal
[Sun Oct 02 17:46:49.121320 2016] [ssl:warn] [pid 30621:tid 140111595698048] AH01909: default:443:0 server certificate does NOT include an ID which matches the server name
[Sun Oct 02 17:46:49.121524 2016] [suexec:notice] [pid 30621:tid 140111595698048] AH01232: suEXEC mechanism enabled (wrapper: /usr/lib/apache2/suexec)
lclogsplit: got TERM signal
[Sun Oct 02 17:46:50.017271 2016] [ssl:warn] [pid 30624:tid 140111595698048] AH01909: default:443:0 server certificate does NOT include an ID which matches the server name
[Sun Oct 02 17:46:51.002625 2016] [mpm_event:notice] [pid 30624:tid 140111595698048] AH00489: Apache/2.4.10 (Debian) mod_fcgid/2.3.9 OpenSSL/1.0.1t configured -- resuming normal operations
[Sun Oct 02 17:46:51.002668 2016] [core:notice] [pid 30624:tid 140111595698048] AH00094: Command line: '/usr/sbin/apache2'
lclogsplit: got TERM signal
[Sun Oct 02 17:48:54.225139 2016] [mpm_event:notice] [pid 30624:tid 140111595698048] AH00491: caught SIGTERM, shutting down
[Sun Oct 02 17:48:55.313422 2016] [ssl:warn] [pid 30742:tid 140186967803776] AH01909: default:443:0 server certificate does NOT include an ID which matches the server name
[Sun Oct 02 17:48:55.313564 2016] [suexec:notice] [pid 30742:tid 140186967803776] AH01232: suEXEC mechanism enabled (wrapper: /usr/lib/apache2/suexec)
lclogsplit: got TERM signal
[Sun Oct 02 17:48:56.016890 2016] [ssl:warn] [pid 30744:tid 140186967803776] AH01909: default:443:0 server certificate does NOT include an ID which matches the server name
[Sun Oct 02 17:48:57.003342 2016] [mpm_event:notice] [pid 30744:tid 140186967803776] AH00489: Apache/2.4.10 (Debian) mod_fcgid/2.3.9 OpenSSL/1.0.1t configured -- resuming normal operations
[Sun Oct 02 17:48:57.003399 2016] [core:notice] [pid 30744:tid 140186967803776] AH00094: Command line: '/usr/sbin/apache2'
[Sun Oct 02 17:49:08.929753 2016] [mpm_event:notice] [pid 30744:tid 140186967803776] AH00491: caught SIGTERM, shutting down
lclogsplit: got TERM signal
[Sun Oct 02 17:49:10.014464 2016] [ssl:warn] [pid 30850:tid 139844468352896] AH01909: default:443:0 server certificate does NOT include an ID which matches the server name
[Sun Oct 02 17:49:10.014604 2016] [suexec:notice] [pid 30850:tid 139844468352896] AH01232: suEXEC mechanism enabled (wrapper: /usr/lib/apache2/suexec)
lclogsplit: got TERM signal
[Sun Oct 02 17:49:11.020565 2016] [ssl:warn] [pid 30852:tid 139844468352896] AH01909: default:443:0 server certificate does NOT include an ID which matches the server name
[Sun Oct 02 17:49:12.002497 2016] [mpm_event:notice] [pid 30852:tid 139844468352896] AH00489: Apache/2.4.10 (Debian) mod_fcgid/2.3.9 OpenSSL/1.0.1t configured -- resuming normal operations
[Sun Oct 02 17:49:12.002559 2016] [core:notice] [pid 30852:tid 139844468352896] AH00094: Command line: '/usr/sbin/apache2'

Alles anzeigen

Was bedeutet es?

Grüße
WebLive

Subdata · 2. Oktober 2016

"Dein Zertifikat enthält keine ID, die mit dem Servernamen übereinstimmt."

WebLive · 2. Oktober 2016

Was bedeutet es ganau und wann ich machen?

Subdata · 2. Oktober 2016

https://www.liveconfig.com/de/handbuch/tutorial.ssl.xhtml

WebLive · 3. Oktober 2016

Jetzt habe ich nochmal geschaut, bei frisch installiertem System sieht man das hier in der apache2/error.log :

Code

lclogsplit: got TERM signal
[Mon Oct 03 11:22:11.288129 2016] [mpm_event:notice] [pid 11618:tid 140478760015744] AH00491: caught SIGTERM, shutting down
[Mon Oct 03 11:22:12.370998 2016] [suexec:notice] [pid 11848:tid 140476480673664] AH01232: suEXEC mechanism enabled (wrapper: /usr/lib/apache2/suexec)
lclogsplit: got TERM signal
[Mon Oct 03 11:22:12.387373 2016] [mpm_event:notice] [pid 11850:tid 140476480673664] AH00489: Apache/2.4.10 (Debian) mod_fcgid/2.3.9 OpenSSL/1.0.1t configured -- resuming normal operations
[Mon Oct 03 11:22:12.387418 2016] [core:notice] [pid 11850:tid 140476480673664] AH00094: Command line: '/usr/sbin/apache2'

