Apache 2.2 und SSL

Alles, was den Apache betrifft, kann hier besprochen werden.

Apache 2.2 und SSL

Postby faber » 20. July 2010 13:44

Hallo zusammen,
Ich habe ein eigentlich einfaches Anliegen, welches - eigentlich - sicherlich schon dutzende Male erfolgreich gelöst wurde. Warum es bei mir nicht funktioniert, erschliesst sich mir nicht.Am besten beschreibe ich wohl meine Vorgehensweise und was passiert:

Ich versuche mein Glück gemäß der Webseite http://tud.at/programm/apache-ssl-win32-howto.php3 und beginne bei Punkt 3.

c:\Programme\Apache Software Foundation\Apache2.2\conf>"c:\Programme\Apache Software Foundation\Apache2.2\bin\openssl.exe" req -config openssl.cnf -new -out dummy.csr
Loading 'screen' into random state - done Generating a 1024 bit RSA private key .........................++++++ ..++++++ writing new private key to 'privkey.pem'
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----
You are about to be asked to enter information that will be incorporated into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:DE
State or Province Name (full name) [Some-State]:NRW Locality Name (eg, city) []:Dummytown Organization Name (eg, company) [Internet Widgits Pty Ltd]:DummyCo Organizational Unit Name (eg, section) []:IT Common Name (eg, YOUR name) []:irrelevant Email Address []:dummy@gmx.de

Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []:mypassword An optional company name []:dummyoptionalcompany

c:\Programme\Apache Software Foundation\Apache2.2\conf>"c:\Programme\Apache Software Foundation\Apache2.2\bin\openssl.exe" rsa -in privkey.pem -out dummy.key
Enter pass phrase for privkey.pem:
writing RSA key

c:\Programme\Apache Software Foundation\Apache2.2\conf>"c:\Programme\Apache Software Foundation\Apache2.2\bin\openssl.exe" x509 -in dummy.csr -out dummy.cert -req -signkey dummy.key -days 365
Loading 'screen' into random state - done Signature ok subject=/C=DE/ST=NRW/L=Dummytown/O=DummyCo/OU=IT/CN=irrelevant/emailAddress=dummy@gmx.de
Getting Private key

Danach halte ich mich an Punkt 4 und trage

Code: Select all
LoadModule ssl_module modules/mod_ssl.so


in die httpd.conf ein. Das AddModule lasse ich weg, bringt einen Syntaxfehler.
Vom Teil mit

Code: Select all
SSLMutex sem
SSLRandomSeed startup builtin
SSLSessionCache none

SSLLog logs/SSL.log
SSLLogLevel info


bleiben nur zwei Zeilen übrig, der Rest wird nicht mehr unterstützt und verursacht Fehler:

Code: Select all
SSLRandomSeed startup builtin
SSLSessionCache none
SSLRandomSeed connect builtin


Wobei die Zeile mit SSLRandomSeed connect builtin aus der original Datei httpd.conf stammt.
Der ganze Abschnitt sieht damit so aus:

Code: Select all
<IfModule ssl_module>
SSLRandomSeed startup builtin
SSLSessionCache none
SSLRandomSeed connect builtin

<VirtualHost www.my-server.de:443>
SSLEngine On
SSLCertificateFile conf/ssl/dummy.cert
SSLCertificateKeyFile conf/ssl/dummy.key </VirtualHost>

</IfModule>

Starte ich nun den Apache, fliegt mir das hier um die Ohren:

[Tue Jul 20 12:06:16 2010] [error] Init: SSLPassPhraseDialog builtin is not supported on Win32 (key file C:/Programme/Apache Software Foundation/Apache2.2/conf/server.cert)


Google führt mich auf die Lösungsseiten, z.B. http://www.entrust.net/knowledge-base/technote.cfm?tn=5634 und https://support.quovadisglobal.com/KB/a90/i-get-error-message-error-init-sslpassphrasedialog.aspx Beide schlagen den gleichen Weg vor.

