# SSL Zertifikat für ein Web funktioniert nicht!?



## UserNeo (2. Feb. 2009)

Hi,

ich habe folgendes Problem, ich möchte gerne für ein bestimmtes Web ein Zertifikat einbinden und habe deshalb folgende Steps gemacht:

1. der Domain eine einzelne IP gegeben
2. ein Zertifikat per openssl req -nodes -new -newkey rsa:1024 -out csr.pem erstellt
3. Das CSR zertifizeren lassen

Und nun stehe ich vor dem Problem der integration in ISPConfig 

4. Habe den Text aus dem CSR in SSL unter Web kopiert und das was ich von der Zertifikatsstelle bekommen in SSL Zertifikat. Und dennoch erreiche ich das Web per https nicht  . In Opera erhalte ich den Fehler :

Sichere Verbindung: Schwerer Fehler (552)

Den erhalte ich aber so oder so ob nun etwas in SSL drin steht oder nicht  .

Habe ich einen Schritt vergessen? Wäre super wenn Ihr mir weiterhelfen könntent  .


----------



## UserNeo (3. Feb. 2009)

Selbst wenn ich ein SSL Zertifikat vom Server ausstellen lasse, komme ich auf dieses Web nicht per HTTPS !? Es müsste doch wenigstens ein unsigniertes SSL Zertifikat kommen oder? Ist eventuell in ISPConfig etwas falsch eingestellt?


----------



## Till (6. Feb. 2009)

Die Vorgehensweise ist:

1) Daten für das neue Zertifikat auf dem SSL tab in ISPConfig eingeben und als action "create" auswählen. Dann etwas warten und Du findest das CSR im entsprechenden Feld.
2) Lass das CSR jetzt signieren und füge das Zertifikat dass Du erhalten hast in das Zertifikat Feld ein und wähle "Speichern" als Aktion.


----------



## vpns2000 (6. Feb. 2009)

*Ssl*

Hallo,
ich habe das ebenfalls ein Problem mit einem Zertifikat.
Die Doamin hat eine eigene IP adresse.
Habe das ssl via ISP erzeugenlassen und den Output Certifizieren lassen.
Danach habe ich das Zertifikat via Copy and Past in das Feld SSL Zertifikat eingespeilt und unter aktion Speichern gewehlt. 
Wenn ich dann auf status gehe stelle ich fest das der HTTP server steht.
Nach einer Verbindung via SSH auf den Server versuchte ich diesen dienst manuell noch mal zu starten, doch ich bekomme immer einen fehler.
bei der eingabe von 

```
httpd -t
```
bekomme ich

```
Syntax OK
```
Stelle ich aber bei der Domain das SSL wieder ab startet der Server wieder.
Kann mir da jemand weiter helfen??
Danke


----------



## Till (7. Feb. 2009)

Der Befehl httpd -t prüft nur die Konfigurationssyntax und nicht auf die Korrektheit von SSl Zertifikaten. Schau am Besten mal ins error Log und in die SSL Logs des Webservers.


----------



## UserNeo (7. Feb. 2009)

Also bei mir war die Config in Ordnung, jedoch hat ISPConfig die SSL Einstellung nur dann abgespeichert als ich das Datum auf 3650 gestellt habe und dann abgespeichert habe  .

Aber bei mir funktioniert es nun  .


----------



## vpns2000 (8. Feb. 2009)

*ssl*

Hallo Till,
also ich habe SSL versucht neu zu starten der Output aus dem Error.og ist

```
Sun Feb 08 13:55:07 2009] [notice] SIGHUP received.  Attempting to restart
[Sun Feb 08 13:55:08 2009] [notice] Digest: generating secret for digest authentication ...
[Sun Feb 08 13:55:08 2009] [notice] Digest: done
[Sun Feb 08 13:55:08 2009] [notice] LDAP: Built with OpenLDAP LDAP SDK
[Sun Feb 08 13:55:08 2009] [notice] LDAP: SSL support unavailable
[Sun Feb 08 13:55:08 2009] [notice] mod_python: Creating 4 session mutexes based on 256 max processes and 0 max threads.
[Sun Feb 08 13:55:12 2009] [notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec)
[Sun Feb 08 13:55:26 2009] [notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec)
```
der Output von der ssl_error.log ist


```
Sun Feb 08 04:09:36 2009] [warn] RSA server certificate CommonName (CN) `localhost.localdomain' does NOT match server name!?
```
Danke für die Hilfe

LG


----------



## Quest (9. Feb. 2009)

Bei mir sieht das Problem etwas anders aus:
Ich hab das signierte Bundle eingegeben und dem Web eine eigene IP zugewiesen.
Aber die Verbindung über https kommt nicht zu stande.
In der Liste der offenen Ports hab ich schon geschaut, der entsprechende Port ist offen.
Woran kann es liegen, dass der Server die Verbindung verweigert?


