HowTo SSL-Proxy

  • Thread starter Thread starter server4downs
  • Start date Start date
Hmm, ok.

habe eine Zeile vergessen in der httpd.conf auszukommentieren.

Wenn ich allerdings jetzt wieder "Include ......./sslproxy.conf" hineinschreibe bekomme ich jetzt folgenden Fehler:

Code: 
vs1139126:/ # /etc/init.d/apache2 restart
Syntax OK
Starting httpd2 (prefork) startproc:  exit status of parent of /usr/sbin/httpd2-prefork: 1
                                                                      failed
 
Tschuldigung.

hier die Error_Log:

Code: 
[Tue Oct 24 13:02:18 2006] [warn] Init: Session Cache is not configured [hint: SSLSessionCache]
[Tue Oct 24 13:02:18 2006] [notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec2)
[Tue Oct 24 13:02:19 2006] [warn] pid file /var/run/httpd2.pid overwritten -- Unclean shutdown of previous Apache run?
[Tue Oct 24 13:02:19 2006] [notice] Apache/2.0.53 (Linux/SUSE) configured -- resuming normal operations
[Tue Oct 24 13:24:09 2006] [notice] caught SIGTERM, shutting down
[Tue Oct 24 13:24:11 2006] [warn] Init: Session Cache is not configured [hint: SSLSessionCache]
[Tue Oct 24 13:24:11 2006] [notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec2)
[Tue Oct 24 13:24:12 2006] [notice] Apache/2.0.53 (Linux/SUSE) configured -- resuming normal operations
[Tue Oct 24 13:33:34 2006] [notice] caught SIGTERM, shutting down
[Tue Oct 24 13:33:35 2006] [error] Init: Unable to read server certificate from file /etc/apache2/ssl.crt/server.crt
[Tue Oct 24 13:33:35 2006] [error] SSL Library Error: 218542222 error:0D06B08E:asn1 encoding routines:ASN1_d2i_bio:not enough data
[Tue Oct 24 13:35:16 2006] [error] Init: Unable to read server certificate from file /etc/apache2/ssl.crt/server.crt
[Tue Oct 24 13:35:16 2006] [error] SSL Library Error: 218542222 error:0D06B08E:asn1 encoding routines:ASN1_d2i_bio:not enough data
[Tue Oct 24 13:35:57 2006] [warn] Init: Session Cache is not configured [hint: SSLSessionCache]
[Tue Oct 24 13:35:57 2006] [notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec2)
[Tue Oct 24 13:35:58 2006] [notice] Apache/2.0.53 (Linux/SUSE) configured -- resuming normal operations
[Tue Oct 24 13:42:25 2006] [notice] caught SIGTERM, shutting down
[Tue Oct 24 13:42:27 2006] [warn] Init: Session Cache is not configured [hint: SSLSessionCache]
[Tue Oct 24 13:42:27 2006] [notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec2)
[Tue Oct 24 13:42:30 2006] [notice] Apache/2.0.53 (Linux/SUSE) configured -- resuming normal operations
[Tue Oct 24 13:43:05 2006] [warn] child process 1412 still did not exit, sending a SIGTERM
[Tue Oct 24 13:43:05 2006] [notice] caught SIGTERM, shutting down
[Tue Oct 24 13:43:06 2006] [error] Init: Unable to read server certificate from file /etc/apache2/ssl.crt/server.crt
[Tue Oct 24 13:43:06 2006] [error] SSL Library Error: 218542222 error:0D06B08E:asn1 encoding routines:ASN1_d2i_bio:not enough data
[Tue Oct 24 13:49:43 2006] [error] Init: Unable to read server certificate from file /etc/apache2/ssl.crt/server.crt
[Tue Oct 24 13:49:43 2006] [error] SSL Library Error: 218542222 error:0D06B08E:asn1 encoding routines:ASN1_d2i_bio:not enough data
[Tue Oct 24 13:50:11 2006] [warn] Init: Session Cache is not configured [hint: SSLSessionCache]
[Tue Oct 24 13:50:11 2006] [notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec2)
[Tue Oct 24 13:50:13 2006] [notice] Apache/2.0.53 (Linux/SUSE) configured -- resuming normal operations
[Tue Oct 24 13:51:38 2006] [notice] caught SIGTERM, shutting down
[Tue Oct 24 13:51:40 2006] [warn] Init: Session Cache is not configured [hint: SSLSessionCache]
