Guten Morgen,
ich wende mich heute mit einem Problem an Euch, das den SSL Zugriff auf mein Mail-Server-Frontend 'Squirrelmail' betrifft.

Ich betreibe einen auf SuSE 9.2 Pro basierenden Server, der die Mailzustellung mittels Dovecot, Fetchmail, Postfix, Spamassassin und Squirrelmail erledigt.

Ich möchte nun mit SSL-verschlüsselt auf das Frontend zugreifen und wollte mir zu diesem Zweck ein Zertifikat erstellen, wobei ich nach Anleitung ( http://www.techchannel.de/betriebssysteme/1618/8.html) vorging. Meine URL soll‚ https://xxx.dyndns.org/squirrelmail/ lauten.

Ich weiß nicht ob es von Belang ist, aber ich habe zuvor mittels 'Webmin' ein Zertifikat für den verschlüsselten Zugriff auf das Administrationstool erstellt – dort klappt der SSL-Zugriff.

Statt wie erhofft den SSL-verschlüsselten Zugriff nutzen zu können, erhielt ich vielmehr untenstehende Fehlermeldung:


localhost:~ # openssl req -new > sqmail.cert.csr
Generating a 1024 bit RSA private key
...........................................++++++
.......................................++++++
writing new private key to 'privkey.pem'
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:DE
State or Province Name (full name) [Some-State]:Berlin
Locality Name (eg, city) []:Berlin
Organization Name (eg, company) [Internet Widgits Pty Ltd]:xxx.dyndns.org
Organizational Unit Name (eg, section) []:private
Common Name (eg, YOUR name) []:Mein Name
Email Address []:ich@xxx.dyndns.org

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
localhost:~ # openssl rsa -in privkey.pem -out sqmail.cert.key
Enter pass phrase for privkey.pem:
writing RSA key
localhost:~ # openssl x509 -in sqmail.cert.csr -out sqmail.cert.cert -req -signkey -sqmail.cert.key -days 999
Signature ok
subject=/C=DE/ST=Berlin/L=Berlin/O= xxx.dyndns.org/OU=private/CN=Mein Name/emailAddress= ich@xxx.dyndns.org
Getting Private key
Error opening Private key -sqmail.cert.key
6172:error:02001002:system library:fopen:No such file or directory:bss_file.c:276:fopen('-sqmail.cert.key','r')
6172:error:20074002:BIO routines:FILE_CTRL:system lib:bss_file.c:278:
unable to load Private key
localhost:~ # cp sqmail.cert.key /etc/apache2/ssl.key/server.key
localhost:~ # cp sqmail.cert.cert /etc/apache2/ssl.crt/server.crt
localhost:~ # cd /etc/apache2/vhosts.d/
localhost:/etc/apache2/vhosts.d # cp vhosts-ssl.template vhosts-ssl.conf
cp: cannot stat `vhosts-ssl.template': No such file or directory
localhost:/etc/apache2/vhosts.d # /etc/init.d/apache2 restart
httpd2-prefork: Could not determine the server's fully qualified domain name, using 127.0.0.1 for ServerName
Syntax OK
Shutting down httpd2 (waiting for all children to terminate) done
Starting httpd2 (prefork) httpd2-prefork: Could not determine the server's fully qualified domain name, using 127.0.0.1 for ServerName
done
localhost:/etc/apache2/vhosts.d # Kann mir bitte jemand helfen ?!

Hi!


httpd2-prefork: Could not determine the server's fully qualified domain name, using 127.0.0.1 for ServerName
Das ist kein Problem vom Zertifikat, sondern anscheinend kann Dein Rechner seinen FQDN nicht ermtteln - er hat also eine "Identitätskriese"! :)

Was kommt bei `hostname -f´? Das sollte der volle Name sein, unter dem Deine Maschine von Aussen erreichet wird.

Wenn das nicht passt, trage Deine offizielle IP in /etc/hosts mit dem FQDN ein. Dann sollt's klappen!

Möglicherweise reicht's auch, in der Apache Config Deines SSL Servers

ServerName <fqdn>
einzutragen ("<fqdn> natürlich mit dem FQDN Deiner Maschine ersetzen!).

:)
Thomas

Hallo,
ich kann 'hostname -f' z.Zt. nicht ausführen, da ich keinen Zugriff auf den Rechner habe - ich muss arbeiten.

Wenn ich wieder zu Hause bin, werde ich deine Ratschläge auf Herz und Nieren prüfen ;) .

Ich hoffe, einer deiner Tipps zeigt bei meinem System Wirkung. In jedem Fall danke ich dir sehr für deine Hilfe und hoffe dich nochmals 'belästigen' zu dürfen - für den Fall, das es nicht klappt.

Hallo,
danke nochmal - mittlerweile kennt der Server seinen Namen. Es lag an dem fehlenden Eintrag 'ServerName <fqdn>' in der Apache config. :)