SSL für Anfänger?

[willow]

Moin,

es gibt ja diesen einen Beitrag über SSL und Apache. Ich habe den gelesen, aber nicht richtig was verstanden.
Wie legt man einen Virtualhost an, wie macht man sich ein Zertifikat und wie konfigikgutiert man den mit SSL?

Naja ihr seht ich bin auf diesem Gebiet noch nicht ganz bewandert.
Hoffe aif baldige Hilfe!

Willow

 

[Thorsten]

Moin,moin!
Apache und virtuelle Hosts http://httpd.apache.org/docs/vhosts/index.html

Einführung Apache/SSL http://www.linux-magazin.de/Artikel/ausgabe/2000/08/Apache/Apache-SSL.html

Wobei beides Themen sind die nicht ganz ohne sind.Also Apache/SSL ist nicht mal eben konfiguriert.

mfG
Thorsten

 

[willow]

Moin,

dass das nicht ganz einfach ist, ist mir schon klar. Ich werde da schon ein bisschen oder mehr Zeit investieren.

Danke für die schnelle Antwort.

Willow

 

[Laury]

Nachdem ich nun parallel zum Confixx auch mal Webmin am laufen habe...

Webmin kann ich nun nach der Installation von SSLeay via https aufrufen.

Es ist also dieses Testzertifikat vorhanden.

Gibt es nicht einen simplen Weg nun auch Confixx via https aufzurufen?

Also nach dem Muster:

https://123456.vserver.de

In der "confixx_main.conf" gibt es ja in der Sektion "apache" einige Einträge zu SSL und auch unter # bins eine Zeile zu openssl

Meine Idee ist es, User in ihre Confixx-Accountverwaltung per https zu leiten.

 

[Laury]

Nu beantworte ich mir das mal selbst....

am Ende der httpd.conf vom Apache steht Confixx als Virtueller Host eingetragen.

So sieht das momentan nach meiner Änderung aus:

# Confixx SSL- Connect
<VirtualHost xx.xx.xxx.xx:443>
ServerName ssl.123456.vserver.de
ServerAlias ssl.123456.vserver.de
#User confixx
#Group confixxgroup
DocumentRoot /var/www/confixx/html
DirectoryIndex index.html index.htm index.shtml index.php index.cgi
php_admin_value safe_mode_exec_dir /var/www/confixx/bin
php_admin_value upload_tmp_dir /var/www/confixx/tmp
ScriptAlias /cgi-bin/ /var/www/confixx/html/cgi-bin/
CustomLog /var/log/httpd/123456.vserver.de_access.log "%h %l %u %t \"%r\" %s %b \"%{Referer}i\" \"%{User-agent}i\""
ErrorLog /var/log/httpd/confixx/123456.vserver.de_error
SSLEngine on
SSLCertificateFile /etc/httpd/conf/ssl.crt/server.crt
SSLCertificateKeyFile /etc/httpd/conf/ssl.key/server.key
SSLVerifyClient none
<Location />
SSLRequireSSL
</Location>
</VirtualHost>
Include /etc/httpd/conf/confixx_vhost.conf
ServerTokens OS
# ^- It is imperative that this entry remain at the end of the file
## /CONFIXX

In der Zeile <VirtualHost xx.xx.xxx.xx:443> werden die xx durch die IP des Servers ersetzt und 123456 durch die eigene vserver-Nr.

Wohl gemerkt:
Hierbei handelt es sich NICHT um ein Zertifakt von z.B. Verisign.

Die Confixx-URL lautet dann:

https://123456.vserver.de

Jetzt brauch ich nur noch eine automatische Weiterleitung von http://123456.vserver.de nach https://123456.vserver.de

 

[Laury]

ein wenig Alleinunterhaltung
Was soll`s, vielleicht nutzt es ja irgendwem

Also: Weiterleitung schon in der httpd.conf eingetragen.

VOR den in meinem obigen Zitat geschriebenen Salat habe ich nun:

<VirtualHost xx.xx.xxx.xx:80>
DocumentRoot /var/www/confixx/html
ServerName 123456.vserver.de
ServerName 123456.vserver.de
Redirect permanent / https://sub.meinedomain.tld
</VirtualHost>

Habe mir inzwischen eine Sub angelegt, die nun per https zum Confixx führt.

Apache neu gestartet und fertig.

