Zertifikate beim Apache2

[Turkey1976]

Liebe Gemeinschaft,

meine Skills sind wohl etwas eingerostet, wenn ich jemals welche besessen habe:

Bei meinem Hostingdienstleister IONOS habe u.a. eine Domain, ein Wildcardzertifikat und einen Server gemietet. Auf dem Server habe ich Debian 10 und Apache2 installiert.

Die Domain habe ich auf die IP des Servers umgeleitet und mir ein Zertifikat über den Dienstleister ausstellen lassen. Und die Dateien auf den Server kopiert.

Bekommen habe ich folgende Dateien:

myeinedomain.key, meinedomain,cer, meinedomain_intermediate.cer


Meine default.conf sieht so aus.

Code: Alles auswählen

NameVirtualHost *:443
NameVirtualHost *:80

<VirtualHost *:80>
        ServerName meinedomain
        DocumentRoot /var/www/html
        ErrorLog /var/log/apache2/error.log
        CustomLog /var/log/apache2/access.log combined
</VirtualHost>

<VirtualHost *:443>
        ServerName meinedomain

        DocumentRoot /var/www/html/test
        ErrorLog /var/log/apache2/error.log
        CustomLog /var/log/apache2/access.log combined

        SSLEngine on

        SSLCertificateFile /etc/apache2/ssl/meinedomain.cer
        SSLCertificateKeyFile /etc/apache2/ssl/meinedomain.key
        SSLCACertificateFile /etc/apache2/ssl/meinedomain_INTERMEDIATE.cer

</VirtualHost>

Firewall ist für 443 offen. Ich erhalte beim Zugriffsversuch immer die Meldung

Diese Website kann keine sichere Verbindung bereitstellen meine domain hat eine ungültige Antwort gesendet.
ERR_SSL_PROTOCOL_ERROR

Unverschlüsselt Verbindungen gehen selbstverständlich, der Apache startet klaglos. Im Errorlog finde ich nichts Verdächtiges...
Ich bin ratlos und weiß nicht weiter. Welche Schritte sollte ich unternehmen?

[Tronde]

Hi,

du kannst das Problem mit dem Programm s_client aus dem openssl-Paket näher untersuchen. Dazu gibst du in einem Terminal ein:

Code: Alles auswählen

openssl s_client -connect fqdn:port

Dabei ersetzt du fqdn durch den Namen deiner Domain z.B. www.example.com. Der Port lautet 443. Die Ausgabe gibt dir hoffentlich etwas mehr Auskunft zur Fehlerursache. Du kannst die Ausgabe auch hier im Code-Block posten. Sie sollte keine sensiblen Daten über deinen Host enthalten.

MfG
Tronde

[Turkey1976]

Vielen Dank für die erste Rückmeldung! Das sieht ja ganz anders aus, wie bei einem funktionierenden Server

Code: Alles auswählen

CONNECTED(00000003)
140685595231360:error:14094438:SSL routines:ssl3_read_bytes:tlsv1 alert internal error:../ssl/record/rec_layer_s3.c:1544:SSL alert number 80
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 318 bytes
Verification: OK
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
Early data was not sent
Verify return code: 0 (ok)
---

[Tronde]

Hi,

darf der User, welcher den Apache2 ausführt, die Zertifikatsdateien lesen?

Evtl. musst du das Kommando noch etwas modifizieren:

Code: Alles auswählen

openssl s_client -connect meinedomain:port -servername meinedomain

MfG
Tronde

PS: Aus dem Stand kenne ich die Meldung aus deiner Ausgabe nicht.

[Turkey1976]

der Apache-User ist Eigentümer

[Turkey1976]

Des Rätsels Lösung: der A-Record stimmte nicht...


Die Einbindung der Zertifikate und die config des Apachen waren korrekt!