[Tue Oct 24 13:51:40 2006] [notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec2)
[Tue Oct 24 13:51:42 2006] [notice] Apache/2.0.53 (Linux/SUSE) configured -- resuming normal operations
[Tue Oct 24 15:32:27 2006] [error] [client 68.230.88.200] File does not exist: /srv/www/web1/html/robots.txt
[Tue Oct 24 17:01:43 2006] [error] [client 217.84.246.65] Directory index forbidden by rule: /srv/www/web1/html/
[Tue Oct 24 17:34:33 2006] [notice] caught SIGTERM, shutting down
[Tue Oct 24 17:34:33 2006] [error] Init: Unable to read server certificate from file /etc/apache2/ssl.crt/server.crt
[Tue Oct 24 17:34:33 2006] [error] SSL Library Error: 218542222 error:0D06B08E:asn1 encoding routines:ASN1_d2i_bio:not enough data
[Tue Oct 24 17:37:03 2006] [error] Init: Unable to read server certificate from file /etc/apache2/ssl.crt/server.crt
[Tue Oct 24 17:37:03 2006] [error] SSL Library Error: 218542222 error:0D06B08E:asn1 encoding routines:ASN1_d2i_bio:not enough data
[Tue Oct 24 20:24:09 2006] [error] Init: Unable to read server certificate from file /etc/apache2/ssl.crt/server.crt
[Tue Oct 24 20:24:09 2006] [error] SSL Library Error: 218542222 error:0D06B08E:asn1 encoding routines:ASN1_d2i_bio:not enough data
[Tue Oct 24 20:30:42 2006] [warn] Init: Session Cache is not configured [hint: SSLSessionCache]
[Tue Oct 24 20:30:42 2006] [notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec2)
[Tue Oct 24 20:30:43 2006] [notice] Apache/2.0.53 (Linux/SUSE) configured -- resuming normal operations
[Tue Oct 24 20:55:18 2006] [error] [client 217.84.246.65] File does not exist: /srv/www/web1/html/_vti_inf.html
[Tue Oct 24 20:55:18 2006] [error] [client 217.84.246.65] File does not exist: /srv/www/web1/html/_vti_bin
[Tue Oct 24 20:55:18 2006] [error] [client 217.84.246.65] no acceptable variant: /usr/share/apache2/error/HTTP_NOT_FOUND.html.var
[Tue Oct 24 20:55:18 2006] [error] [client 217.84.246.65] no acceptable variant: /usr/share/apache2/error/HTTP_METHOD_NOT_ALLOWED.html.var
[Tue Oct 24 20:58:17 2006] [error] [client 217.84.246.65] File does not exist: /srv/www/web1/html/_vti_inf.html
[Tue Oct 24 20:58:17 2006] [error] [client 217.84.246.65] File does not exist: /srv/www/web1/html/_vti_bin
[Tue Oct 24 20:58:17 2006] [error] [client 217.84.246.65] no acceptable variant: /usr/share/apache2/error/HTTP_NOT_FOUND.html.var
[Tue Oct 24 20:58:17 2006] [error] [client 217.84.246.65] no acceptable variant: /usr/share/apache2/error/HTTP_METHOD_NOT_ALLOWED.html.var
[Wed Oct 25 11:08:17 2006] [notice] caught SIGTERM, shutting down
[Wed Oct 25 11:12:35 2006] [warn] Init: Session Cache is not configured [hint: SSLSessionCache]
[Wed Oct 25 11:12:35 2006] [notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec2)
[Wed Oct 25 11:12:36 2006] [notice] Apache/2.0.53 (Linux/SUSE) configured -- resuming normal operations
[Wed Oct 25 11:13:04 2006] [notice] caught SIGTERM, shutting down
[Wed Oct 25 11:13:04 2006] [error] Init: Unable to read server certificate from file /etc/apache2/ssl.crt/server.crt
[Wed Oct 25 11:13:04 2006] [error] SSL Library Error: 218542222 error:0D06B08E:asn1 encoding routines:ASN1_d2i_bio:not enough data
[Wed Oct 25 11:14:23 2006] [error] Init: Unable to read server certificate from file /etc/apache2/ssl.crt/server.crt
[Wed Oct 25 11:14:23 2006] [error] SSL Library Error: 218542222 error:0D06B08E:asn1 encoding routines:ASN1_d2i_bio:not enough data
[Wed Oct 25 11:16:45 2006] [warn] Init: Session Cache is not configured [hint: SSLSessionCache]
[Wed Oct 25 11:16:45 2006] [notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec2)
[Wed Oct 25 11:16:45 2006] [notice] Apache/2.0.53 (Linux/SUSE) configured -- resuming normal operations
 
Ja, habe ich.

