# Update auf ISP 3.0.5.2 SSL Zugriff nicht möglich



## stefanr (18. Juli 2013)

Hallo,

ich hätt ees so kurzfristig nicht machen sollen, aber ich habe ein update gemacht, jetzt bekomme ich beim Aufruf von

https://ispconfig.domain.de:8080/ 

folgenden Fehler im Browser


*Warning*:  require_once(../lib/config.inc.php) [function.require-once]: failed to open stream: Permission denied in */usr/local/ispconfig/interface/web/index.php* on line *31*

*Fatal error*:  require_once() [function.require]: Failed opening required '../lib/config.inc.php' (include_path='.:/usr/share/php:/usr/share/pear') in */usr/local/ispconfig/interface/web/index.php* on line *31*


tail -f /var/log/apache2/error.log

[Thu Jul 18 20:17:53 2013] [warn] RSA server certificate CommonName (CN) `ispconfig.domain.de' does NOT match server name!?
[Thu Jul 18 20:17:53 2013] [notice] suEXEC mechanism enabled (wrapper: /usr/lib/apache2/suexec)


Ich finde den Fehler leider nicht, beim update habe ich das ispconfig Zertifikat nicht neu generieren lassen.

Was könnte ich unternehmen damit ich die ispconfig Seite wieder erreiche?

Danke für Eure Unterstützung.

STEFAN


----------



## stefanr (18. Juli 2013)

Hallo,

also ich habe gerade noch folgenden Beitrag gefunden:

HowtoForge Forums | HowtoForge - Linux Howtos and Tutorials - View Single Post - Admin login failed after upgrading to 3.0.5

nach dem ich:

chmod 660 /usr/local/ispconfig/interface/lib/config.inc.php
/etc/init.d/apache2 restart

gemacht habe komme ich wieder auf das ISPConfig Webinterface.
Die Frage ist ob das der richtige Weg ist oder ob es da nicht einen besseren Weg gibt.

Danke und Gruß
STEFAN


----------



## Till (18. Juli 2013)

Zitat von stefanr:


> Hallo,
> 
> also ich habe gerade noch folgenden Beitrag gefunden:
> 
> ...


Das ist nicht so ganz der richtige Weg, denn er behebt nicht das eigentliche Problem und macht deinen Server unsicherer. Dein Problem ist dass apache mosd fastcgi nicht installiert oder aktiviert ist und mit dem oben stehenden Infos hast Du einen alten fallback Modus wieder aktiviert. Dein Wordpress Problem hängt wahrscheinlich auch damit zusammen dass fastcgi nicht geht und Dein web zur zeit i mod_php fallback läuft und php daher nicht ins web schreiben kann.


----------



## stefanr (18. Juli 2013)

Hi Till,

das wundert mich es lief auf dem Server ja bereits vor dem Umzug

server:~# aptitude search fcgid
i   libapache2-mod-fcgid

server:~# a2enmod fcgid
Module fcgid already enabled
server:~# a2enmod suexec
Module suexec already enabled

Sieht das soweit gut aus oder habe ich noch etwas übersehen?

Gruß

STEFAN


----------



## Till (19. Juli 2013)

> das wundert mich es lief auf dem Server ja bereits vor dem Umzug


DEr Server lief dann vorehr in diesem alten Fallback Mode, den wir aber in aktuellen Versionen deaktiviert haben da er unsicher ist.

Du kannst recht einfach prüfen ob es daran liegt. Stll erstmal de Dateien udn Rechte wieder so her wie sie ursprünglich waren, dann editier die Datei:

/etc/apache2/sites-enabled/000-ispconfig.vhost

und kommentier die Zeile:

<IfModule mod_fcgid.c>

aus sowie das schließende </IfModule> dieses Abschnitts. Dann starte apache neu, Du wirst dann wahrscheinlich einen Fehler im error.log haben dass die fcgi Direktiven nicht erlaubt sind, also das Modul nicht geladen ist oder nicht funktioniert.


