Apache Friends Support Forum

[endi]

Hallo,

kennt jemand eine Lösung für folgendes Problem:

Habe 2 IP based VHosts mit SSL eingerichtet. Wenn ich Vhost2 mit SSL aufrufe, bekomme ich einen Zertifikatsfehler und das Zertifikat vom VHost1 angezeigt. Wenn ich die Einträge in der httpd-ssl.conf tausche und der VHost2 an erster Stelle steht, erhalte ich beim Aufruf von VHost1 den gleichen Zertifikatsfehler und das Zertifikat von VHost2 angezeigt.

Hier meine httpd-ssl.conf:

###############################################
Listen 192.168.1.222:443
Listen 192.168.1.195:443

SSLRandomSeed startup builtin
SSLSessionCache none
SSLMutex default

<VirtualHost 192.168.1.195:443>

SSLEngine on
SSLProxyEngine on

SSLCertificateFile /opt/lampp/etc/ssl.crt/abc.cert
SSLCACertificateFile /opt/lampp/etc/ssl.crt/abc-intermediate.cert
SSLCertificateKeyFile /opt/lampp/etc/ssl.key/abc.key

ProxyPass / https://www.abc.de/
ProxyPassReverse / https://www.abc.de/
ProxyPreserveHost On
</VirtualHost>

<VirtualHost 192.168.1.222:443>

SSLEngine on
SSLProxyEngine on

SSLCertificateFile /opt/lampp/etc/ssl.crt/def.cert
SSLCACertificateFile /opt/lampp/etc/ssl.crt/def-intermediate.cert
SSLCertificateKeyFile /opt/lampp/etc/ssl.key/def.key

ProxyPass / https://www.def.de/
ProxyPassReverse / https://www.def.de/
ProxyPreserveHost On
</VirtualHost>
##############################################

Bitte helft mir.


Danke im voraus.


Grüße

Andreas

[Nobbie]

Und auf welche Weise greifst Du nun auf die vhosts zu? Gibst Du im Browser https://192.168.1.222 ein resp. https://192.168.1.195?

[endi]

ne, ich hab bei mir in der hosts zum Testen die passenden Einträge gemacht.

Andreas

[Nobbie]

Prima.

Und was sind "passende" Einträge?

[endi]

na sowas hier:

192.168.1.195 www.abc.de
192.168.1.222 www def.de

Andreas

[Nobbie]

Und die heißen auch so?

Mich wundert, dass das überhaupt funktioniert, du hast da einen rekursiven ProxyPass drin, der ja nie ankommt. Der vhost www.abc.de macht einen ProxyPass von / auf www.abc.de (also sich selbst - was für ein Trick ist das?), und so weiter und so weiter...

Und beim zweiten vhost genauso, der ruft sich auch immer wieder selbst auf.

[endi]

tschuldigung, hätte ich dazu sagen müssen. Habe hier einen Apache unter Windows. Und da hatte ich Probleme mit DoS-Attacken. Da hab ich dem Windows Apachen einen Linux Apachen davorgesetzt mit mod_evasive und mod_security und bei dem will ich das SSL einrichten. Die httpd-ssl.conf ist von dem Linux Apachen. Der hat die IP-Adressen 192.168.1.222 und 192.168.1.195. Der Linux Apache leitet alles an den dahinterliegenden Windows Apachen weiter. Auf dem Linux Apachen habe ich auch wieder Einträge in die hosts gemacht für den Windows Apachen.

Andreas

[Nobbie]

Du hättest noch viel mehr sagen müssen und nach wie vor sagts Du zu wenig und was Du sagst, ist wahrscheinlich nicht einmal richtig. Mit Sicherheit heißen die vhosts nicht "www.abc.de" und mit Sicherheit sieht weder die hosts Datei noch die httpd.conf so aus.

Es ist eh schon sauschwer, fremde Rechner "Remote" zu debuggen ohne davor zu sitzen. Aber wenn der Fragesteller dann auch nur "so ungefähr" beschreibt, was vorliegt und selbst auf mehrfache konkrete Anfrage nur tröpfchenweise (aber dennoch nicht zutreffende) Infos kommen, dann ist auch für mich "Schicht".

Ich gebe auf - andere haben (zu Recht) es gar nicht erst versucht, aber so geht es nicht. Du mußt noch sehr viel lernen, wenn Du von Dritten wirkliche Hilfe erwartest. So geht es zumindest ganz sicher nicht.

