# Eigenes SSL Zertifikat / Unbekannte Identität



## NoHopeNoFear (28. Jan. 2011)

Moin Leute,

ich setze gerade einen ISPConfig Server als Testinstallation auf.
Läuft auch soweit, dank den super Tutorials hier, bestens.

Allerdings bin ich jetzt an folgendem Problem hängen geblieben und komme per google und Try&Error nicht mehr weiter:

Ich habe bei PSW ein 30 Tage Test SSL Zertifikat (Bronze) auf meine Domain mytux1.meinedomain.de austellen lassen und das im Grunde nach diesem Tutorial hier eingebunden: http://www.howtoforge.de/howto/ssl-fur-ispconfig-3-oberflache-webmail-und-phpmyadmin/

Die Schritte zum erstellen eines eigenen Zertifikates habe ich übersprungen und entsprechend direkt nach Vorgabe des Ausstellers eine .csr Datei erzeugt und das Zertifikat beantragt. 

Bekommen habe ich die .crt Datei sowie ein intermediate file dessen Funktion mir nicht ganz klar ist? 

Meine Konfiguration in der ispconfig.vhost sieht so aus:


```
SSLEngine On
SSLCertificateChainFile /etc/apache2/ssl/intermediate.crt
SSLCertificateFile /etc/apache2/ssl/mytux1_meinedomain_de.crt
SSLCertificateKeyFile /etc/apache2/ssl/dateiname.key
#SSLProtocol All -SSLv2
#SSLCipherSuite ALL:!EXP:!NULL:!ADH:!LOW
#SetEnvIf User-Agent “.*MSIE.*” nokeepalive ssl-unclean-shutdown
```
(Die letzten 3 Zeilen hatte ich zum testen mal auskommentiert.
Die Zeile SSLCertificateKeyFile /etc/apache2/ssl/dateiname.key stimmt so, die Datei heißt wirklich so, da war ich beim pasten zu flott...)

Firefox meldet das Zetifikat als nicht signiert und sagt "sec_error_untrusted_issuer".

Das sollte ja nun bei einem "echten" und kostenpflichtigen Zertifikat eigentlich nicht so sein.

Ich habe auch mal testweise SSLCertificateChainFile durch SSLCACertificateFile ersetzt, ändert aber auch nichts.

(meine echte domain habe ich hier durch meinedomain_de ersetzt)

Hoffe ihr könnt mir helfen, 
besten Dank im Voraus.

edit:
Scheinbar hängt es mit den ports zusammen. mytux1.meinedomain.de:8080/meinlinkzumphpmyadmin geht (direkt auf ISPConfig Webinterface geht auch), webmail hatte ich in der default Datei unter /etc/apache2/sites-available vom port 8080 weggenommen und auch nur damit  getestet. Wenn ich jetzt den Redirect auf Port 8080 wieder eintrage bekomme ich allerdings einen 404 Fehler. Langsam blicke ich garnicht mehr durch.

edit2: Laut Apache error.log: [Wed Jan 26 19:05:02 2011] [error] [client 82.100.xxx.xxx] File does not exist: /usr/local/ispconfig/interface/web/webmail bei Zugriff auf https://mytux1.meinedomain.de:8080/webmail/.
Gehe ich hin und schmeiße in diese Zeilen hier die umleitung auf Port 8080 wieder raus (also nur :8080 entfernen, rest bleibt) aus der default Datei komme ich zwar wieder drauf aber mit Zertifikat Fehler ?

```
<IfModule mod_rewrite.c>
<IfModule mod_ssl.c>
<Location /webmail>
RewriteEngine on
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}:8080/webmail [R]
</Location>
</IfModule>
</IfModule>
```


----------



## Till (1. Feb. 2011)

Lasse bitte keine weitere software wie phpmyadmin oder webmail über port 8080 laufen, das ist zu unsicher. Port 8080 sollte nur für ispconfig genutzt werden.


----------



## NoHopeNoFear (1. Feb. 2011)

Aber wie bekomme ich es hin dass er auf port 443, also standard HTTPS, und 8080 das zertifikat als gültig anerkennt?


----------



## Till (2. Feb. 2011)

Der ispconfig vhost ist ja nur für port 8080. Wo hast Du denn das zertifikat für port 443 eingebunden?


----------



## NoHopeNoFear (2. Feb. 2011)

Ich bin wie gesagt nach dieser Anleitung hier vorgegangen:
http://www.howtoforge.de/howto/ssl-fur-ispconfig-3-oberflache-webmail-und-phpmyadmin/

Nur ohne ein eigenes Zertifikat zu erstellen, habe mir direkt ein Test Zertifikat von PSW bestellt.

In dem Tutorial wird der phpmyadmin und webmail auch auf 8080 umgeschrieben?


----------



## NoHopeNoFear (3. Feb. 2011)

Kann denn niemand dazu etwas sagen? 

Ich mache das leider zum ersten mal und blicke noch nicht so wirklich durch die Sache durch. 

Mein Ziel ist es zumindest die ISPConfig Seite und die Webmail Seite via HTTPS zu schützen, phpmyadmin wäre nice2have aber nicht kriegsendscheidend. Wichtig ist dass ich hier mit meinem eigenen, gültigen, Zertifikat arbeiten kann und der Browser keine Fehlermeldung bringt.

Wäre sehr dankbar wenn mich jemand auf die richtige Spur bringen könnte.


----------

