PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : apache ssl-zertifikat problem



H-net
08.11.10, 00:03
hallo,

ich habe mir ein neues ssl zertifikat gekauft, weil mein altes demnächst ausläuft.

das alte zertifikat hat einwandfrei funktioniert, aber wenn ich das alte jetzt einfach durch das neue austausche startet apache nicht mehr, ohne fehlermeldung.
eingebunden hab ich das in apache so:


SSLEngine on
SSLVerifyClient none
SSLCertificateFile /bla/client.crt
SSLCertificateKeyFile /bla/server.key


was kann da faul sein?
gibts ne möglichkeit zu sehen warum apache nicht statet? (in der error.log steht nichts)

gruß

Stormbringer
08.11.10, 06:23
Haben die neuen Dateien die richtigen Berechtigungen?

H-net
08.11.10, 10:24
die haben beide diese rechte:


-rw-r--r-- 1 root root 887 2010-11-07 17:30 server.key

aber das haben die alten dateien auch.

hilfe! was kann ich noch machen?

gruß

marce
08.11.10, 10:35
Loglevel hochdrehen, debug-Log einschalten, Zert. mal mit openssl analysieren, ...

wie startest Du denn den Apache? Expliziet mit stop/start oder mit restart nach dem Tausch des Zerts.?

/dev/null_Peter
08.11.10, 11:22
Um ganz sicher zu gehen:
Das im alten Zertifikat eingetragene Herausgeberzertifikat stimmt exakt mit dem in neuen Zertifikat eingetragenen überein? Ich betone "exakt"!
Wenn nicht, wurde das neue Herausgeberzertifikat als vertrauenswürdiges Zertifikat importiert?

MfG Peter

H-net
08.11.10, 14:47
wenn ich ein /etc/init.d/apache2 reload mache, passiert nichts, wenn ich es stoppe udn neu starte sagt er beim start nur failed, mehr nicht.

heute abend analysiere ich das ssl-zertifikat nochmal. und mache das mit dem debug log.
vieleicht stimmt ja auch die anleitung nach der ich das gebaut habe nicht. habe nämlich nochmal versucht eins privates(nicht durch geotrust,etc. authentifiziertes) zu erstellen, das geht auch nicht.

könnt ihr euch die anzeitung mal kurz anschauen: http://www.heimpold.de/mhei/mini-howto-zertifikaterstellung.htm

ca.crt - habe ich dann als SSLCertificateFile verwendet
server.key - als SSLCertificateKeyFile

ist das korrekt so?
weil das ca.crt habe ich dann an https://www.cheapssls.com übermittelt die mir darauf ein neues ca.crt gegeben haben, was ja dann "vertrauenswürdig" ist. (ich war mir am anfang nicht sicher ob die das server.crt oder ca.crt wollen) habe ich soweit alles richtig gemacht?

ps: ich weis... ich bin ssl-noop

danke schonmal

derRichard
08.11.10, 15:14
die haben beide diese rechte:


-rw-r--r-- 1 root root 887 2010-11-07 17:30 server.key



btw: dein private-key ist für jeden lesbar.

//richard

H-net
08.11.10, 20:35
ich glaube ich habe den fehler. der modulus von server.key und ca.crt stimmen nicht überein.

wie kann ich aus dem ca.key / ca.crt / ca.csr ein server.key machen der den gleichen modulus hat wie das ca.crt?

danke schonmal

ExeCRabLE
09.11.10, 17:14
Mist, die genau Antwort wusste ich mal :)

Du musst zwei der Zertifikate zusammen in eines ablegen ... nur als Hint ...