----------



## Till (9. Feb. 2009)

Wo hast Du das Bundle eingegeben?


----------



## Quest (9. Feb. 2009)

Ich hab über Create ein Zertifikat erstellt, mir den SSL Request signieren lassen und das Ergebnis bei SSL Bundle eingetragen.


EDIT:
Intelligenz 1 : Quest 0
Einfach mal "Listen 443" in die ports.conf eintragen und es funktioniert


----------



## vpns2000 (10. Feb. 2009)

Hallo@ all

Also bei mir funktioniert es nach wie vor nicht!.
Eigenartiger weise habe ich aber ein WEB mit SSL bereits auf einer anderen IP Adresse bereits laufen und das Funktioniert einwandfrei.

Spiele ich aber das signierte Zertifikat ein und sage speichern steht der Apache und es geht dann garnichts mehr.

Kann mir da jemand weiter helfen.??
Danke


----------



## Till (10. Feb. 2009)

Was steht denn gebau auf der Shell wenn der apache server nicht startet?


----------



## vpns2000 (10. Feb. 2009)

Hallo,
auf der shell steht einfach nur FEHLGESCHLAGEN und sonst nichts.
Das ist es ja was mich wundert. und in den Logs kann ich auch nichts finden!!

LG


----------



## Quest (11. Feb. 2009)

Ich hatte zwischendrin mal auch den Fall, dass er mir nicht mehr gestartet ist, nur "Fehlgeschlagen".
Der Fehler war, dass ich einem Web Zertifikate eingetragen hab, aber keine eigene, exklusive IP-Adresse gegeben hab sondern das web noch auf * stand.
Überprüfe doch mal ob wirklich alle (!) webs, die SSL bekommen haben auch eine eigene IP haben die sonst nirgends mehr verwendet wird.

@Till: wäre es nicht Sinnvoll eine IP die bereits an ein Web gebunden wurde aus der Auswahlliste zu entfernen?


----------



## UserNeo (11. Feb. 2009)

Das wäre schlecht, denn sonst benötigt man ja für jedes Web eine eigene IP  . Es wäre aber gut wenn es eine Option gäbe für Exklusiv oderso und dann die IP nicht mehr erscheint.


----------



## Quest (11. Feb. 2009)

Im Normalfall hast du die IP doch eh auf * stehen.
Wenn du 2 vHosts mit der selben IP hast macht der Indianer doch auch schon Probleme.
Eine IP wird dann doch eh nur ausgewählt wenn das Web SSL bekommt, und dann muss die IP ja exklusiv sein.
Oder bin ich der einzige, der das so macht?


----------



## vpns2000 (15. Feb. 2009)

hallo @all
also ich habe jetzt nun schon einige hier besprochene möglichkeiten versucht und auch gegoogelt aber ich bin einfach nicht schlauer geworden.
ich habe nach wie vor den selben fehler und es ändert sich auch nicht.
Habe auch versucht das zertifikat prüfen zu lassen, welches wie ich auch vermutet habe mit dem Resultat retor gekommen ist das es in ordnung ist.

Ich bin für meinen teil mit dem Latein am ende.
Weis nimma was ich noch machen soll.

lg


----------



## Till (16. Feb. 2009)

mach bitte mal das, was Quest Dir vorgeschlagen hat. Eine IP für ein SSL web darf nur genau diesem Web zugeteilt sein.


----------



## vpns2000 (16. Feb. 2009)

hallo Till,
also es ist bei mir so das ich 32 IP`s habe. eine habe ich für alle webs und die anderen verwende ich für die SSL geschichten. Da ich ja nur 2 Webs mit SSL habe ist das also noch kein problem.
Ich habe auch für das web in das ich das SSL haben möchte auch eine eigene IP vergeben. also eine ausgewehlt die ich in der IP liste stehen habe.


Oder habe ich da was falsch verstanden.

Danke


----------



## vpns2000 (21. Feb. 2009)

hallo@all
ich habe nun versucht in der IP liste einen "*" einzutragen.
wenn ich das mache kommt zwar der Apache wieder hoch aber dafür steht Bind still.
Versuche ich aber dann das SSL zu schalten dann steht auch der Apache wieder still.

LG


----------



## Till (21. Feb. 2009)

Das ist auch völlig normal, da * keine gültige IP ist und weder für bind noch für SSL Zertifikate verwendet werden kann.


----------

