# SSL ohne .key File?



## Bademeister (11. Okt. 2012)

Guten Morgen,
ich benötige für meine Webseite ein SSL Zertifikat und habe mir über ISP-Config eins erstellt.

Dazu habe ich unter SSL alle Informationen wie Bundesland usw. ausgefüllt und bin unten auf "Create Certificate" gegangen. Diesen Schlüssel habe ich nun bei Thawte eingereicht und habe auch mein Zertifikat erhalten.

Wenn ich dieses aber eintippe und unten auf Save klicke, fehlt mir eine .key Datei? Auf dem Server liegen im SSL Ordner folgende Dateien:
www.zonex.de.bundle
www.zonex.de.crt
www.zonex.de.csr

Auf einem anderen Server wo auch ISP-Config läuft, habe ich diese .key Datei, nur weiß ich nicht mehr wie ich daran gekommen bin. 

Auch wird mit unter /etc/apache2/sites-enabled/100-zonex.de.vhost kein VirtualHost mit Port 443 angelegt. Ich denke irgendetwas habe ich falsch gemacht, nur was?


----------



## Till (11. Okt. 2012)

Die key Datei wird erzeugt wenn Du in ISPConfig das selbstsignierte SSL zertifikat erstellst und diese wird im ssl Ordner gespeichert. Ein ssl zertifikat kann nicht ohne key funktionieren.

Hast Du veilleicht vor dem hochladen des neuen thawte Zertifikats als aktion aus Versehen löschen ausgewählt, das würde erklären warum der key weg ist.

Wenn Du keine Sicherheitskopie des keys hast, dann bleibt Dir nur eine Neuerstellung  eines selbstsignierten ssl certs und den neuen csr dann bei thawte wieder signieren zu lassen (re-keying). Das ist an sich bei den ssl authorities kostenlos.



> Auch wird mit unter /etc/apache2/sites-enabled/100-zonex.de.vhost kein VirtualHost mit Port 443 angelegt.


das liegt an der fehlenden key Datei, denn apache würde nicht mit einem ssl host ohne key starten, daher erstellt ispconfig die Konfigurationsdatei erst wenn alle notwendigen ssl Dateien verfügbar sind.


----------



## Bademeister (11. Okt. 2012)

Hallo Till,
Mist, so wird es auch gewesen sein!

Habe nun ein neues Zertifikat erstellt und nun liegen im SSL Ordner auch 2 Dateien:
www.zonex.de.key
www.zonex.de.key.org

Okay dann muss ich das nochmal neu machen, danke für deine schnelle Hilfe.


----------



## Bademeister (11. Okt. 2012)

Hallo Till,
mir ist gerade etwas sehr komisches aufgefallen, denn das Problem besteht erst seit ich das Zertifikat eingerichtet habe.
Bei einem File-Upload gehörten die Dateien vorher web32 client4 und nun ist es www-data www-data , wie kann das sein?

*Nachtrag: *Ich speichere beim Kunden ein Cookie, dass seine alten Dateien aufgerufen werden sobald er meine Webseite betritt. Aber nun funktionieren die alten Files nicht mehr, ich müsste nun alle Berechtigungen auf www-data ändern. Aber wo liegt denn genau das Problem, dass er wieder beim Upload web32 client4 nutztz?

*Nachtrag1: *Der User der für den Webordner zuständig ist, kann auch keine Änderungen mehr vornehmen, sprich ich kann nicht einmal die Webseite deaktivieren, vielleicht hat das damit etwas zu tun? Weiß aber auch nicht ob das vorher geklappt hat, aber mit dem User wurde die Webseite erstellt. 

Wenn ich etwas per FTP Uploade sind die Berechtigungen richtig, also web32 client4. Auch wenn ich eine Änderung in ISP Config durchführe, macht mir ISP-Config aus meinem www-data wieder die richtigen Berechtigungen .... Ich bekomme einen Anfall .....


----------



## Till (11. Okt. 2012)

> Bei einem Upload gehörten die Dateien vorher web32 client4 und nun ist es www-data www-data , wie kann das sein?


Dann ist ahrscheinlich der PHP mode falsch eingestellt. Rochtig is:

php-fcgi und suexec muss aktiv sein.



> Nachtrag1: Der User der für den Webordner zuständig ist, kann auch keine Änderungen mehr vornehmen, sprich ich kann nicht einmal die Webseite deaktivieren, vielleicht hat das damit etwas zu tun? Weiß aber auch nicht ob das vorher geklappt hat, aber mit dem User wurde die Webseite erstellt.


Ob ein user eine Seite deaktivieren kann hängt damit zusammen wie Du sie erstellt hast. Wurde die Seite als admin erstellt, dann kann der user die Details nicht ändernd enn sonst könnte er ja selber eine seite die dera dmin deaktiviert hat weil er z.B. nicht bezahlt hat selbst wieder aktivieren. Wurde die seite jedoch vom User selbst erstellt, dann kann er die Settings auch editieren.


----------



## Bademeister (11. Okt. 2012)

Hallo Till,
ok, das mit dem User macht wirklich Sinn! Nun habe ich das von ModPHP auf Fast-CGI geändert. Wobei ich da nie dran gewesen bin und bei allen meiner Domains immer ModPHP einstelle und nun klappt der Upload auch mit den Berechtigungen. 