 

[Huschi]

Einfach nur um es mal zu erwähnen:

Lehrreiche Alleinunterhaltung!
(Ist ja schon fast ein Tutorial)

huschi the husch

 

[cretter]

Hallo Leute,

ich habe auch vor einen SSL-Bereich auf meinem VSERVER einzurichten.
Könnt ihr mir das ganze vielleicht nochmal etwas ausführlicher erklären. Ich blicks anhand des bisherigen Threads nicht

Okay:
Ich habe eine Domain www.domain.de die auf ein Unterverzeichnis verlinkt.
Jetzt möchte ich gerne http://ssl.domain.de haben die dann auf ein anderes unterverzeichnis verlinkt jedoch https verwendet. Die Verlinkung habe ich bereits in Confixx eingestellt, aber das mit dem SSL blick ich nicht

Danke schon im Voraus für Eure Hilfe

 

[Huschi]

Die Verlinkung habe ich bereits in Confixx eingestellt, aber das mit dem SSL blick ich nicht

Hast Du die Subdomain mit Confixx erstellt? Dann wird es nicht klappen.
Denn für die Umstellung auf SSL mußt Du eine eigene VirtualHost-Direction angeben (denn SSLEngine ist nur dort erlaubt). Und die würde Dir von Confixx jedesmal überschrieben.

Vorgehensweise:
a) In /etc/http/conf/confixx_vhost.conf die VirtualHost der Subdomain lokalisieren und kopieren.
b) In Confixx alle vorkommen dieser Subdomain löschen.
c) in /etc/httpd/conf/httpd.conf die kopierte VirtualHost am Ende einfügen und die o.g. Erweiterung für SSL einfügen.

(evtl. heißt bei Dir das richtige Verzeichnis /etc/apache/conf/)

huschi.

 

[cretter]

hallo

Sorry, ich blicks immer noch net ganz

So sieht der untere Teil meiner httpd.conf jetzt aus, nachdem ich den einen Eintrag hinzugefügt habe.

## CONFIXX
<Directory "/var/www/confixx/html">
AllowOverride all
</Directory>
NameVirtualHost 61.72.251.147:80
<VirtualHost 61.72.251.147:80>
ServerName 311144.vserver.de
#User confixx
#Group users
DocumentRoot /var/www/confixx/html
php_admin_value safe_mode Off
php_admin_value safe_mode_exec_dir /var/www/confixx/bin
php_admin_value upload_tmp_dir /var/www/confixx/tmp
php_admin_value open_basedir none
ScriptAlias /cgi-bin/ /var/www/confixx/html/cgi-bin/
CustomLog /var/log/httpd/311144.vserver.de_access.log "%h %l %u %t \"%r\" %s %b \"%{Referer}i\" \"%{User-agent}i\""
ErrorLog /var/log/httpd/311144.vserver.de_error.log
</VirtualHost>
<VirtualHost 61.72.251.147:80>
ServerName ssl.domain.de
DocumentRoot /var/www/web1/html/ssl-unterverzeichnis
SuexecUserGroup web1 ftponly
ScriptAlias /cgi-bin/ /var/www/web1/html/cgi-bin/
php_admin_value open_basedir /var/www/web1/:/var/www/html/phpmyadmin/:/var/www/confixx/html/gesperrt/
php_admin_value upload_tmp_dir /var/www/web1/phptmp/
php_admin_flag safe_mode Off
</VirtualHost>
Include /etc/httpd/conf/confixx_vhost.conf
# ^- Dieser Eintrag sollte unbedingt am Ende der Datei bleiben
## /CONFIXX
php_value short_open_tag 1
php_value register_globals 1

Was muß ich abändern, damit

1. mein verzeichnis ssl-unterverzeichnis mit https unter https://ssl.domain.de aufrufbar wird

2. alles was mit confixx zu tun hat, auch über https läuft.