----------



## stefanr (20. Juli 2013)

Guten Morgen Till,

ich versteh es jetzt nicht ganz.

server:~#  ls -la /etc/apache2/sites-available/ispconfig.*
-rw-r--r-- 1 root root 1544 Feb 14  2012 /etc/apache2/sites-available/ispconfig.conf
-rw-r--r-- 1 root root 1682 Jan  8  2011 /etc/apache2/sites-available/ispconfig.vhost

server:~# ls -la /etc/apache2/sites-enabled/*isp*
lrwxrwxrwx 1 root root 43 Jul 18 18:54 /etc/apache2/sites-enabled/000-ispconfig.conf -> /etc/apache2/sites-available/ispconfig.conf
lrwxrwxrwx 1 root root 34 Jun 25  2012 /etc/apache2/sites-enabled/ispconfig.vhost -> ../sites-available/ispconfig.vhost

Hast du eine Erklärung warum die ispconfig.vhost nicht mit 000- vorhanden ist?


Ich habe in der /etc/apache2/sites-enabled/ispconfig.vhost die 
<IfModule mod_fcgid.c>auskommentiert. Allerdings bekomme ich im Wordpress immer noch den Fehler:

*“liste.xls” konnte wegen eines Fehlers nicht hochgeladen werden*
Die hochgeladene Datei konnte nicht nach wp-content/uploads/2013/07 verschoben werden.

Das ISPConfig kommt aber richtig und ich kann mich auch ordentlich anmelden.

Gruß

STEFAN


----------



## Till (22. Juli 2013)

> Hast du eine Erklärung warum die ispconfig.vhost nicht mit 000- vorhanden ist?


Nein, hab ich bislang noch nicht gehabt. Kannst aberr ggf. mal den symlink umbenennen.

Welchem User gehört denn das Verzeichnis wp-content/uploads/2013/07 und welche Rechte hat es?


----------



## stefanr (22. Juli 2013)

Hallo Till,

danke für deine Mühe.

cd /var/www/clients/client1/web1/web/wp-content/uploads/2013/ 
server:/var/www/clients/client1/web1/web/wp-content/uploads/2013# ls -la
total 140
drwxr-xr-x 6 web1 client1   4096 Jul  1 01:46 .
drwxr-xr-x 5 web1 client1 118784 Jul 14 13:19 ..
drwxr-xr-x 2 web1 client1   4096 Apr 29 15:41 04
drwxr-xr-x 2 web1 client1   4096 May  1 10:31 05
drwxr-xr-x 2 web1 client1   4096 Jun  1 02:57 06
drwxr-xr-x 2 web1 client1   4096 Jul 18 16:51 07


ls -la /etc/apache2/sites-enabled/
total 32
drwxr-xr-x 2 root root 12288 Jul 22 18:27 .
drwxr-xr-x 7 root root  4096 Jul 18 20:07 ..
lrwxrwxrwx 1 root root    39 Jul 18 18:54 000-apps.vhost -> /etc/apache2/sites-available/apps.vhost
lrwxrwxrwx 1 root root    43 Jul 18 18:54 000-ispconfig.conf -> /etc/apache2/sites-available/ispconfig.conf
lrwxrwxrwx 1 root root    30 Jul 18 20:12 default-ssl -> ../sites-available/default-ssl
lrwxrwxrwx 1 root root    33 Jul 22 18:27 ispconfig.conf -> ../sites-available/ispconfig.conf
lrwxrwxrwx 1 root root    34 Jul 22 18:27 ispconfig.vhost -> ../sites-available/ispconfig.vhost

irgendwie scheint das komisch zu sein. Habe die Webseiten mit a2dissite deaktiviert apache2 relod sowie a2ensite wieder aktiviert und apache2 reload gemacht. Allerdings bekomme ich wieder zwei mal auf die ispconfig.conf verwiesen, einmal mit 000- einmal ohne.

Gruß

STEFAN


----------



## Till (22. Juli 2013)

Du kannst a2dissite dafür nicht nehmen da es den symlink falsch anlegt. Lass bitte die Symlinks mit 000 so und lösche den anderen und starte apache neu.

Die Verzeichnisrechte sind ok. Poste bitte mal den Inhalt der vhost Datei dieses webs.


