SSL mittels mod_gnutls

[Lord_Icon]

Hi,

ich habe u.a. ein OpenSuse 10.3 / 64 Bit System.

Installiert sind:
* gnutls
* libgnutls26

Zur Verfügung habe ich dann noch:
* gnutls-debuginfo
* gnutls-debugsource
* libgnutls-devel
* libgnutls-extra-devel
* libgnutls-extra26
* libgnutls26-32bit

Diese sind aber noch nicht Installiert (denke mal, das ich diese nicht benötige)

Mittels a2enmod gnutls habe ich gnutls auch in die Apache-module eingebunden.

Die vhost ist erstmal auf dem minimalsten Stand:

<VirtualHost 123.123.123.123:443>

 GnuTLSEnable on
 GnuTLSPriorities NORMAL
 GnuTLSCertificateFile /srv/www/htdocs/ks0121/ssl-zertifikat/<domain>.crt
 GnuTLSKeyFile /srv/www/htdocs/ks0121/ssl-zertifikat/<domain>.key

 ServerName <domain>.de
 ServerAlias www.<domain>.de

 DocumentRoot "/srv/www/htdocs/ks0121/html"

</VirtualHost>

Danach ein apache reload:

Module "gnutls" is not installed, ignoring.
Check the APACHE_MODULES setting in /etc/sysconfig/apache2.
Reload httpd2 (graceful restart)

Syntax error on line 54 of /root/vhost/ssl/<domain>.xconf:
Invalid command 'GnuTLSEnable', perhaps misspelled or defined by a module not included in the server configuration

Das Modul ist aber eingebunden:

APACHE_MODULES="actions alias auth_basic authn_file authz_host authz_groupfile authz_default authz_user authn_dbm autoindex cgi dir env expires include log_config mime negotiation setenvif ssl suexec userdir
 php5 rewrite vhost_alias mod_status gnutls"

Nun frage ich mich, was hier gerade wo falsch laufen mag.

Hat einer eine Idee ?

 

[fuchzga]

SuSE war noch nie meins.
Aber aus anderen Derivaten kenn ich es so, dass man auch ein Modul für Apache2 installieren muss.
Gibts sowas wie ein "apache2-mod_gnutls" unter OpenSuSE 10.3 ?

 

[Lord_Icon]

Nein. Anscheinend erst ab Suse 11.1.
Aber ein Update nur wegen dieser einer Abhängigkeit würde ich nun nicht machen wollen.

Alle Updates sind bereits installiert. Apache2 ist also weitesgehend auf den aktuellen Stand. (2.2.10)

Aber ich schau mal, ob ich es nicht doch reinbekomme.

 

[Lord_Icon]

Edit:
Ich seh grad die Unterstützten Browser:

    * Opera 8.0+
    * Firefox 2+
    * Internet Explorer 7+
    * Safari 3.2.1+

Kenn jm. eine Seite, die auf gnutls aufbaut ?

Würde mal gern wissen, was passiert, wenn ich diese mit einer 6er IE Version aufrufe.

 

[Mr.AndersoN]

https://sni.velox.ch/

 

[Lord_Icon]

ahh,... Danke.

Leider schlägt dann das Zertifikat komplett fehl.
Sprich: IE meldet ein Problem mit dem Zertifikat. Diese Fehlermeldung sieht genau so aus, als wenn man sich das Zert. selbst signiert hat.

Danke... somit hat sich das rumbasteln erledigt.

 

[Joe User]

Nein. Anscheinend erst ab Suse 11.1.
Aber ein Update nur wegen dieser einer Abhängigkeit würde ich nun nicht machen wollen.

http://en.opensuse.org/Lifetime !!!

 

[daemotron]

Gibt es denn einen Grund, GnuTLS anstelle von OpenSSL zu nutzen (abgesehen von religiösem Lizenz-Eifer)? Technisch gesehen wäre es nämlich unsinnig...

 

[Lord_Icon]

Joar. Denn gnutls kann namesbasierte Vhost.

Sprich: Mehrere SSL-Zert. pro IP.

Soweit mir bekannt, kann das openSSL nicht

 

[fuchzga]

Du meinst mod_ssl kann dies nicht?

http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslstrictsnivhostcheck

Available in Apache 2.2.12 and later

This option is only available if httpd was compiled against an SNI capable version of OpenSSL.

 

[Lord_Icon]

ahja... hab ich dann ol bei der Rechersche übersehen.

Leider bleibt das Problem, das WinXP + Vista User eine angeblich unsichere Seite betreten haben. Ich finde abschreckender als garkein Zertifikat einzusetzen.

    * Mozilla Firefox 2.0 or later
    * Opera 8.0 or later (with TLS 1.1 enabled)
    * Internet Explorer 7.0 or later (on Vista, not XP)
    * Google Chrome
    * Safari 3.2.1 on Mac OS X 10.5.6

Leider sind für OpenSSL die mindestes Voraussetzung leicht höher.
Apache 2.2.12 (ich hab bis dato nur: 2.2.10... wobei das aber das kleinere Problem darstellt)