[geloest] SSL Zertifikate für Apache 2.4.25

Debian macht sich hervorragend als Web- und Mailserver. Schau auch in den " Tipps und Tricks"-Bereich.
sharbich
Beiträge: 166
Registriert: 27.09.2013 21:12:40

[geloest] SSL Zertifikate für Apache 2.4.25

Beitrag von sharbich » 14.07.2019 12:40:15

Hallo Ihr Lieben,
ich möchte auf meinen Webserver die SSL Zertifikate erneuern. Auch die Verschlüsselung von 2048 auf 4096 anpassen. Wenn ich die neuen Zertifikate einbinde startet der Webserver nicht mehr. Hier meine aktuelle conf Datei:

Code: Alles auswählen

<VirtualHost myadmin.intern.example.com:80>
     ServerName myadmin.intern.example.com:80
     DocumentRoot "/var/www/html/phpmyadmin"
     RedirectMatch permanent ^(.*)$ https://myadmin.intern.example.com
</VirtualHost>

<VirtualHost myadmin.intern.example.com:443>
     ServerName myadmin.intern.example.com:443
     DocumentRoot /var/www/html/phpmyadmin
     ServerAdmin info@example.com
     SSLEngine on
     SSLCertificateFile /etc/ssl/certs/myadmin.intern.example.com.crt
##      SSLCertificateFile /etc/openxpki/ssl/ca-one/myadmin.intern.example.com.crt
     SSLCertificateKeyFile /etc/ssl/private/myadmin.intern.example.com.key
##      SSLCertificateKeyFile /etc/openxpki/ssl/ca-one/myadmin.intern.example.com.pem
     ErrorLog /var/log/apache2/apache-myadmin-error.log
     TransferLog /var/log/apache2/apache-myadmin-access.log
     CustomLog /var/log/apache2/apache-myadmin-request.log combined

     <Directory /var/www/html/phpmyadmin>
         Options SymLinksIfOwnerMatch
         DirectoryIndex index.php
     </Directory>

     # Disallow web access to directories that don't need it
     <Directory /var/www/html/phpmyadmin/templates>
         Require all denied
     </Directory>

     <Directory /var/www/html/phpmyadmin/libraries>
         Require all denied
     </Directory>

     <Directory /var/www/html/phpmyadmin/setup/lib>
         Require all denied
     </Directory>
</VirtualHost>
Die Konfiguration habe ich mit:

Code: Alles auswählen

root@dsme01:~# apache2ctl configtest
Syntax OK
überprüft. Der Apche Dienst wird als User www-data ausgeführt. Es müsste ja vollkommen ausreichen das dieser User auf die Zertifikats Dateien lesendes Recht hat. Oder?

Kann es sein das ich die obige Konfiguration noch anpassen muss, weil ich die Verschlüsselung der Zertifikate erhöht habe? Für weitere Tipps wäre ich Dankbar.

Lieben Gruß von Stefan Harbich
Zuletzt geändert von sharbich am 15.07.2019 14:48:14, insgesamt 1-mal geändert.

Benutzeravatar
niemand
Beiträge: 13158
Registriert: 18.07.2004 16:43:29

Re: SSL Zertifikate für Apache 2.4.25

Beitrag von niemand » 14.07.2019 13:11:52

sharbich hat geschrieben: ↑ zum Beitrag ↑
14.07.2019 12:40:15
Wenn ich die neuen Zertifikate einbinde startet der Webserver nicht mehr.
In der Fehlermeldung und/oder in den Logs steht dann in der Regel auch der Grund dafür.

Ansonsten: Zertifikate werden für einen konkreten Key ausgestellt. Wenn du den Key also ausgetauscht hast, wirst du dafür neue Zertifikate ausstellen (lassen) müssen.
ENOKEKS

sharbich
Beiträge: 166
Registriert: 27.09.2013 21:12:40

Re: SSL Zertifikate für Apache 2.4.25

Beitrag von sharbich » 14.07.2019 13:35:13

Im Apache-error.log steht nur "Konfiguration fehlerhaft". Und natürlich habe ich eine neue crt und key Datei eingefügt. Ist ja in der Konfigurations Datei ersichtlich.

Das kann es also nicht sein.

