Probleme bei Umstellung auf SSL (Apache64 / WIN2008)

1st Official Post

    Moin...


    ... da hier doch einige Sachkundige unterwegs sind, frage ich erst mal hier...


    Ich habe mir für drei Domänen ein Wildcard- Zert beschafft (SSLforFree). Die drei Dateien habe ich wie auch in deren Beispiel umbenannt (damit ich sie zuordnen kann) und in die vHosts.conf eingebaut; das Modul in Apache ist natürlich geladen.


    Aber egal was ich mache, ich bekomme den Häuptling nach Aktivierung nicht mehr auf die Beine. Das LOG kommt immer mit der folgenden Fehlermeldung um die Ecke:

    Code
    SSLCertificateKeyFile takes one argument, SSL Server Private Key file ('/path/to/file' - PEM or DER encoded)

    Ich habe den Key auch schon nach DER konvertiert, aber das hilft auch nicht... Identische Fehlermeldung. Auch die Suche im Netz hat mir an keiner Stelle ein brauchbares Ergebnis gebracht, schon gar nicht in Bezug auf das angeblich fehlende Argument.

    Hier mal der Ausschnitt aus der vHosts mit Markierung der zickenden Zeile:

    Code
          SSLEngine on
      SSLCompression off
->    SSLCertificateKeyFile C:/.../.../meissendorf.der
      SSLCertificateFile C:/.../.../meissendorf.crt
      SSLCertificateChainFile C:/.../.../meissendorf.ca-bundle.crt

    Kann mir da wer weiterhelfen? Mir sind die Optionen ausgegangen :cursing:

    ... DLzG ...
    Micha

    Die Fehlermeldung besagt dass nach SSLCertificateKeyFile nichts mehr kommt, müsste also ein Problem mit dem Pfad sein. Versuche es mal indem du den Pfad in Anführungszeichen schreibst.

    Edited once, last by scy ().

    ... au menno :rolleyes: Hab ich mal wieder einen gesunden Schlaf gehabt, wa? :saint: Hast vollkommen recht! Zumindest startet der Server nun ohne Fehlermeldungen.


    Allerdings stoße ich sofort auf ein neues Problem:

    Rufe ich die Seite nun mit https auf, erhalte ich sogleich eine Warnung ...

    Code
    meissendorf.de verwendet ein ungültiges Sicherheitszertifikat. Das Zertifikat gilt nur für folgende Namen: 
*.heidebluetenfest-meissendorf.de, *.meissendorf.de, *.xn--heidebltenfest-meiendorf-n7b65e.de 
Fehlercode: SSL_ERROR_BAD_CERT_DOMAIN

    Ich war der Meinung, eine Wildcard gilt für die Domäne so wie für alle Unterdomänen?!? Dem scheint aber nicht so zu sein:huh:

    Hätte ich für das Zert jetzt explizit auch noch für jede Domäne die Domäne selbst ohne WildCard anfordern müssen?

    ... DLzG ...
    Micha

    Das Zertifikat ist gültig, es wird jedoch unsicherer Content geladen. Lade mal das Stillogo nochmal hoch, dann sollte die Fehlermeldung verschwinden.


    Code
    Mixed Content: The page at 'https://meissendorf.de/forum/' was loaded over HTTPS, but requested an insecure image 'http://meissendorf.de/images/styleLogo-d51fee9c82dcd117d80707db3dc033a55597b7d1.png'. This content should also be served over HTTPS.


Mixed Content: The page at 'https://meissendorf.de/forum/' was loaded over HTTPS, but requested an insecure image 'http://meissendorf.de/images/styleLogo-mobile-7f9d425b9425643441a3603f40fb5e9803b5f6f3.png'. This content should also be served over HTTPS.

    ... nene, zwischenzeitlich hatte ich mir ein neues Cert generieren lassen, was ausschließlich die Domäne und nicht WIldCard enthält; das mit dem Logo ist allerdings ein guter Hinweis; ändere ich direkt in der DB auf https; geht schneller.


    Frage ist eher, wie ich die Basis- Domänen und die WildCard- Domänen in ein Cert bekomme. Denn das eine WildCard die Basis- Domäne nicht beinhaltet, habe ich inzwischen validiert und als Lernerfolg aka "try & error" verbucht.

    Leider bietet der gewählte Anbieter (SSLforFree) nur die Option, fünf Namen einzutragen. Da ich aber derzeit sechs benötige (drei WildCard, drei Base), haut das so nicht hin. Zudem kommt vermutlich noch eine weitere Umlaut-Domäne hinzu, womit ich dann bei acht EInträgen wäre... Da beißt sich die Katze in'n Schwanz, wenn man als Gemeinnütziger kein Geld für Cert's rausfeuern kann...

    ... DLzG ...
    Micha

    • Official Post

    Hallo,


    alle modernen Betriebssysteme und Webbrowser haben Unterstützung für SNI. Wie das auf Seiten des Apache unter Windows 2008 aussieht kann ich nicht sagen. Erstelle ein Zertifikat pro (Sub)domain und lasse lasse den Server das passende ausliefern. Verbessert auch die Privatsphäre, weil nicht direkt ersichtlich ist, welche Domains auf dem Server liegen.

    ... mit SNI (was'n dat?) habe ich noch nie zu tun gehabt; zumindest kann ich es nicht zuordnen. Ansonsten ist der Apache unter WIN (fast) identisch zu konfigurieren wie unter Linux.

    Was die Domänen betrifft: DIe dürfen oder sollen sogar zusammen gesehen werden, da sie alle auf meissendorf.de verweisen. Früher hat halt jeder der meinte eine Domäne registriert und dann mit DIngen wie 1&1 WebPack u.ä. Kram versucht, was auf die Beine zu stellen :D Also natürlich gewachsen... Und nun sollen die Vereine zwar ihre eigenen HP's haben, aber unter dem Dach der Dorfgemeinschaft ein gemeinsames Zuhause finden ...

    ... DLzG ...
    Micha

    ... ach so ... Wie vermutet mache ich das ja quasi schon lange so, da auf einer IP mehrerere vHost's laufen, die z.T. nichts miteinander zu tun haben. Es geht hier also lediglich um die Erweiterung der Konfiguration in Bezug auf die Zuordnung der Cert's zum Namen, was ich bisher natürlich noch nicht angefasst habe.

    Ich gehe mal davon aus, das der Apache das kann. Muss ich also nur noch mal eine Doku dazu für den Apache auftreiben und dann schauen wir mal...

    ... DLzG ...
    Micha

    Nachtrag:

    Ich habe jetzt einen anderen FreeSSL- Anbieter gefunden, der natürlich ebenso auf LetsCrypt zugreift. Aber der erlaubt auch den Eintrag von mehr als 5 Domänen resp. Wildecards und bietet zudem noch ein paar weitere Hilfen.

    Damit habe ich jetzt für alle Domänen und WildCards in einem Cert und alles ist gut...

    ... DLzG ...
    Micha

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login