PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Apache mit SSL/TLS richtig konfigurieren



LuMa
23.03.16, 02:52
Hallo,
ich lasse auf meinem Webserver verschiedene Anwendungen wie OwnCloud und GitLab laufen und hoste eine statische Website. Diese Seiten laufen alle in einem eigenen DocumentRoot, sind via Subdomain und nur verschlüsselt erreichbar. Das ist für die statische Website zwar nicht nötig, da sie nur ein paar Informationen anzeigt, aber meine Güte... Ich hab sie halt mitverschlüsselt.

Jetzt habe ich folgendes Problem: Ich kriege es nicht hin eine neue Seite unverschlüsselt zu erreichen, die auch unverschlüsselt bleiben soll. Klingt komisch, ist aber so. :D Da ich den Fehler bisher nicht eingrenzen konnte beschreibe ich einfach mal mein "Setup" und zeige etwas Konfiguration.

OS: CentOS 7
WebServer: Apache 2.4.6
CA: Let’s Encrypt
Domain (Beispiel!): luma.com
Konfigurierte Subdomains: cloud.luma.com, git.luma.com, pma.luma.com

Um meine VHosts zu organisieren nutze ich die "Technik" mit den sites-enabled und sites-available Ordnern, ich denke weiter erläutern muss ich das nicht. Um meine Subdomains auch erreichbar zu machen nutze ich eine Wildcard in meiner DNS-Konfiguration, so spar ich es mir jedes mal dort rumzudoktorn, wenn ich eine neue Subdomain aufschalten möchte. Die Wildcard hat jedoch einen Nachteil: Wenn man eine nicht konfigurierte Subdomain wie z.B. 123.luma.com oder die Server-IP aufruft, landet man im von Apache zuerst erkannten VHost. Dieser ist logischerweiße cloud.lmalk.com. Um das zu unterbinden habe ich die zwei Konfigurationsdateien 000-default.conf und 000-default-le-ssl.conf angelegt, die nun jede "ungültige" Subdomain "abfangen" und man landet auf einer Fehlerseite. So weit so gut.

Nun zurück zu meinem Problem: Die Konfigurationsdatei für meine neue, unverschlüsselte Seite genannt test.luma.com sieht so aus:

test.luma.com.conf:


<VirtualHost *:80>
ServerName test.luma.com
ServerAlias www.test.luma.com
DocumentRoot /var/www/virtual/test.luma.com
ErrorLog /var/log/httpd/test.luma.com/error.log
CustomLog /var/log/httpd/test.luma.com/requests.log combined
</VirtualHost>


Das Problem: Wenn ich http://test.luma.com aufrufe, lande ich immer auf https://test.luma.com und Firefox beschwert sich:
http://i.imgur.com/OR85AkG.png

Aber warum? Natürlich ist das Zertifikat nicht gültig, und ja, HSTS ist für die verschlüsselten Websites auch aktiviert. Aber warum werde ich überhaupt auf die verschlüsselte Seite weitergeleitet? Ich hoffe jemand hilft mir da auf die Sprünge.

MfG,
Lukas

marce
23.03.16, 07:04
Sagt das nur der Browser oder auch ein curl auf Kommandozeilenebene?

Abgesehen davon - ohne komplette Apache-Konfig kann man da nur raten.

fork
23.03.16, 11:34
<VirtualHost *:80>

Hast Du das überall mit *:80 bzw. *:443 eingetragen oder hast Du auch IP-Adressen da eingetragen? * und IPs sollte man nicht mischen.

---

Vom Verdacht her würde ich das HSTS zum testen erstmal rausnehmen. Ich könnte mir vorstellen, dass das eine Fehlerquelle ist.

Im übrigen: Im Firefox in der History auf wasauchimmer.luma.de "Gesamte Webseite vergessen" auswählen. Sonst merkt der sich das https und ignoriert Webserverkonfigurationsänderungen.

LuMa
23.03.16, 13:40
Danke ihr beiden! Hab es mit curl getestet und es geht natürlich. Warum? Firefox speichert die HSTS Settings.

Danke, das war der entscheidende Hinweis.

marce
23.03.16, 14:34
Allgemeine Regel: Immer mit dem doofst-möglichen Client testen - je mehr Intelligenz der Client hat desto schwerer ist das debuggen.

(ok, curl oder wget anstatt telnet $ip 80 ist noch erlaubt :-)