----------



## Till (22. Juli 2013)

Noch zur Erläuterung:

die ispconfig.conf und .vhost muss ganz am Anfang kommen, daher 000 vorweg denn sie schließen Zugrffsmöglichkeiten und sichern den Server, die webs öffnen dann die für sie notwendigen Verzeichnisse. Wenn Du jetzt ispconfig vhost / conf ohne 000 hast, dann kann es sein dass Verzeichnisse die durch ein web geöffnet wurden durch die ispconfig.conf wieder deaktiviert werden.


----------



## stefanr (22. Juli 2013)

cat /etc/apache2/sites-available/domain.de.vhost 
<Directory /var/www/domain.de>
        AllowOverride None
        Order Deny,Allow
        Deny from all
</Directory>

<VirtualHost *:80>
                    DocumentRoot /var/www/domain.de/web

        ServerName domain.de
        ServerAlias Domain.de 
        ServerAdmin webmaster@domain.de

        ErrorLog /var/log/ispconfig/httpd/domain.de/error.log

        Alias /error/ "/var/www/domain.de/web/error/"
        ErrorDocument 400 /error/400.html
        ErrorDocument 401 /error/401.html
        ErrorDocument 403 /error/403.html
        ErrorDocument 404 /error/404.html
        ErrorDocument 405 /error/405.html
        ErrorDocument 500 /error/500.html
        ErrorDocument 502 /error/502.html
        ErrorDocument 503 /error/503.html

        <IfModule mod_ssl.c>
        </IfModule>

        <Directory /var/www/domain.de/web>
                Options FollowSymLinks
                AllowOverride All
                Order allow,deny
                Allow from all
        </Directory>
        <Directory /var/www/clients/client1/web1/web>
                Options FollowSymLinks
                AllowOverride All
                Order allow,deny
                Allow from all
        </Directory>




        # suexec enabled
        <IfModule mod_suexec.c>
            SuexecUserGroup web1 client1
        </IfModule>
        # Clear PHP settings of this website
        <FilesMatch "\.ph(p3?|tml)$">
                SetHandler None
        </FilesMatch>
        # php as fast-cgi enabled
    # For config options see: mod_fcgid - Apache HTTP Server
        <IfModule mod_fcgid.c>
                IdleTimeout 300
                ProcessLifeTime 3600
# MaxProcessCount 1000
                DefaultMinClassProcessCount 0
                DefaultMaxClassProcessCount 100
                IPCConnectTimeout 3
                IPCCommTimeout 360
                BusyTimeout 300
        </IfModule>
        <Directory /var/www/domain.de/web>
                AddHandler fcgid-script .php .php3 .php4 .php5
                FCGIWrapper /var/www/php-fcgi-scripts/web1/.php-fcgi-starter .php
                Options +ExecCGI
                AllowOverride All
                Order allow,deny
                Allow from all
        </Directory>
        <Directory /var/www/clients/client1/web1/web>
                AddHandler fcgid-script .php .php3 .php4 .php5
                FCGIWrapper /var/www/php-fcgi-scripts/web1/.php-fcgi-starter .php
                Options +ExecCGI
                AllowOverride All
                Order allow,deny
                Allow from all
        </Directory>
<IfModule mpm_itk_module>
            AssignUserId web1 client1
        </IfModule>

        <IfModule mod_dav_fs.c>
        # Do not execute PHP files in webdav directory
            <Directory /var/www/clients/client1/web1/webdav>
                <ifModule mod_security2.c>
                    SecRuleRemoveById 960015
                    SecRuleRemoveById 960032
                </ifModule>
                <FilesMatch "\.ph(p3?|tml)$">
                    SetHandler None
                </FilesMatch>
            </Directory>
            DavLockDB /var/www/clients/client1/web1/tmp/DavLock
            # DO NOT REMOVE THE COMMENTS!
            # IF YOU REMOVE THEM, WEBDAV WILL NOT WORK ANYMORE!
      # WEBDAV BEGIN
            # WEBDAV END
        </IfModule>
Options +FollowSymLinks
</VirtualHost>


Einige rewrite habe ich jetzt rausgelassen, sind aber noch mit drin.