Benutzeravatar
niemand
Beiträge: 13158
Registriert: 18.07.2004 16:43:29

Re: SSL Zertifikate für Apache 2.4.25

Beitrag von niemand » 14.07.2019 13:39:13

sharbich hat geschrieben: ↑ zum Beitrag ↑
14.07.2019 13:35:13
Im Apache-error.log steht nur "Konfiguration fehlerhaft".
Das steht da mit Sicherheit nicht drin.
sharbich hat geschrieben: ↑ zum Beitrag ↑
14.07.2019 13:35:13
Ist ja in der Konfigurations Datei ersichtlich.
Daraus ist gar nichts ersichtlich, solange man die referenzierten Dateien nicht kennt.
ENOKEKS

sharbich
Beiträge: 166
Registriert: 27.09.2013 21:12:40

Re: SSL Zertifikate für Apache 2.4.25

Beitrag von sharbich » 14.07.2019 13:45:59

Im journalctl steht das gleiche drin "Konfiguration fehlerhaft". Loglevel im Apache ist auf debug gestellt.

Wo müsste ich denn Deiner Meinung nachsehen?

Soll ich Dir einen Auszug meiner crt und key Dateien senden?

Benutzeravatar
niemand
Beiträge: 13158
Registriert: 18.07.2004 16:43:29

Re: SSL Zertifikate für Apache 2.4.25

Beitrag von niemand » 14.07.2019 13:52:33

Das Fehlerlog für den betreffenden vHost wäre die Stelle, an der mehr Informationen zum Fehler zu erwarten wären. Und wenn du wieder behauptest, dort stünde „Konfiguration fehlerhaft“, dann schicke bitte ein Bild, vom Bildschirm abfotographiert mit der Zeile des Aufrufs (wenn die Datei länger ist, mit tail nur die letzten paar Zeilen anzeigen lassen). Das glaube ich nämlich nach wie vor nicht.
ENOKEKS

sharbich
Beiträge: 166
Registriert: 27.09.2013 21:12:40

Re: SSL Zertifikate für Apache 2.4.25

Beitrag von sharbich » 14.07.2019 13:54:01

Danke, Du hast mir die Augen geöffnet. Wenn ich schon in der obige Konfiguration die Logdateien angebe dann sollte ich auch dort nachschauen. Mann oh Mann! Ich melde mich wenn ich das Problem gefixt habe.
Zuletzt geändert von sharbich am 15.07.2019 01:16:48, insgesamt 1-mal geändert.

sharbich
Beiträge: 166
Registriert: 27.09.2013 21:12:40

Re: SSL Zertifikate für Apache 2.4.25

Beitrag von sharbich » 15.07.2019 01:16:13

Hallo,
leider komme ich nicht weiter. Ich habe über EJBCA ein Server basiertes Zertifikat erstellt und als pem Datei heruntergeladen. Dieses dann in eine crt und key Datei exportiert.

Code: Alles auswählen

    • openssl rsa -in myadmin.intern.example.com.pem -outform DER -out myadmin.intern.example.com.key
    • openssl x509 -in myadmin.intern.example.com.pem -outform DER -out myadmin.intern.example.com.crt
Diese beiden Dateien für den Apchae User lesbar gemacht und in der Konfiguration des vHost eingebunden.

Es funktioniert einfach nicht. Hier die Fehlermeldung aus dem log des vHost:

Code: Alles auswählen

[Mon Jul 15 00:22:57.692896 2019] [ssl:emerg] [pid 27395] SSL Library Error: error:0906D06C:PEM routines:PEM_read_bio:no start line (Expecting: TRUSTED CERTIFICATE) -- Bad file contents or format - or even just a forgotten SSLCertificateKeyFile?
[Mon Jul 15 00:22:57.692910 2019] [ssl:emerg] [pid 27395] SSL Library Error: error:140DC009:SSL routines:SSL_CTX_use_certificate_chain_file:PEM lib
[Mon Jul 15 00:24:37.203493 2019] [ssl:info] [pid 27607] AH01914: Configuring server myadmin.intern.example.com:443 for SSL protocol
[Mon Jul 15 00:24:37.203652 2019] [ssl:debug] [pid 27607] ssl_engine_init.c(413): AH01893: Configuring TLS extension handling
[Mon Jul 15 00:24:37.203688 2019] [ssl:emerg] [pid 27607] AH02562: Failed to configure certificate myadmin.intern.example.com:443:0 (with chain), check /etc/ssl/certs/myadmin.intern.example.com.crt
Jetzt weiß ich auch nicht mehr weiter.

Ich hoffe Ihr weißt noch einen Rat.

Lieben Gruß von Stefan Harbich
Zuletzt geändert von sharbich am 15.07.2019 10:23:27, insgesamt 2-mal geändert.