Ich tue wie mir geheißen, kopiere privkey.pem in server.key.org um und führe aus:

c:\Programme\Apache Software Foundation\Apache2.2\conf>"c:\Programme\Apache Software Foundation\Apache2.2\bin\openssl.exe" rsa -in server.key.org -out privkey.pem
Enter pass phrase for server.key.org:
writing RSA key

Ich kopiere nun die privkey.pem in das conf/ssl/-Verzeichnis und ändere entsprechend den Pfad in der httpd.conf:

Code: Select all
SSLCertificateKeyFile conf/ssl/privkey.pem


Abgespeichert und neuer Versuch Apache 2.2 Dienst zu starten. Gleicher Fehler wie vorher:

[Tue Jul 20 12:27:33 2010] [info] Init: Seeding PRNG with 136 bytes of entropy
[Tue Jul 20 12:27:33 2010] [info] Loading certificate & private key of SSL-aware server
[Tue Jul 20 12:27:33 2010] [info] Loading certificate & private key of SSL-aware server
[Tue Jul 20 12:27:33 2010] [error] Init: SSLPassPhraseDialog builtin is not supported on Win32 (key file C:/Programme/Apache Software Foundation/Apache2.2/conf/server.cert)


Ich weiß auch gar nicht, wieso da was von server.cert steht, das ist nirgends eingetragen. Selbst wenn ich die dummy.cert umbenenne in server.cert oder sie ins conf-Verzeichnis kopiere, es hilft nichts, der Fehler bleibt.

Danke schon mal, ich komme hier einfach nicht weiter.
faber
 
Posts: 3
Joined: 20. July 2010 12:37

Re: Apache 2.2 und SSL

Postby faber » 21. July 2010 09:49

Falls es jemanden interessieren sollte:
Der Fehler lag daran, dass ich in der httpd.conf die Pfade zum SSLCertificateFile und SSLCertificateKeyFile eintrug. Sie gehören aber in die httpd-ssl.conf im /conf/extra/-Verzeichnis. Damit ist dieser Fehler endlich unerwartet beseitigt, weiter geht es mit dem nächsten Fehler:
java.io.IOException: Keystore was tampered with, or password was incorrect
faber
 
Posts: 3
Joined: 20. July 2010 12:37

Re: Apache 2.2 und SSL

Postby Nobbie » 21. July 2010 11:32

Gib die Fehlermeldung im Volltext in Google ein - da kriegst Du massenhaft Treffer und einige sehr gute Tipps.

Das ist übrigens ein Tomcat Problem, das hättest Du durchaus nennen dürfen - hier ist nur leider auch kein Tomcat Forum. Aber Google hilft Dir garantiert (s.o.)
Nobbie
 
Posts: 8762
Joined: 09. March 2008 13:04

Re: Apache 2.2 und SSL

Postby faber » 22. July 2010 15:41

Ja, sorry, vergaß den Tomcat-Hinweis.

Nun habe ich den Apache soweit mit SSL konfiguriert und mit dem Tomcat "verheiratet via AJP, schon fällt mir etwas auf:
In der httpd.conf steht

Wenn ich im IE nun https://localhost/MyWebApp eingebe, werde ich zwar zur richtigen Seite geführt, aber der IE meckert mir Fehler an:
"Diese Seite enthält Fehler, die eine ordnungsgemäße Anzeige oder Funktionsweise verhindern können..."
Zeile: 7
Fehler: Das Objekt unterstützt diese Eigenschaft oder Methode nicht.
Zeile: 10
Fehler: Objekt erwartet
Zeile: 17
Fehler: Objekt erwartet

Die Seite wird dennoch geöffnet.
ABER:
Wenn ich die gemappte URL
direkt eingebe in den IE, gibt es diese Fehlermeldung nicht. Wieso? Und wo liegt der Fehler? Im Apache? Im Tomcat? Woanders?
faber
 
Posts: 3
Joined: 20. July 2010 12:37


Return to Apache

Who is online

Users browsing this forum: No registered users and 5 guests