Die symlinks habe ich angepasst.

Gruß
STEFAN


----------



## stefanr (23. Juli 2013)

Guten Morgen Till,

das Thema wird immer verrückter, und mir gehen langsam die Ideen aus.

Mein roundcube (webmail) unter https://webmail.domain.de zeigt nur noch 
*It works!!*

Im Verzeichnis 

server:/usr/share/roundcube# ls -al
total 24
drwxr-xr-x   6 root root 4096 Jun 13 17:32 .
drwxr-xr-x 131 root root 4096 Jul 15 13:38 ..
lrwxrwxrwx   1 root root   19 Jun 13 17:32 roundcube -> roundcubemail-0.8.2
drwxr-xr-x  11  501   80 4096 Oct 29  2012 roundcubemail-0.7.1
drwxr-xr-x  11  501   80 4096 Jul 23 08:30 roundcubemail-0.8.2
drwxr-xr-x  11  501   80 4096 Jun 13 17:20 roundcubemail-0.9.1
drwxr-xr-x   3 root root 4096 Jul  2  2012 ssl

kann ich nirgends den Inhalt der Seite finden. Die vhost vom webmail schaut aus:

<virtualhost 188.40.204.101:80>
    ServerName webmail.domain.de
    RedirectMatch permanent ^.*$ https://webmail.domain.de/
</virtualhost>

<VirtualHost 188.40.204.101:443>
    ServerAdmin webmaster@domain.de
    ServerName webmail.domain.de
    DocumentRoot /usr/share/roundcube/roundcube
    <Directory />
        Options FollowSymLinks
        AllowOverride None
    </Directory>
    <Directory /usr/share/roundcube/roundcube>
        Options Indexes FollowSymLinks MultiViews
        AllowOverride None
        Order allow,deny
        allow from all
    </Directory>

    ErrorLog /var/log/apache2/roundcube/error.log

    # Possible values include: debug, info, notice, warn, error, crit,
    # alert, emerg.
    LogLevel warn

    CustomLog /var/log/apache2/roundcube/error.log combined

    <IfModule mod_ssl.c>
      SSLEngine on
      SSLCertificateFile /usr/share/roundcube/ssl/webmail.domain.de.crt
      SSLCertificateKeyFile /usr/share/roundcube/ssl/webmail.domain.de.key
      SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown
      CustomLog /var/log/apache2/roundcube/ssl_request_log "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
    </IfModule>

    php_value post_max_size 10M
    php_value upload_max_filesize 10M

    #ServerSignature On
    #RewriteEngine on
    #RewriteCond %{HTTP_HOST}   ^ispconfig.domain.de [NC]
    #RewriteRule ^/(.*)$ https://ispconfig.domain.de:8080/$1  [R,L]
    #RewriteCond %{HTTP_HOST}   ^webmail.domain.de [NC]
    #RewriteRule ^/webmail(.*)$ https://webmail.domain.de/$1  [R,L]
</VirtualHost>

Das apache2 logging scheint auch nicht mehr so 100% sauber zu laufen:

server:/var/log/apache2# ls -latrh
-rw-r-----  1 root adm   19K Jul 22 22:54 ssl_access.log.1
-rw-r-----  1 root adm  3.4K Jul 22 23:15 suexec.log.1
-rw-r-----  1 root adm  7.0M Jul 23 00:02 other_vhosts_access.log.1
drwxr-x---  4 root adm   36K Jul 23 00:02 .
-rw-r-----  1 root adm   27K Jul 23 00:02 error.log.1
drwxr-xr-x 16 root root  24K Jul 23 01:00 ..
-rw-r-----  1 root adm  5.3K Jul 23 08:31 ssl_access.log
-rw-r-----  1 root adm  1.1K Jul 23 08:35 suexec.log
-rw-r-----  1 root adm  6.6K Jul 23 08:35 error.log
-rw-r-----  1 root adm  955K Jul 23 08:37 other_vhosts_access.log

server:/var/log/apache2# ls -latrh access.log*
-rw-r----- 1 root adm 1.5K Jul  2  2012 access.log.2.gz
-rw-r----- 1 root adm  98K Jul  3  2012 access.log.1
-rw-r----- 1 root adm    0 Jul  4  2012 access.log

server:/var/log/apache2# ls -latrh error.log*
-rw-r----- 1 root adm 1.4K Jul 22 00:01 error.log.2.gz
-rw-r----- 1 root adm  27K Jul 23 00:02 error.log.1
-rw-r----- 1 root adm 6.6K Jul 23 08:35 error.log

es scheint so als wenn der apache2 kein access.log mehr schreibt.