Benutzeravatar
TRex
Moderator
Beiträge: 6233
Registriert: 23.11.2006 12:23:54
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: KA

Re: SSL Zertifikate für Apache 2.4.25

Beitrag von TRex » 15.07.2019 01:44:44

Die Zeilen, die da mit $ enden, enden dort nicht - du musst nach rechts scrollen bzw den pager entsprechend konfigurieren, die Zeile umzubrechen.
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nichtDon't break debian!

Benutzeravatar
HZB
Beiträge: 413
Registriert: 22.10.2003 11:52:15
Wohnort: Wien

Re: SSL Zertifikate für Apache 2.4.25

Beitrag von HZB » 15.07.2019 08:38:15

Und poste mal die Ausgabe von

Code: Alles auswählen

ls -l /etc/ssl/private/

sharbich
Beiträge: 166
Registriert: 27.09.2013 21:12:40

Re: SSL Zertifikate für Apache 2.4.25

Beitrag von sharbich » 15.07.2019 10:27:46

HZB hat geschrieben: ↑ zum Beitrag ↑
15.07.2019 08:38:15
Und poste mal die Ausgabe von

Code: Alles auswählen

ls -l /etc/ssl/private/

Code: Alles auswählen

root@dsme01:/etc/ssl/private# ls -l | grep myadmin.intern.example.com.key 
-rw-r----- 1 root www-data 2347 Jul 13 16:06 myadmin.intern.example.com.key
root@dsme01:/etc/ssl/certs# ls -l | grep myadmin.example.com.crt 
-rw-r--r-- 1 root     root       1272 Jul 13 16:05 myadmin.intern.example.com.crt
Im obigen Post habe ich die Zeilen ergänzt.

sharbich
Beiträge: 166
Registriert: 27.09.2013 21:12:40

Re: SSL Zertifikate für Apache 2.4.25

Beitrag von sharbich » 15.07.2019 10:53:19

TRex hat geschrieben: ↑ zum Beitrag ↑
15.07.2019 01:44:44
Die Zeilen, die da mit $ enden, enden dort nicht - du musst nach rechts scrollen bzw den pager entsprechend konfigurieren, die Zeile umzubrechen.
Habe ich im obigen Post angepasst.

Benutzeravatar
HZB
Beiträge: 413
Registriert: 22.10.2003 11:52:15
Wohnort: Wien

Re: SSL Zertifikate für Apache 2.4.25

Beitrag von HZB » 15.07.2019 13:30:39

Ich kann es nicht testen, aber anscheinend das DER Format:

https://geekpeek.net/ssl-library-pem-apache-error/

Vielleicht wirklich nur folgendes ausprobieren:

Code: Alles auswählen

openssl x509 -inform der -in /etc/ssl/certs/myadmin.example.com.crt -out /etc/ssl/certs/myadmin.example.com.pem
Und noch die Endung im VHost anpassen.

sharbich
Beiträge: 166
Registriert: 27.09.2013 21:12:40

Re: SSL Zertifikate für Apache 2.4.25

Beitrag von sharbich » 15.07.2019 14:43:55

Hallo,
supi, das war das Problem. Danke.
Bleibt aber die Frage warum die erzeugte crt Datei, die ich wie folgt generiert habe:

Code: Alles auswählen

openssl x509 -in myadmin.intern.example.com.pem -outform DER -out myadmin.intern.example.com.crt
nicht funktioniert? Sollte ich auf meiner EJBCA CA ggf. einen anderen Keystore als die PEM Datei erstellen? Möglich wäre noch eine P12 oder JKS Datei. Oder stimmt von dem obigen Befehl die Syntax nicht?

Lieben Gruß von Stefan Harbich

Benutzeravatar
HZB
Beiträge: 413
Registriert: 22.10.2003 11:52:15
Wohnort: Wien

Re: [geloest] SSL Zertifikate für Apache 2.4.25

Beitrag von HZB » 15.07.2019 16:24:20

Das DER Format ist eine binäre Form der base64 kodierten PEM Datei, und hat keinen Anfang mit ---BEGIN
Das ist eher in der M$ Welt zu Hause. Anscheinend kann aber Java damit umgehen.
Ich glaube das man unter Linux aber das ---BEGIN benötigt, deshalb hat es mit dem DER Cert nicht funktioniert.
Ist aber jetzt Halbwissen meinerseits. Vielleicht kann das noch wer bestätigen oder richtig stellen.

Antworten