Ich wünsche Dir viel Glück, Du wirst es möglicherweise brauchen. Mir ist es endgültig schlicht zu nervig.

[endi]

Hallo Nobbie,

danke für Deine schnellen Antworten. Als ich diese Frage in diesem Forum stellte, hatte ich überlegt, ob ich im Betreff "Anfänger - " davor stellen sollte. Das hätte ich mal lieber machen sollen. Vielleicht wärest Du dann etwas geduldiger mit mir gewesen. Ich habe mich hier 2006 registriert und das ist jetzt mein zweites Posting hier. Bitte entschuldige meine Ungeschicktheit. Ich bin auch sonst selten in Foren unterwegs. Und mit dem Apachen hab ich auch nur zu tun, wenn es "brennt".

Es ist wahr. Die Domainen der Websites sind nicht http://www.abc.de und http://www.def.de. Aber ich hatte hier im Forum andere Postings gesehen und da waren IP-Adressen und Domain-Namen auch geändert. Ich dachte, das wäre erlaubt. Wenn ich jetzt hier die richtigen Domain-Namen nenne, ist es für die Fehlersuche nicht hilfreich. Die Webseiten sind noch nicht online, da es das Problem mit den Zertifikaten gibt.

Ich dachte, der Fehler mit den Zertifikaten ist eine Sache zwischen Client/Browser und dem Linux-Apache. Das der die Webzugriffe per ProxyPass an einen zweiten Apachen weiterleitet, habe ich in dem Zusammenhang für zweitrangig gehalten und deshalb nicht erwähnt.

Ich hatte nicht gedacht, daß es so ins Detail geht. Bei meiner Suche per Google hatte ich in anderen Foren Postings gesehen, wo zwei oder drei ebenfalls dieses Problem hatten. Da stand aber entweder keine Lösung dazu oder die geposteten Antworten haben bei mir nicht geholfen.

Ich war der Meinung, daß dieses Problem hier bestimmt dem einen oder anderen schon einmal passiert ist und keiner tieferen Suche bedarf. Das letzte was ich wollte war, jemanden wegen dieses Problems zu verärgern oder eine längere Zeit beschäftigen. Ich weiß es zu schätzen, daß Du Deine Zeit damit verbringst, Unwissenden wie mir zu helfen. Ich habe große Hochachtung vor Menschen wie Dir, die mit Ihrem Wissen solche Foren beleben. Bitte gib mir eine zweite Chance.


Andreas

PS: Die hosts und die httpd-ssl.conf sehen bei mir wirklich so aus bis auf die Domain-Namen.

[Nobbie]

>PS: Die hosts und die httpd-ssl.conf sehen bei mir wirklich so aus bis auf die Domain-Namen.

Das ist aber der Knackpunkt, wo es kaputt geht! Und so lange nicht irgendetwas von vorneherein als Ursache ausgeschlossen werden kann (und das ist hier beileibe nicht der Fall) ist es das ALLERWICHTIGSTE, zu 100%(!) Originaldaten und Zustand zu beschreiben. Fast immer ist es so, wenn man etwas vereinfacht oder wegläßt, dann schüttet man das Kind mit dem Bade aus und vertuscht damit die Fehlerursache.

Also, wir haben sogar 2 Server. Dann brauchen wir hier von beiden(!) Servern sowohl die httpd.conf (insbesondere die vhosts) und von beiden Servern die hosts Datei - und zwar die "echten". Sonst geht es nicht.

Du kannst ja selbst schon mal testet, ob es besser läuft, wenn die ProxyPass Anweisungen raus sind (ich weiß nicht, ob es dann eine funktionierende Infrastruktur gibt). Noch ist ja nicht einmal geklärt, wo das falsche Zertifikat herkommt. Meine Vermutung ist, dass irgendwo die VirtualHost Anweisung nicht richtig ausgeführt wird (weil sie entweder falsch ist, oder die IPs oder die Servernamen nicht stimmen). Aber das kann man nur beurteilen, wenn mans sieht, was Konfiguriert ist.

