apache2 ssl tanusítványcsere

Web, mail, IRC, IM, hálózatok

Hogyan tudom az apache tudtára adni, hogy ne használja tovább a saját magam által kreált tanúsítványt, hanem az újat, a hitelesített szolgáltató által aláírtat?
Az új (szolgáltató által hitelesített) tanúsítványt (.pem, .key) betettem az /etc/ssl megfelelő mappáiba, apache-ot hozzáigazítva, újraindítva is csak a régi tanúsítványt hajlandó használni. Miért?

  • 2254 megtekintés

( koqsz | 2010. 06. 16., sze – 12:38 )

apache2 stop
apache2 start

restartra nem nyalja fel az új tanúsítványt!

Aztán böngésző cache ürités, vagy egy másik böngészőben nézed meg az oldalt!

( golgota | 2010. 06. 16., sze – 12:48 )

ls -al /etc/ssl
cat /etc/

< ahol a httpd.conf, vagy ssl.conf van >

akkor már látni fogjuk mi van mihez igazítva

ja és mindezt pastebin-re, ne ide

ls -al /etc/ssl:

drwxr-xr-x 2 root root 14336 jún 7 14.50 certs
-rw-r--r-- 1 root root 9374 2009 szept 12 openssl.cnf
drwx--x--- 2 root ssl-cert 1024 jún 7 14.48 private

certs-ben vannak a .pem-ek, private-ban a .key-ek. Ugyanazekkel az elérhetősséggel bemásoltam a hitelesített tanúsítványt.

A http.conf 0 byte. Helyette apache2.conf van default értékekkel (Debian Lenny). Az /etc/ssl/openssl.conf szintén default.

Gondolatébresztőnek nagyon hasznos volt a segítséged -- köszönöm:-)
Kiderült, hogy amíg egy simlink-kel nem "kapcsolom be" a default-ssl fájlt, addig nem hajlandó a globális ssl-beállításokat figyelembe venni és csak virtualhost-ra vonatkozó SSLCertificateFile stb. beállításokat használja.

Egy pfx-ből (ami működik) csináltak pem-et, azzal próbálkoztam.

Én is gyártottam ugyanebből a pfx-ből tanúsítványt (pem) és privát kulcsot (key).
Ugyan most sem működik (hibaüzenet, mint előbb), de az error.log beszédesebbnek tűnik.
Talán holnap tudok vele érdemben foglalkozni...

Tisztánlátás végett összefoglalom az utóbbi napok apache2-ssl történéseit...
pfx formátumú hitelesített ssl tanúsítványból (amit windowsos kollégáim megelégedéssel használnak) generáltam pem formátumú privát kulcsot és tanúsítványt.
Működik is a webszerveren (webszerver.blabla.hu), de virtualhost-on (virtualhost.blabla.hu) nem...

Hibaüzenet:
SSL received a record that exceeded the maximum permissible length.
(Error code: ssl_error_rx_record_too_long)

<VirtualHost 123.123.123.123:443>
ServerName virtualhost.blabla.hu
DocumentRoot /var/www/virtualhost_root
ServerAdmin admin@localhost
ErrorLog /var/log/apache2/virtualhost.blabla.hu.error.log
TransferLog /var/log/apache2/virtualhost.blabla.hu.access.log
</VirtualHost>

Mindkét esetben ugyanarról a (pem) tanúsítványról van szó. Miért hibás a virtualhost esetében?

Működik is a webszerveren (webszerver.blabla.hu), de virtualhost-on (virtualhost.blabla.hu) nem...

openssl x509 -text -in certfile.pem

ki fogja írni, hogy kinek a "nevére" szól a cert.
pl:
...
Subject: ..., CN=webszerver.blabla.hu
...

ebben az esetben ezt a certet csak a webszerver.blabla.hu domainnévhez tudod használni, mert bármi más virtualhostot (pl. virtualhost.blabla.hu) akarsz hozzá párosítani, az összes browser ugatni fog, hogy nem valid a cert.

Létezik "wildcard" cert, amiben pl. CN=*.blabla.hu szerepel, azt tudod használni a webszerver.blabla.hu és a virtualhost.blabla.hu domainnévhez egyaránt.