Und die andere Meldung kommt zusätzlich nur wenn man "SSL (HTTPS) erlauben (nur mit SNI)" aktiviert :

Code

[Mon Oct 03 11:25:47.199142 2016] [ssl:warn] [pid 12191:tid 140553845757824] AH01909: default:443:0 server certificate does NOT include an ID which matches the server name

Was bedeuten diese Meldungen, ist es alles Ok ? :confused:

Grüße
WebLive

lebenszeit · 3. Oktober 2016

Zitat von WebLive

AH01909: default:443:0 server certificate does NOT include an ID which matches the server name

Was ist daran unverständlich? Was ergab die Befragung von Suchmaschinen deines Vertrauens?

WebLive · 3. Oktober 2016

Das unverständliche daran ist das ich mich rund um Server und Zertifikate leider so gut wie gar nicht auskenne.

Nosxxx · 3. Oktober 2016

Wenn du dich nicht gut auskennst, dann nimmt man sich auch keinen eigenen Server.

WebLive · 3. Oktober 2016

Danke, deine Antwort ist sehr hilfreich.
Du hast dich wahrscheinlich schon als baby mit Servern gut ausgekannt.

Wenn man was ganz Neues anfängt hat man noch nicht viel Wissen darüber, man lernt nach und nach. :confused:
Aber mit deiner Hilfe werde ich wohl nichts dazulernen.

Ich hoffe nur das nicht alle so denken ...

antondollmaier · 3. Oktober 2016

Zitat von WebLive

Ich hoffe nur das nicht alle so denken ...

Ich schon.

Nicht gepflegte Server werden schnell als Quelle für Spamversand, Angriffe gegen Dritte oder gar als Teil von DDoS-Attacken missbraucht.

Geübt wird lokal im LAN. Dafür gibt es Virtualbox, VMWare Player und Konsorten. Wer eigene Hardware dafür nutzt, kann auch VMWare Server ESXi oder Proxmox PVE verwenden, um sich ein virtuelles Netzwerk aufzubauen.

Nosxxx · 3. Oktober 2016

Man lernt nunmal nicht mit einem Server mit 100Mbit oder Gbit. Das ist einfach grob fahrlässig.

Warum ich so reagiere: Wegen solche wie dir, gibts nunmal sehr viele DDos Attacken(Spam ist mir mittlerweile schon egal ^^).
Wenn du öfters von DDOS angegriffen wirst, musst du dir einen Anbieter suchen der das abwehren kann und dafür darf ich dann tiefer in die Tasche greifen oder zahlst du mir den Aufpreis?

WebLive · 3. Oktober 2016

antondollmaier
Nosxxx

Ich finde jetzt übetreibt Ihr aber, statt mir zu helfen ... lassen wir's.

Wie und wo ich lerne solltet Ihr schon mir überlassen. Ich recherchiere viel, gerade zwecks Sicherheit, und teste es an meinem Server.
Was soll da dabei falsch sein, es ist keine Website online und es hat keiner Zugang zum Server ausser mir.
Wenn es Euch beruhigt werde ich es bald zuhause auf meinem PC machen, aber deswegen hättet Ihr mir trotzdem Hefen können,oder?

Warum und wo gibt es sehr viele DDos Attacken wegen solchen wie mir?

Eigentlich wollte ich hier im Forum nur etwas Hilfe auf meine Fragen, ich dachte das Forum wäre dafür da.

Danke für euere Tipps ...

Grüße
WebLive

Nosxxx · 3. Oktober 2016

Wie und wo du lernst, kannst du natürlich selber entscheiden. Das Problem ist nur das du mit 100-1000Mbit am Internet hängst.
Wenn ich etwas lerne, mache ich ja auch "Fehler" oder nicht?
Ein Fehler kann schon zb zu Spam versand oder DDOS führen.

Dann sagst du ich habe davon nicht viel Ahnung, später schreibst du mehr oder weniger dein Server ist sicher.
Auch wenn kein anderer außer dir die Passwörter etc. hat, kann er sich ins System hacken. Brutforce zb.

Kurz zum Thema.
Bei den Lognachrichten steht "Notice" das bedeutet etwa "Hinweis", ist also kein Error. Diese Meldungen sind normal, und treten bei meinem System auch auf.

WebLive · 3. Oktober 2016

Gut zu wissen das die Meldungen nur "Hinweise" sind.
Eine Kategorie "Serversicherheit" im Forum wäre nicht schlecht.

Habe noch viel zu lernen.

Vielen Dank.

Grüße
WebLive

Jetzt mitmachen!