[endi]

ok. Habe die ProxyPass Anweisungen für beide Webseiten auf dem Linux-Apachen entfernt und dort unter /opt/lampp/htdocs zwei Home-Verzeichnisse abc und def eingerichtet. Dort habe ich lediglich je eine index.html erstellt:

<html><body>Testseite ABC </body></html>

<html><body>Testseite DEF </body></html>

Der Zugriff auf http://www.abc.de und http://www.def.de über Port 80 klappt. Der Zugriff auf https://www.abc.de funktioniert auch. Bei Zugriff auf https://www.def.de kommt die Fehlermeldung:

Sichere Verbindung fehlgeschlagen
http://www.def.de verwendet ein ungültiges Sicherheitszertifikat.
Das Zertifikat gilt nur für http://www.abc.de.
(Fehlercode: ssl_error_bad_cert_domain)

Tausche ich die Reichenfolge der vhost-Einträge in der my-httpd-ssl.conf, kehrt sich die Fehlermeldung um. Die Seite http://www.def.de hat ein gültiges Zertifikat, aber die Seite http://www.abc.de plötzlich nicht mehr.


Andreas

PS:

Hier kommt die hosts von meinem PC:
.................................................................

192.168.1.195 http://www.abc.de
192.168.1.222 http://www.def.de

Das ist die hosts vom Linux Apachen:
..................................................................

127.0.0.1 DMZAPA03 localhost.localdomain localhost

# The following lines are desirable for IPv6 capable hosts
::1 ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
ff02::3 ip6-allhosts

Das ist die httpd-vhosts.conf des Linux-Apachen:
.........................................................................

<VirtualHost 192.168.1.195:80>
DocumentRoot /opt/lampp/htdocs/abc
</VirtualHost>

<VirtualHost 192.168.1.222:80>
DocumentRoot /opt/lampp/htdocs/def
</VirtualHost>

Das ist die my-httpd-ssl.conf des Linux-Apachen
............................................................................

Listen 192.168.1.222:443
Listen 192.168.1.195:443

SSLRandomSeed startup builtin
SSLSessionCache none
SSLMutex default

<VirtualHost 192.168.1.195:443>

SSLEngine on
SSLProxyEngine on

SSLCertificateFile /opt/lampp/etc/ssl.crt/abc.cert
SSLCACertificateFile /opt/lampp/etc/ssl.crt/abc-intermediate.cert
SSLCertificateKeyFile /opt/lampp/etc/ssl.key/abc.key

DocumentRoot /opt/lampp/htdocs/abc
</VirtualHost>

<VirtualHost 192.168.1.222:443>

SSLEngine on
SSLProxyEngine on

SSLCertificateFile /opt/lampp/etc/ssl.crt/def.cert
SSLCACertificateFile /opt/lampp/etc/ssl.crt/def-intermediate.cert
SSLCertificateKeyFile /opt/lampp/etc/ssl.key/def.key

DocumentRoot /opt/lampp/htdocs/def
</VirtualHost>

Und das ist die httpd.conf des Linux-Apachen:
.........................................................................

ServerRoot "/opt/lampp"