DANKE

 

[Huschi]

Einfach den SSL-Teil von oben einfügen und den richtigen Port (im <VirtualHost IPort>) wählen:

<VirtualHost 61.72.251.147:443>
ServerName ssl.domain.de
DocumentRoot /var/www/web1/html/ssl-unterverzeichnis
SuexecUserGroup web1 ftponly
ScriptAlias /cgi-bin/ /var/www/web1/html/cgi-bin/
php_admin_value open_basedir /var/www/web1/:/var/www/html/phpmyadmin/:/var/www/confixx/html/gesperrt/
php_admin_value upload_tmp_dir /var/www/web1/phptmp/
php_admin_flag safe_mode Off

SSLEngine on
SSLCertificateFile /etc/httpd/conf/ssl.crt/server.crt
SSLCertificateKeyFile /etc/httpd/conf/ssl.key/server.key
</VirtualHost>

Danach apache neustarten ('/etc/init.d/httpd reload' oder '/etc/init.d/apache reload', je nach Apache-Version) und testen.

Wenn Du lustig bist, kannst Du das selbe auch einfach mit der confixx-Domain machen. Kann aber auch schief gehen, da das SSL-Protokoll IP-basiert und nicht Domain-basiert ist.

huschi.

 

[cretter]

das mit dem apache neu starten klappt beides nicht

 

[cretter]

Jetzt hab ich mal

"httpd -k restart"

ausprobiert. Unter https://ssl.domain.de kommt jetzt ein 404
Ich hab aber auf dem Zielverzeichnis ein htaccess....Stört das bei einer SSL-Verbindung?

 

[Huschi]

Ich hab aber auf dem Zielverzeichnis ein htaccess....Stört das bei einer SSL-Verbindung?

Kommt drauf an was drin steht.
Interessanter sind jetzt die Meldungen nach dem reload in /var/log/httpd/error_log

Und such das /etc/init.d/-Verzeichnis nach einem passenden apache/httpd Eintrag ab, den Du nutzen kannst. Denn nur mit httpd kommst Du nicht weit.

huschi.

 

[cretter]

Hier der Auszug aus dem Log

piped log program '/root/confixx/pipelog.pl' failed unexpectedly
[Fri Apr 16 23:53:25 2004] [notice] SIGHUP received. Attempting to restart
[Fri Apr 16 23:53:25 2004] [warn] NameVirtualHost 61.72.231.157:80 has no VirtualHosts
[Fri Apr 16 23:53:25 2004] [notice] Digest: generating secret for digest authentication ...
[Fri Apr 16 23:53:25 2004] [notice] Digest: done
[Fri Apr 16 23:53:25 2004] [notice] LDAP: Built with OpenLDAP LDAP SDK
[Fri Apr 16 23:53:25 2004] [notice] LDAP: SSL support unavailable
[Fri Apr 16 23:53:27 2004] [notice] Apache/2.0.48 (RedHat 9/Server4You) configured -- resuming normal operations

 

[Huschi]

Das Logfile sieht gut aus.
Und wo ist der Eintrag der durch den 404 erzeugt wurde?
Such den, denn dort steht wahrscheinlich die Antwort.

Gute Nacht.

huschi.

 

[cretter]

Ich such morgen früh weiter!

Danke dir und bis morgen (ich dek mal, dass ich bestimmt noch ein paar fragen hab)

Gute Nacht

 

[cretter]

Guten Morgen

Ich war wohl gestern abend schon zu müde:

wenn ich https://ssl.domain.de eingebe kommt kein 404, sondern Fehler: Server oder DNS kann nicht gefunden werden

kein Wunder das im Log nix von nem 404 stand.

Also findet er unter der URL gar kein Ziel?

 

[Huschi]

Also findet er unter der URL gar kein Ziel?

Dann schau mal, wo der Fehler liegt. Ist er z.B. als http://ssl.domain.de erreichbar (also nicht als https)?
Hast Du einen eignen DNS-Server laufen?
Wann war die letzte Änderung der Domain?

PS: An dieser Stelle wäre es leichter, wenn Du Deine Domain posten würdest. Aber wenn Du das nicht willst, respektiere ich das. Dann wird es nur ein längeres Frage-&-Antwort-Spiel.

huschi.

 

[cretter]

Domain posten geht leider nicht......Das ist ne länger Geschichte.... Noch muß das ganze geheim bleiben. ich erzähl dir später warum.

Also unter http://ssl.domain.de komme ich nur auf die confixx einlogg seite.

Einen eigenen DNS Server hab ich nicht am Laufen....Obwohl... *grübel* ich hab nen Windows 2000 Server im netzwerk. Aber alle anderen Seiten mit https laufen auch ohne Probleme. Von daher denke ich nicht, dass es damit was zu tun hat.

Was meinst du mit letzte Änderung der Domain?

Gruß,
Carsten