Das Ispconfig Webinterface ist sauber erreichbar, meine Webseite Domain.de soweit auch. 
_*Der Upload im wordpress klappt auf einmal auch wieder!*_

Ich habe in der ispconfig.vhost folgende Zeilen wieder aktiviert und den apache2 danach neu gestartet. Danach den upload sowie das ISPConfig getestet das geht.

<IfModule mod_fcgid.c>
    DocumentRoot /var/www/ispconfig/
    SuexecUserGroup ispconfig ispconfig
    <Directory /var/www/ispconfig/>
      Options Indexes FollowSymLinks MultiViews +ExecCGI
      AllowOverride AuthConfig Indexes Limit Options FileInfo
      AddHandler fcgid-script .php
      FCGIWrapper /var/www/php-fcgi-scripts/ispconfig/.php-fcgi-starter .php
      Order allow,deny
      Allow from all
    </Directory>
  </IfModule>

Jetzt bleiben die Probleme:
- logging
- webmail

Ich versuche im Moment Fakten zusammen zu sammeln, damit alles an Infos vorhanden sind.

Gruß

STEFAN


----------



## magenbrot (25. Juli 2013)

Ist der Vhost für dein Webmail auch unter sites-enabled im apache2 Verzeichnis verlinkt? Das wird aus deinem Post nicht ganz klar.


----------



## stefanr (28. Juli 2013)

Hallo,

sorry der späten Antwort. Ja ist er. Jetzt scheint das Webmail aber auch wieder zu klappen.

Jetzt bleibt eigentlich nur noch die Frage nach dem Logfile vom apache2.

Gruß

STEFAN


----------



## nowayback (28. Juli 2013)

hi,

wenn du das meinst:


> [Thu Jul 18 20:17:53 2013] [warn] RSA server certificate CommonName (CN) `ispconfig.domain.de' does NOT match server name!?


die meldung besagt das dein server nicht ispconfig.domain.de heißt sonder halt irgendwie anders z.b. server1.domain.de

grüße
nwb


----------



## simplemodus (12. Aug. 2013)

wie hast du das gelöst ? bei mir zeigt das isp selbst nur it works mehr an ;-//


----------



## stefanr (25. Aug. 2013)

Hallo,

leider kann ich das nicht sagen, da es irgendwie wieder funktionierte.

Jetzt nach Update auf ISPConfig 3.0.5.3 habe ich das Problem wieder. Die ispconfig Oberfläche ist per https leider nicht mehr erreichbar, nur per http funktioniert es Problemlos.

Kann mir dabei nochmal jemand helfen? Ich verstehe nicht das es nach dem Update nicht mehr laufen soll.

Fehlerbild:

nach Update https:

Ein Fehler ist während einer Verbindung mit ispconfig.rr-netz.de:8080 aufgetreten.
SSL hat einen Eintrag erhalten, der die maximal erlaubte Länge überschritten hat.
(Fehlercode: ssl_error_rx_record_too_long)

nach Update http:
funktioniert

alte ispconfig.vhost&ispconfig.conf https:

*Warning*:  require_once(../lib/config.inc.php) [function.require-once]: failed to open stream: Permission denied in */usr/local/ispconfig/interface/web/index.php* on line *31*
*Fatal error*:  require_once() [function.require]: Failed opening required '../lib/config.inc.php' (include_path='.:/usr/share/php:/usr/share/pear') in */usr/local/ispconfig/interface/web/index.php* on line *31*

alte ispconfig.vhost&ispconfig.conf http:
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"> <html><head> <title>400 Bad Request</title> </head><body> <h1>Bad Request</h1> <p>Your browser sent a request that this server could not understand.<br /> Reason: You're speaking plain HTTP to an SSL-enabled server port.<br /> Instead use the HTTPS scheme to access this URL, please.<br /> <blockquote>Hint: <a href="https://gandor.tec-rrnetz.de:8080/"><b>https://gandor.tec-rrnetz.de:8080/</b></a></blockquote></p> </body></html> 


Alle anderen https Seiten funktionieren Problemlos.