Eigentlich sollte ja noch etwas unter dem Log von mir stehen.
Hatte da geschrieben das es anscheinend an dem SSL liegt.

Aber so ganz komme ich da noch nicht heraus.

STimmt da was nicht mit der Server.crt? Nicht genug Daten oder wie?
 
Es ist jedenfalls nicht vollständig. Evtl. hast Du die Zeilen wie "-----BEGIN CERTIFICATE-----" (o.ä.) gelöscht?
Erstell doch einfach ein neues Zertifikat... :)

huschi.
 
Hallo,

nachdem ich's zum 2. Mal gelesen hatte bin ich auch auf den Drichter gekommen. Habe mir ein 2 Wochen Zertifikat erstellt und siehe da, der Apache startet damit.

Aber so ganz klappen tuts immer noch nicht.

Das hier ist jetzt aus der Error_Log:
Code: 
[Wed Oct 25 21:03:06 2006] [notice] caught SIGTERM, shutting down
[Wed Oct 25 21:03:09 2006] [error] Init: Private key not found
[Wed Oct 25 21:03:09 2006] [error] SSL Library Error: 218710120 error:0D094068:asn1 encoding routines:d2i_ASN1_SET:bad tag
[Wed Oct 25 21:03:09 2006] [error] SSL Library Error: 218529960 error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag
[Wed Oct 25 21:03:09 2006] [error] SSL Library Error: 218595386 error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error
[Wed Oct 25 21:03:09 2006] [error] SSL Library Error: 218734605 error:0D09A00D:asn1 encoding routines:d2i_PrivateKey:ASN1 lib
[Wed Oct 25 21:03:10 2006] [warn] Init: Session Cache is not configured [hint: SSLSessionCache]
[Wed Oct 25 21:03:10 2006] [notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec2)
[Wed Oct 25 21:03:11 2006] [notice] Apache/2.0.53 (Linux/SUSE) configured -- resuming normal operations
[Wed Oct 25 21:03:45 2006] [notice] caught SIGTERM, shutting down
[Wed Oct 25 21:03:47 2006] [warn] Init: Session Cache is not configured [hint: SSLSessionCache]
[Wed Oct 25 21:03:47 2006] [notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec2)
[Wed Oct 25 21:03:47 2006] [notice] Apache/2.0.53 (Linux/SUSE) configured -- resuming normal operations
 
Last edited by a moderator:
Hi,

das Problem hab ich gelöst. War nicht schnell genug um den Private Key beim restart des Apachen einzugeben.

Habe nun nur noch das Problem, wenn ich ein https://.... mache, bekomme ich "Die Webseite kann nicht angezeigt werden" angezeigt.
 
Ich hoffe ich nerve hier nicht.

Komme aber Schritt für Schritt weiter.

Habe jetzt in einem anderen Forum folgendes gefunden.
In der /etc/sysconfig/apache2 flogendes eintragen:

Code: 
<- APACHE_SERVER_FLAGS="" 
-> APACHE_SERVER_FLAGS="-D SSL"
Musste eigentlich nur das -D SSL eintragen und den Apache neu starten.

Jetzt steht noch in meiner Error_Log folgendes:
Code: 
[Thu Oct 26 14:11:46 2006] [error] [client 217.84.219.225] error parsing URL //: Invalid host/port



EDIT:

Weiß nicht was ich verändert habe, allerdings kann ich jetzt mal die gewünschte Domain mit https://www.meinedomain.com
aufrufen.
Nur Confixx will nicht so ganz.
 
Hi!

Ich habe mal ein wenig mit den RewriteRules rumgespielt, und wollte euch meine sslproxy.conf zur Verfügung stellen.

Mit dieser Konfiguration ist es möglich https für jede installierte Domain zu nutzen. Die sshdomains Datei wird nicht benötigt.
Beispiele:
https://www.domain.de wird weitergeleitet nach https://ssl.domain.de/www.domain.de/

https://www.domain.de/index.html wird weitergeleitet nach https://ssl.domain.de/www.domain.de/index.html

Die Weiterleitung funktioniert prima auch für Shops, dort sollte man aber besser direkt https://ssl.domain.de/www.domain.de als https Ziel eingeben, um eine Browser-Meldung wegen des falschen Zertifikates zu umgehen, da das bestehende Zertifikat nur für https://ssl.domain.de gültig ist, aber der erste Request auf https://www.domain.de geht.

