Hallo Zusammen,
nun hatte ich wieder Zeit für die Weiterführung meines
Projektes & daher nun wieder die gleiche SSL - Problematik.
Da die Einrichtung der SSL Zertifikate ( siehe vorherige
Beiträge ) in PLESK & Apache offebar in Ordnung war,
nach Tests auf der Konsole über bekannte Befehle & eine
Verifizierung bei SSLSHopper, beschäftigte mich nun,
dass stets, wenn ich die Seite aufrufe, nur die Standard -
Site des Parallels Servers kommt.
Ich habe ein Zertifikat von Host Europe für meine Website,
diese umfasst "XXXXXXX.de" & "www.XXXXXXX.de" ( meine
Websites ).
Nun habe ich enrsthafte Zweifel an den SSL - Zertifikats -
Einstellugen in Apache. Ich habe in Apache folgende Conf :
--------------------------------------------------------------------------------------
Ports.Conf :
NameVirtualHost *:80
Listen XXX.XXX.XXX.XXX:80 ----> eigene IP Adresse des Servers<IfModule mod_ssl.c>
# If you add NameVirtualHost *:443 here, you will also have to change
# the VirtualHost statement in /etc/apache2/sites-available/default-ssl
# to <VirtualHost *:443>
# Server Name Indication for SSL named virtual hosts is currently not
# supported by MSIE on Windows XP. NameVirtualHost *:443
Listen XXX.XXX.XXX.XXX:443 ----> eigene IP Adresse des Servers</IfModule>
<IfModule mod_gnutls.c>
Listen 443
</IfModule>
--------------------------------------------------------------------------------------
Ich aktivierte über den Befehl "a2ensite" diese 2 Sites im
Ordner "Site - Available" :
"default"
"default-ssl"
Die Verlinkung des Inhaltes des Ordners "Sites - Enabled "
besagt :
000-default --> ../ sites-available / default
default - ssl --> ../ sites-available /default - ssl
Die Verlinkung der Sites ist im Grunde so in Ordnung, oder ?
Dann editierte ich die Datei "default -ssl" bezgl.
der SSL Einträge. Ich aktiverte :
-----------------------------------------------------------------------------
# SSL Engine Switch:
# Enable/Disable SSL for this virtual host.SSLEngine on
# A self-signed (snakeoil) certificate can be created by installing
# the ssl-cert package. See
# /usr/share/doc/apache2.2-common/README.Debian.gz for more info.
# If both key and certificate are stored in the same file, only the
# SSLCertificateFile directive is needed.SSLCertificateFile /etc/ssl/certs/www.XXXXXXX.de.pem ----> Gesamtes Zertifkat
SSLCertificateKeyFile /etc/ssl/private/www.XXXXXXX.de.key ----> Private Key des Zertifkats----
# Server Certificate Chain:
# Point SSLCertificateChainFile at a file containing the
# concatenation of PEM encoded CA certificates which form the
# certificate chain for the server certificate. Alternatively
# the referenced file can be the same as SSLCertificateFile
# when the CA certificates are directly appended to the server
# certificate for convinience.SSLCertificateChainFile /etc/apache2/ssl.crt/www.XXXXXXX.pem ----> Gleiches Zertifikat wie SSLCertificateFile, laut Apache in Ordnung ??----
# Certificate Authority (CA):
# Set the CA certificate verification path where to find CA
# certificates for client authentication or alternatively one
# huge file containing all of them (file must be PEM encoded)
# Note: Inside SSLCACertificatePath you need hash symlinks
# to point to the certificate files. Use the provided
# Makefile to update the hash symlinks after changes.SSLCACertificatePath /etc/ssl/certs/
SSLCACertificateFile /etc/apache2/ssl.crt/www.XXXXXXX.de.crt ----> Inhalt ist der CA Teil meines Zertifikats ( Zw. Zertifikat ) ?Weiter aktivierte ich folgende Einträge :
# Client Authentication (Type):
# Client certificate verification type and depth. Types are
# none, optional, require and optional_no_ca. Depth is a
# number which specifies how deeply to verify the certificate
# issuer chain before deciding the certificate is not valid.SSLVerifyClient require
SSLVerifyDepth 10als auch den Location - Eintrag :
<Location />
SSLRequire ( %{SSL_CIPHER} !~ m/^(EXP|NULL)/ \
and %{SSL_CLIENT_S_DN_O} eq "Snake Oil, Ltd." \
and %{SSL_CLIENT_S_DN_OU} in {"Staff", "CA", "Dev"} \
and %{TIME_WDAY} >= 1 and %{TIME_WDAY} <= 5 \
and %{TIME_HOUR} >= 8 and %{TIME_HOUR} <= 20 ) \
or %{REMOTE_ADDR} =~ m/^192\.76\.162\.[0-9]+$/
</Location>Nachtrag :
Was ist das für eine Remote - Addr. in dem Location
Eintrag ? Ändere ich diese auf meine IP bzw. meine
IP und im 4. Block bliebt es bei [ 0 - 9 ] ??
Ich bitte um Rat.
--------------------------------------------------------------------------------------
Erwähnt sei noch, dass ich natürlich die eigehende
Verbindung für den Port 443 auf meiner Firewall
freigeschaltet habe.
Sind diese Einträge in meiner "default-ssl" so OK, oder sehr ihr
irgendwelche Mängel ?
Viele Grüße
DCK