Danke und Gruß

STEFAN


----------



## Till (26. Aug. 2013)

Der php fehler besagt dass mod_fcgi nicht installiert oder aktiviert ist und der ssl fehler besagt dass ssl nicht aktiv it, wahrscheinlich liegt dein ssl cert nicht im richtigen verzeichnis oder hat einen falschen namen.


----------



## stefanr (26. Aug. 2013)

Guten Morgen Till,

das hatten wir doch eigentlich schon ausgeschlossen oder?



Zitat von stefanr:


> Hi Till,
> 
> das wundert mich es lief auf dem Server ja bereits vor dem Umzug
> 
> ...


Habe soeben noch einmal nachgesehen. Es ist immer noch so.

Womit du aber Recht hast ist das beim Zertifikat etwas nicht stimmt.

In /etc/apache2/sites-available/ispconfig.vhost schaut der SSL Bereich wie folgt aus:

  # ErrorLog /var/log/apache2/error.log
  # CustomLog /var/log/apache2/access.log combined
  ServerSignature Off

  <IfModule mod_security2.c>
    SecRuleEngine Off
  </IfModule>

  # SSL Configuration
  #SSLEngine On
  #SSLCertificateFile /usr/local/ispconfig/interface/ssl/ispserver.crt
  #SSLCertificateKeyFile /usr/local/ispconfig/interface/ssl/ispserver.key
  #SSLCACertificateFile /usr/local/ispconfig/interface/ssl/ispserver.bundle

ls -al /usr/local/ispconfig/interface/ssl
total 24
drwxr-s--- 2 ispconfig ispconfig 4096 Sep  6  2009 .
drwxr-s--- 7 ispconfig ispconfig 4096 Sep  6  2009 ..
-rwxr-x--- 1 ispconfig ispconfig 1042 Sep  6  2009 server.crt
-rwxr-x--- 1 ispconfig ispconfig  834 Sep  6  2009 server.csr
-rwxr-x--- 1 ispconfig ispconfig  887 Sep  6  2009 server.key
-rwxr-x--- 1 ispconfig ispconfig  963 Sep  6  2009 server.key.org

Was ist denn beim Update schiefgelaufen das die Config das anders haben will als die Dateien lauten?

Wie soll ich weiter vorgehen?

Danke und Gruß

STEFAN


----------



## Till (26. Aug. 2013)

Die SSL dateien in ISPConfig heißen schon immer ispserver.crt und ispserver.key. Deine Dateien heißen anders und können dahre nicht erkannt werden. Du musst sie mal manuell angelegt und konfiguriert haben. benenne sie einfach in ispserver.* um und entferne dann die # vor den zeilen:

#SSLEngine On
#SSLCertificateFile /usr/local/ispconfig/interface/ssl/ispserver.crt
#SSLCertificateKeyFile /usr/local/ispconfig/interface/ssl/ispserver.key

und starte apache neu. Dann wird ein SSL auch nach dem nächsten Update noch funktionieren.


----------



## stefanr (26. Aug. 2013)

Hallo Till,

das hat natürlich funktioniert. Macht es Sinn beim nächsten Update die Frage nach dem SSL Zertifikat neu generieren mit JA zu beantworten.
Wird dann nochmal alles ordentlich neu angelegt?

Gruß

STEFAN


----------



## Till (26. Aug. 2013)

> das hat natürlich funktioniert. Macht es Sinn beim nächsten Update die Frage nach dem SSL Zertifikat neu generieren mit JA zu beantworten.


Nein. Außer Du willst ein neues SSL Zertifikat haben z.B. weil Dein altes abgelaufen ist.


----------