Code: 
#################
# Lokaler SSL-Proxy, welcher https://domain zu http://domain umleitet
#################
RewriteLock     /var/lock/rewrite.lock

<VirtualHost 999.888.777.666:443>
  DocumentRoot "/home/www/web1/html/sslproxy"
  ServerName ssl.domain.de
  SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
  SSLCertificateFile /etc/httpd/ssl.crt/server.crt
  SSLCertificateKeyFile /etc/httpd/ssl.key/server.key
  SSLEngine on
  # Rewrite-Engine einschalten fuer Umschreiben der URL
  RewriteEngine   on
  # Logging ausschalten mit folgenden Zeilen:
  #RewriteLog     /dev/null
  #RewriteLog     0
  RewriteLog      /var/log/httpd/sslproxy.log
  RewriteLogLevel 1
  RewriteMap      lowercase       int:tolower
  RewriteRule     ^/icons/(.+)  -                               [L]
  # Fuer MS Internet Explorer ab Version 6
  RewriteRule     ^/w3c/(.+)      -                               [L]
  # Kundendomain in Kleinbuchstaben umwandeln (fuer Datenbank-Lookup)
  RewriteRule     ^/([^/]+)/(.*)  /${lowercase:$1}/$2             [S=1]
  RewriteRule     ^/(.*)          /${lowercase:$1}
  # Wenn der Host noch nicht mit ssl.domain.de übereinstimmt dann leite weiter
  RewriteCond %{HTTP_HOST}                !^ssl.domain.de$
  RewriteRule     ^/(.*)                  https://ssl.domain.de/%{HTTP_HOST}/$1    [R]
  # Per Proxy Verbindung zu http://kundendomain/... aufbauen.
  RewriteRule     ^/(.*)                  http://$1               [P,L]

</VirtualHost>


Gruß

Marco
 
Verständnisfrage zu einer RewriteRule

Hallo Liste,

das Beispiel funktioniert bei mir, aber bei dem Versuch zu verstehen warum, scheitere ich an einem Verständnisproblem. Vielleicht kann mir jemand sagen, wo mein Denkfehler ist.

Folgende Regel
Code: 
RewriteRule     ^/([^/]+)/(.*)
interpretiere ich folgendermaßen:
Wenn ich ssl.domain.de/meinssl hineingebe, dann steht in $1 ssl.domain.de und in $2 meinssl.

In der folgenden Ersetzung
Code: 
/${domaindb:$1}/$2
wird dann in der Map nach dem Schlüssel $1=ssl.domain.de gesucht. Ich brauche aber den Wert meinssl und der steht doch in $2.

Kann mir das jemand erklären? Schon mal vielen Dank.
 
Hi Leute,
und zwar versuch is schon seit Tagen meinen Apache so hinzubekommen, dass ich eine SSL-Verschlüsselung hinbekomme. Nur irgendwie will der einfach nicht so wie ich will und nach stundenlanger Sucherei mal meine Frage:

Wenn ich den Apachen starten will bekomm ich in der Log-Datei folgende Meldung:

[Fri Mar 23 21:56:43 2007] [error] Init: Unable to read server certificate from file /etc/apache2/schluessel/server.crt
[Fri Mar 23 21:56:43 2007] [error] SSL Library Error: 218529960 error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag
[Fri Mar 23 21:56:43 2007] [error] SSL Library Error: 218595386 error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error


Ich hab das Zertifikat nach der Anleitung auf http://chemnitzer.linux-tage.de/2002/vortraege/material/Apache_vhosts_ssl.pdf erstellt und auch schon wie hier beschrieben die Dauer der Zertifikatsgültigkeit verändert usw. Habe auch ganz brav meine Module geladen nur er will einfach nicht.

Vielleicht liegt die Antwort vor meiner Nase aber ich finde sie leider trotzdem nicht. Bitte um Hilfe!!!

mfg
Xylon
 
Hi,

ich habe das Problem, dass ich wohl die URL

https://ssl.meinproxy.tld/subdomain.meinehp.tld/index.html aufrufen kann, aber nicht https://ssl.meinproxy.tld/subdomain.meinehp.tld/mail.cgi.

Hier kommt dann immer ein 404 Fehler.
Das Logfile vom SSL-Proxy zeigt mir jedoch an, dass die Umleitung mit OK gestartet wurde. Das Apache-Logfile der umzuleitenden Seite zeigt mir aber keine Anfrage an...