Ja, és nem tudom, hogy hová írtad be az SSL paramétereket, de általában a VirtualHost alá szokás, márpedig akkor minden SSL-hez szánt virtualhost alá kellene... és akkor a "nem kompatibilis" SSL certekre már maga az apache is pampogni fog.

Persze lehet globálisra is rakni az SSL paramétereket, de akkor meg minden porton és minden virtalhoston lesz SSL... ennek azért kevés értelme van.

Igazad van. Azt hiszem ez lett a megoldás, mert most működik.

Tehát minden nyavalyás virtualhost-on be kell kapcsolnia (ugyanazt) a SSLCertificate-et...
Azt még valahogy megértem (most már), külön kell mindegyikhez cert. Jó, legyen...
De mért kell még külön SSLengine On is, ami a default-ssl-ben eleve benne van és a
<VirtualHost 123.123.123.123:443> "örökli"???

Azt hiszem ez zavart össze-vissza engem...
Hálásan köszönöm a segítséget.

Csak a 443-as kapcsolatra gondoltam -- és abban benne is van.
Elküldök egy 443-as kérést. Az erre vonatkozó (default)beállításokat a default-ssl-ből szedi.
A többit és a módosításokat a virtulahost *:443-ból.
Nekem az "fáj", hogy miért kell itt is az sslengine on-t megismételni:-)

De lehet, csak ugye az SSL sajatossagai miatt az elso megtalalt ssl-es vhost konfigja lesz az iranyado.
Ha jol olvastam a TLS mar atvisz Host infot, hogy mar az ssl engine is tudja, hogy melyik vhostot keresse.

Persze ettol meg nem fogsz tudni egy ip-rol tobb vhostot lesslni, ha mas-mas certet akarsz, mert szimplan nem fog eljutni odaig.

'lekene sslje'
--
"SzAM-7 -es, tudjátok amivel a Mirage-okat szokták lelőni" - Robi.

Ha a SSL kapcsolatban nem jelzed, hogy melyik tanusítványt kéred akkor azonos IP és port mellett csak egyfajtát kaphatsz (jó eséllyel a defaultot). Ha tud a szervered SNI-t akkor mehet a móka több tanusítvánnyal is azonos porton, Ip-n is.

KAMI | 神
--
Támogatás | OxygenOffice | Fordításaim és SeaMonkey

Elküldök egy 443-as kérést. Az erre vonatkozó (default)beállításokat a default-ssl-ből szedi.
A többit és a módosításokat a virtulahost *:443-ból.

Valamit rosszul gondolsz!

Nincs ":443-as default beállítások halmaza" meg ":80-as default beállítások halmaza"!

Vannak globális kapcsolók, amiket _minden_ virtualhoston kívül mondasz, és az _minden_ virtualhostra igaz lesz. Porttól, protokolltól függetlenül. Ha ide raksz SSLEngine On-t, akkor _minden_ portodon SSL-t fog beszélni az apache-od.

Van a _default_:443-as virtualhost, ami egy tök mezei virtualhost, és azt csinálja, hogy azokra a kérésekre, amikre más virtualhost nem matchel, azokra ez lesz az érvényes. Azokra a kérésekre, amikre másik virtualhost matchel, azokra ezek a beállítások nem lesznek igazak. Ha egyetlen más virtualhostot sem konfigurálsz fel a 443-as portra, akkor a _default_:443-as fog matchelni minden 443-as portra érkező kérésre.

Világos. Ezért nem volt érvényes (_default_) "SSlEngine on" éppen a VirtualHost-on belül.

Egy VirtualHost-ra jól működik a 80-ról 443-ra átirányítás és az ssl hitelesített (wildcard, *.doain_neve.hu) tanusítvánnyal.
Többnél már gondok vannak -- a VirtualHost-tal és a tanúsítvánnyal is.
Tanúsítványnál "mindössze" a webhely azonosításánál "Webhely:" mező üresen marad (Lakat csúnya, piros felkiáltójellel).
A VirtualHost is elmegy, de az error.log-ban "nyoma van", tehát nem tökéletes.
Hibaüzenetre most már/még (0 óra 9 perckor) nem emlékszem:-)