Apache Friends Support Forum

[rammi22]

Hallo,

ich betreibe eine VM mit debian buster. Dort habe ich ein ssl-Zertificat mit wildcards erstellt.

Code: Select all

root@debian10:xxx# openssl x509 -in /etc/ssl_zertifikat/module.crt -noout -subject
subject=C = AU, ST = Some-State, O = Internet Widgits Pty Ltd, CN = *.*.modules.local

beim Starten des Apache2 bekomme ich folgende Warnung

Code: Select all

[Tue Apr 07 12:08:08.090784 2020] [ssl:warn] [pid 764] AH01909: 127.0.1.1:443:0 server certificate does NOT include an ID which matches the server name

Der Versuch die Seite https://dev.test.modules.local aus der VM aufzurufen schlägt fehl mit der Meldung:

Code: Select all

Fehler: Verbindung fehlgeschlagen

meine modules.local.conf

Code: Select all

<VirtualHost *:443>
    SSLEngine on

    SSLCertificateFile /etc/ssl_zertifikat/module.crt
    SSLCertificateKeyFile /etc/ssl_zertifikat/module.key

    VirtualDocumentRoot "/media/sf_VM_DEBIAN_BUSTER/%2/%1/public"
    ServerAlias *.*.modules.local
    <Directory "/">
        Options Indexes FollowSymLinks MultiViews
        AllowOverride All
        Allow from All
        Require all granted
    </Directory>

    ErrorLog /media/sf_VM_DEBIAN_BUSTER/var/log/error.log
    CustomLog /media/sf_VM_DEBIAN_BUSTER/var/log/access.log combined
</VirtualHost>

Apache Status ist ok, also läuft. Aufruf http://192.168.56.1 zeigt die default-Seite des Apachen

die hosts-Datei auf dem Host-System (Win10) ist angepasst.

Ich denke, als erstes muß der Warnung des Apachen nachgegangen werden, aber ich sehe da keinen Fehler. Weder in der crt-Datei noch in der conf-Datei. Und matchen sollte beide...

Wie kann ich da vorgehen um den Fehler zu finden?

[Nobbie]

Ich denke, als erstes muß der Warnung des Apachen nachgegangen werden

Das sehe ich anders. Die Fehlermeldung ist noch krasser, d.h. dass Apache gar nicht erst erreicht wird. Also ob ein fehlerhaftes Zertifikat vorliegt oder nicht, spielt noch gar keine Rolle, der Server wird gar nicht erst erreicht. Ich habe keine Ahnung, wie Du die Netzverbindung von Windows zu Debian in der VM realisiert hast, ob NAT, Bridge oder was auch immer. Wenn NAT, fehlt vielleicht eine Portweiterleitung. Oder irgendeine Firewall funkt dazwischen. Das musst Du selbst rausfinden. Erst danach werden wir sehen, ob das Zertifikat wirklich Probleme macht.

P.S.: Die Fehlermeldung im Apache bzgl. des Servernamens erscheint mir aber berechtigt. Ist außerdem nur eine Warnung. Aber wenn ich es richtig sehe, ist der Server Name in der VM "debian10" (steht so im Prompt). Aber im Zertifikat steht wohl *.*.modules.local - das matcht ganz offensichtlich NICHT. Das hat allerdings (wie schon gesagt) nichts damit zu tun, dass Apache überhaupt nicht erreicht wird. Zur Laufzeit wird diese Warnung auch nichts machen, da zählen dann die Namen aus dem VirtualHost. Es kann auch sein, dass Apache den ServerName aus httpd.conf nimmt (statt des Systemwerts), aber den sehe ich hier leider nicht. Aber wie gesagt, es ist nur eine Warnung, dass da irgendwo ein ServerName existiert, für den es keinen passenden Eintrag im Zertifikat gibt. Das muss ja nicht heißen, dass es auch wirklich einen Request auf diesen ServerName gibt (da gäbe es dann eine Fehlermeldung, dass das Zertifikat nicht gültig ist, deswegen die präventive Warnung). Es kann auch sein, dass Apache den Wert 127.0.1.1 in der Warnung anmotzt. Auch dafür gibt es kein Zertifikat.

[rammi22]

...
Die Fehlermeldung ist noch krasser, d.h. dass Apache gar nicht erst erreicht wird. Also ob ein fehlerhaftes Zertifikat vorliegt oder nicht, spielt noch gar keine Rolle, der Server wird gar nicht erst erreicht...
Wenn NAT, fehlt vielleicht eine Portweiterleitung.
...

Netzwerkeln eben, nicht so meins...
Aber du hast recht, ich hatte eine Weiterleitung für Port 80 eingerichtet, aber nicht für Port 443. Jetzt geht alles, außer das die Warnung immer noch kommt. Aber dazu werde ich mich mal durch deine Liste hangeln.

Also Danke @Nobbie

Gruß Rammi

[Nobbie]

Jetzt geht alles, außer das die Warnung immer noch kommt.

Wie gesagt, Warnung spielt keine Rolle. Mit Sicherheit die Default Einstellung des ServerName in httpd.conf. WIrd ja sowieso nicht angesprochen, die Warnung kommt ja auch nur beim Booten von Apache. VIEEEL wichtiger ist, dass das Zertifikat zu den eigentlichen VirtualHosts passt. Alles andere ist doch "Schall und Rauch".