Wo kann hierbei der Fehler liegen.

Die index.html und die mail.cgi liegen im gleichen Verzeichnis, aber nur die html kann ich aufrufen...

Gruß
Stephan
 
Ist dieses Howto nur für Rootserver mit Confixx?

Hallo zusammen,

richtet sich dieses Howto nur an Server die mit Confixx laufen? In einem Beitrag hatte ein User berichtet, er hätte Probleme beim Einrichten des SSL Proxy unter Plesk. Ich habe auch einen Rootserver mit Plesk und habe auch schon davon gehört, dass dort der SSL Proxy nicht läuft. Ist da was dran?

Hatte früher ein Rootserver mit Suse 9.1 und Confixx bei 1und1. Dort lief der SSL Proxy einwandfrei. Auf meinem neuen Server (auch von 1und1) mit Plesk habe ich es allerdings noch nicht probiert. Deshalb meine Frage.

Danke im voraus...

Daniel
 
Hallo zusammen,

um ehrlich zu sein verstehe ich folgenden Part nicht:

server4downs said:
Code: 
#Pfad     ->     Domain

meinedomain.de    www.meinedomain.de

anderedomain.de   www.anderedomain.de

meinssl           www.meinessldomain.de
Diese Konfiguration baut eine sichere Verbindung zum Browser auf (HTTPS) und leitet alle Anfragen über das normale HTTP-Protokol an den Root-Server weiter. Da dieser sich auf dem gleichen Rechner befindet, werden die Daten nicht unverschlüsselt über das Internet übertragen.

Ein kleines Beispiel:
https://ssl.domain.de/meinssl/

baut eine verschlüsselte Verbindung zwischen dem Root-Server und Ihrem Rechner auf und leitet dann die Anfrage an

http://www.meinessldomain.de

weiter.
Click to expand...

Also ich habe alles eingerichtet, aber irgendwie funktioniert der SSL-Proxy nicht.

Was machte ich falsch? Was muss im Detail einrichten, damit es funktioniert.

Meine ssldomains sieht jetzt so aus:

#Pfad -> Domain
/var/www/web1/html test.meinedomain.de

In /var/www.... liegen die Server-Dateien und ich möchte mit ssl.meinedomain.de/test.meinedomain.de aufrufen!

Ich hoffe, ich habe mich halbwegs verständlich ausgedrückt.

Gruß

*ich*
 
Hallo,

ich habe den SSL Proxy installiert und er läuft auch.
Allerdings erhalte ich in der error_log folgende Fehlermeldung und kann sie nicht lokalisieren:

Code: 
[Sat Dec 01 15:14:24 2007] [error] [client 127.0.0.1] error parsing URL //: Invalid host/port

Interessant ist dabei, dass der Aufruf von 127.0.0.1 kommt, aber da kann eigentlich nichts sein.

In der ssllog.log steht folgendes:

Code: 
127.0.0.1 - - [01/Dec/2007:15:15:47 +0100] [ssl.[i]domaint[/i].de/sid#80ed7388][rid#81105ce0/initial/redir#1] (1) go-ahead with proxy request proxy:http:///error/HTTP_BAD_REQUEST.html.var [OK]

Hat jemand eine Idee ???

Danke
Gruß
 
Hallo,

ich habe mir diesen Thread mal durchgelesen in der Hoffnung hier eine Lösung für mein Problem zu finden. Im Prinzip will ein ssl proxy, aber offenbar in einer etwas anderen Form. Squid führt mich leider nicht zum Ziel.
Meine gesuchte Lösung sollte folgendes können. Ein Client konnectiert sich zu einem proxy und benutzt dabei eine ssl Verbindung. Es findet eine Authentisierung statt gegen ein active Directory. Sofern diese Authentisierung erfolgreich war, sollte der Client alle Webseiten ansufen können und dabei die IP Adresse des proxys benutzen. Das ganze über eine proxy.pac gesteuert.
Dieser Auth Kram gegen das ADS ist kein Problem.
Ich möchte also lokal keinerlei erlaubte Domains pflegen müssen. Die ssl Verbindung zwischen Client und Proxy ist auch nur für die Authentisierung nötig.
Mit squid läßt sich das offenbar nicht bauen, da das http/1.1 offenbar eine ssl Proxies definiert. Ohne ssl ist das alles ganz einafch.

Hat vielleicht jemand eine Idee, wie man an dieses Problem sinnvoll herangehen kann?

Danke
 
You must log in or register to reply here.
Back
Top