Allerdings wenn ich Fast-CGI einschalte, gehen meine PHP Erweiterungen nicht mehr, wie z.B. uploadprogress oder apc.

Es hat ja irgendwie vorher mit ModPHP geklappt, ich verstehe das ganze nicht wieso es jetzt nicht mehr geht.

Vorher war SuEXEC und ModPHP eingeschaltet ...

*Nachtrag*: Ich habe eine Failover-IP also kann im Notfall von einem Server auf dem anderen Switchen und auf dem anderen Server (mit ISP Config) habe ich auch  SuEXEC und ModPHP eingestellt und die Berechtigungen sind dort richtig. Dort ist es z.B. so, dass die Uploads auch web1 client0 gehören, also bilde ich mir das ganze doch nicht ein ...


----------



## Till (11. Okt. 2012)

> Es hat ja irgendwie vorher mit ModPHP geklappt, ich verstehe das ganze nicht wieso es jetzt nicht mehr geht.


Dass kann noch nie funktioniert haben mit dem normalen, außer Du hattest apache mpm-itk installiert oder aber die ordner rechte manuell auf 777 gesetzt. denn mod_php konnte noch nie in den default einstellungen in einen web ordner schreiben.

mod_php ist übrigens ziemlich unsicher, würde ich auf keinem Internet Server der mehr als eine Seite hostet einsetzten. suexec hat keine einfluss auf mod_php.


----------



## Bademeister (11. Okt. 2012)

Hallo Till,
danke für deine Antwort die mich doch recht verunsichert hat. Habe nie soetwas wie apache mpm-itk installiert und habe auch immer nur die Schritt für Schritt Anleitung auf eurer Webseite befolgt.

Den Failover-IP Server habe ich erst vor 2 Wochen eingerichtet und wie schon geschrieben ist dort ModPHP eingestellt und bei einem Upload ist dort nichts von www-data.

Wenn das aber eine Sicherheitsproblem ist, stelle ich gerne auf  Fast-CGI um, hast du denn eine Ahnung wieso die Erweiterungen wie uploadprogress oder apc nicht mehr funktionieren? Oder funktionieren diese Erweiterungen mit Fast-CGI nicht?

*Nachtrag:* Was mir gerade noch eingefallen ist, heute morgen bevor ich nichts am Server gemacht habe, funktionierte alles noch mit ModPHP und ich habe nichts runter geworfen oder geändert. Gibt es da evtl. noch einen Fehler der unbekannt ist?


----------



## Till (11. Okt. 2012)

> Nachtrag: Was mir gerade noch eingefallen ist, heute morgen bevor ich nichts am Server gemacht habe, funktionierte alles noch mit ModPHP und ich habe nichts runter geworfen oder geändert. Gibt es da evtl. noch einen Fehler der unbekannt ist?


Es kann mit mod_php noch nie funktioniert haben wenn kein mpm-itk modul verwendet wurde, das ist technisch unmöglich denn mod_php kann nicht zwischen Usern umschalten. Kannst Du gerne bei der apache foundation anfragen wenn Du mir nicht glaubst.

Den uploadprogress kenne ich nicht, musst Du deren entwickler fragen ob es mit fastcgi läuft. apc müsste mit fastcgi funktionieren.


----------



## Bademeister (11. Okt. 2012)

Hallo Till,
ich wollte deine Kompetenz nicht anzweifeln und natürlich glaube ich dir, aber ich weiß auch was ich auf meinem Monitor sehe.

Wie finde ich heraus ob das mpm-itk Modul installiert ist? Müsste es dann nicht unter /etc/apache2/mods-enabled/ sein?

Wenn mit ModPHP vorher die Progressbar funktioniert hat, sollte diese doch auch ohne Probleme mit Fast-CGI laufen oder sehe ich das falsch?


----------



## Till (11. Okt. 2012)

> Müsste es dann nicht unter /etc/apache2/mods-enabled/ sein?


Das ist kein herkömmliches Modul sondern ein anderer Apache build. Du kannst das z.B. über die Paketverwaltung der Linux Distribution herausfinden ob due den normalen apache oder den mpm-itk installiert hast.



> Wenn mit ModPHP vorher die Progressbar funktioniert hat, sollte diese doch auch ohne Probleme mit Fast-CGI laufen oder sehe ich das falsch?


das kann man so pauschal nicht sagen, da mod_php ein integriertes apache modul ist (deswegen kanne s ja auch keine userumschaltung) und fast-cgi ist ein php prozess der über die fastcgi Schnittstelle mit dem pache kommuniziert. fastcgi ist aber heute die übliche Vriante für Hosting Umgebungen, ggf. mal googeln ob es damit geht.


----------



## Bademeister (11. Okt. 2012)

Hallo Till,
also wenn ich apt-cache showpkg mpm-itk eintippe, kommt N: Unable to locate package mpm-itk. Er findet das Paket aber mit search, also gehe ich davon aus, dass es nicht installiert ist.

Ich habe mir nun erstmal geholfen, indem ich alle File-Uploads dem User und Gruppe www-data zuordne und ich schau mir das mit dem Fast-CGI mal die Tage genauer an.

Aber das selbe Problem besteht weiterhin auch auf meinem Testserver, da ist auch kein mpm-itk drauf ...


----------