Listen 192.168.1.195:80
Listen 192.168.1.222:80

LoadModule authn_file_module modules/mod_authn_file.so
LoadModule authn_dbm_module modules/mod_authn_dbm.so
LoadModule authn_anon_module modules/mod_authn_anon.so
LoadModule authn_dbd_module modules/mod_authn_dbd.so
LoadModule authn_default_module modules/mod_authn_default.so
LoadModule authz_host_module modules/mod_authz_host.so
LoadModule authz_groupfile_module modules/mod_authz_groupfile.so
LoadModule authz_user_module modules/mod_authz_user.so
LoadModule authz_dbm_module modules/mod_authz_dbm.so
LoadModule authz_owner_module modules/mod_authz_owner.so
LoadModule authnz_ldap_module modules/mod_authnz_ldap.so
LoadModule authz_default_module modules/mod_authz_default.so
LoadModule auth_basic_module modules/mod_auth_basic.so
LoadModule auth_digest_module modules/mod_auth_digest.so
LoadModule file_cache_module modules/mod_file_cache.so
LoadModule cache_module modules/mod_cache.so
LoadModule disk_cache_module modules/mod_disk_cache.so
LoadModule mem_cache_module modules/mod_mem_cache.so
LoadModule bucketeer_module modules/mod_bucketeer.so
LoadModule dumpio_module modules/mod_dumpio.so
LoadModule echo_module modules/mod_echo.so
LoadModule case_filter_module modules/mod_case_filter.so
LoadModule case_filter_in_module modules/mod_case_filter_in.so
LoadModule ext_filter_module modules/mod_ext_filter.so
LoadModule include_module modules/mod_include.so
LoadModule filter_module modules/mod_filter.so
LoadModule charset_lite_module modules/mod_charset_lite.so
LoadModule deflate_module modules/mod_deflate.so
LoadModule ldap_module modules/mod_ldap.so
LoadModule log_config_module modules/mod_log_config.so
LoadModule logio_module modules/mod_logio.so
LoadModule env_module modules/mod_env.so
LoadModule mime_magic_module modules/mod_mime_magic.so
LoadModule cern_meta_module modules/mod_cern_meta.so
LoadModule expires_module modules/mod_expires.so
LoadModule headers_module modules/mod_headers.so
LoadModule ident_module modules/mod_ident.so
LoadModule usertrack_module modules/mod_usertrack.so
LoadModule unique_id_module modules/mod_unique_id.so
LoadModule setenvif_module modules/mod_setenvif.so
LoadModule proxy_module modules/mod_proxy.so
LoadModule proxy_connect_module modules/mod_proxy_connect.so
LoadModule proxy_ftp_module modules/mod_proxy_ftp.so
LoadModule proxy_http_module modules/mod_proxy_http.so
LoadModule proxy_ajp_module modules/mod_proxy_ajp.so
LoadModule proxy_balancer_module modules/mod_proxy_balancer.so
LoadModule mime_module modules/mod_mime.so
LoadModule dav_module modules/mod_dav.so
LoadModule status_module modules/mod_status.so
LoadModule autoindex_module modules/mod_autoindex.so
LoadModule asis_module modules/mod_asis.so
LoadModule info_module modules/mod_info.so
LoadModule suexec_module modules/mod_suexec.so
LoadModule cgi_module modules/mod_cgi.so
LoadModule cgid_module modules/mod_cgid.so
LoadModule dav_fs_module modules/mod_dav_fs.so
LoadModule vhost_alias_module modules/mod_vhost_alias.so
LoadModule negotiation_module modules/mod_negotiation.so
LoadModule dir_module modules/mod_dir.so
LoadModule imagemap_module modules/mod_imagemap.so
LoadModule actions_module modules/mod_actions.so
LoadModule speling_module modules/mod_speling.so
LoadModule userdir_module modules/mod_userdir.so
LoadModule alias_module modules/mod_alias.so
LoadModule rewrite_module modules/mod_rewrite.so
LoadModule apreq_module modules/mod_apreq2.so
LoadModule ssl_module modules/mod_ssl.so

<IfDefine JUSTTOMAKEAPXSHAPPY>
LoadModule php4_module modules/libphp4.so
LoadModule php5_module modules/libphp5.so
</IfDefine>


# M O D E V A S I V E
LoadModule evasive20_module modules/mod_evasive20.so

# M O D S E C U R I T Y
LoadFile /opt/lampp/lib/libxml2.so
LoadFile /usr/lib/liblua5.1.so
LoadModule security2_module modules/mod_security2.so


<IfModule !mpm_winnt_module>
<IfModule !mpm_netware_module>
User nobody
Group nogroup
</IfModule>
</IfModule>

ServerAdmin you@example.com

ServerName localhost

DocumentRoot "/opt/lampp/htdocs"

<Directory />
Options FollowSymLinks
AllowOverride None
#XAMPP
#Order deny,allow
#Deny from all
</Directory>

<Directory "/opt/lampp/htdocs">
Options Indexes FollowSymLinks ExecCGI Includes

AllowOverride All
Order allow,deny
Allow from all

</Directory>

<IfModule dir_module>
DirectoryIndex index.html index.html.var index.php index.php3 index.php4
</IfModule>

<FilesMatch "^\.ht">
Order allow,deny
Deny from all
</FilesMatch>

ErrorLog logs/error_log

LogLevel warn

<IfModule log_config_module>
LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
LogFormat "%h %l %u %t \"%r\" %>s %b" common

<IfModule logio_module>
LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\" %I %O" combinedio
</IfModule>

CustomLog logs/access_log common

</IfModule>

<IfModule alias_module>
ScriptAlias /cgi-bin/ "/opt/lampp/cgi-bin/"
</IfModule>

<IfModule cgid_module>
</IfModule>

<Directory "/opt/lampp/cgi-bin">
AllowOverride None
Options None
Order allow,deny
Allow from all
</Directory>

DefaultType text/plain

<IfModule mime_module>
TypesConfig etc/mime.types

AddType application/x-compress .Z
AddType application/x-gzip .gz .tgz
AddHandler cgi-script .cgi .pl
AddType text/html .shtml
AddOutputFilter INCLUDES .shtml
</IfModule>

EnableMMAP off
EnableSendfile off

Include etc/extra/httpd-autoindex.conf

Include etc/extra/httpd-vhosts.conf

Include etc/extra/httpd-default.conf

<IfModule ssl_module>
<IfDefine SSL>
Include etc/extra/my-httpd-ssl.conf
</IfDefine>
</IfModule>
<IfModule ssl_module>
SSLRandomSeed startup builtin
SSLRandomSeed connect builtin
</IfModule>

Include etc/extra/httpd-xampp.conf

# M O D S E C U R I T Y
Include etc/modsecurity/*.conf

<IfModule mod_evasive20.c>
DOSHashTableSize 49157
DOSPageCount 5
DOSSiteCount 50
DOSPageInterval 10
DOSSiteInterval 1
DOSBlockingPeriod 60
DOSEmailNotify me@ghi.de
DOSLogDir "/var/lock"
DOSSystemCommand "/usr/bin/sudo /sbin/iptables -I INPUT -s %s -j DROP"
DOSWhitelist 172.20.1.180
</IfModule>

[Nobbie]

Hier kommt die hosts von meinem PC:
.................................................................

192.168.1.195 http://www.abc.de
192.168.1.222 http://www.def.de

Das sind also nun die richtigen Domainnamen? Wundert mich zwar, weil Du oben geschrieben hattes, das wären sie nicht, aber Du hattest ja Besserung versprochen und wolltest es nun richtig machen.

Wie kommst Du auf diese beiden IPs? Sind das zwei Netzwerkkarten in Deinem PC? Wie kommt man "von außen" auf diesen PC, denn das sind interne Adressen? Wie testest Du das Umfeld?

Was passiert, wenn Du nicht http://www.abc.de sondern https://192.168.1.195 bzw. nicht https://www.def.de sondern https://192.168.1.222 im Browser (in welchem? Von wo aus?) eingibst?? Wie kann man von einem Dritt-PC den Domainnamen www.abc.de (resp. www.def.de) aufrufen (dort sind die Domains ja unbekannt)?

[endi]

Ich hab mir hier zum Testen einen Fünf-Port-Hub hergestellt und zwei PCs sind über diesen Hub miteinander verbunden. Es gibt zur Zeit keine andere Netzwerkverbindung. Auf dem PC1 läuft der Linux-Apache. Er hat physisch die IP-Adresse 192.168.1.92 und die virtuellen IP-Adressen 192.168.1.195(http://www.abc.de) und 192.168.1.222(http://www.def.de). Der PC 2 mit Windows XP hat die IP-Adresse 192.168.1.90. Von diesem Rechner aus greife ich auf den Linux-Apachen per Browser Mozilla Firefox 3.0.1 zu. Das ist das Testumfeld.

Wenn ich am PC2 (WinXP) https://192.168.1.195 oder https://192.168.1.222 im Browser eingeben, erhalte ich diese Fehlermeldung:

Sichere Verbindung fehlgeschlagen
192.168.1.195:443 verwendet ein ungültiges Sicherheitszertifikat.
Das Zertifikat gilt nur für http://www.abc.de.
(Fehlercode: ssl_error_bad_cert_domain)

oder

Sichere Verbindung fehlgeschlagen
192.168.1.222:443 verwendet ein ungültiges Sicherheitszertifikat.
Das Zertifikat gilt nur für http://www.abc.de.
(Fehlercode: ssl_error_bad_cert_domain)

Dadurch daß das alles eher eine lokale Geschichte ist, kann man von einem Dritt-PC nichts aufrufen.


Andreas

[Nobbie]

>Er hat physisch die IP-Adresse 192.168.1.92 und die virtuellen IP-Adressen

Was heißt das? Das sagt mir nichts - wie richtet man "virtuelle" IP-Adressen ein?

[endi]

Vielleicht habe ich den falschen Ausdruck verwendet(virtuell). In meiner /etc/network/interfaces sieht das so aus:

auto lo
iface lo inet loopback

auto eth3
iface eth3 inet static
address 192.168.1.92
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255
gateway 192.168.1.254
auto eth3:1
iface eth3:1 inet static
address 192.168.1.222
netmask 255.255.255.0
network 192.168.1.0
auto eth3:2
iface eth3:2 inet static
address 192.168.1.195
netmask 255.255.255.0
network 192.168.1.0


Als Beschreibung hab ich hier einen Artikel bei Wikipedia gefunden.

http://de.wikipedia.org/wiki/IP-Adresse

Die Beschreibung unter 3.5 trifft das was ich meine.


Andreas