Apache startet nicht mehr - kein Logging mehr

[bts_freak]

Hallo!

Habe ISPConfig 3.03 auf Opensuse 11.2. Lief alles prima, bis plötzlich nach einem restart der Apache2 nicht mehr startet.

Error:

Syntax OK
Starting httpd2 (prefork)                                            failed

So sieht es nach einem Roboot aus. Wenn man dann nochmal versucht einen restart zu machen, heißt es:

Syntax OK
Starting httpd2 (prefork) startproc:  exit status of parent of /usr/sbin/httpd2-prefork: 1

Seit dem auftauchen des Fehlers wird absolut nichts mehr ins error_log geschrieben, also daher keine Hilfe.
nestat zeigt, das nix auf Port 80 oder 443 hört.

Wirr...

Irgendeine Idee?

 

[Till]

- Steht irgend was in einem der anderen logs wie messages oder syslog?
- Hast Du irgend was neu konfigueriert vor dem apache restart?
- Ist das ein vserver?

 

[bts_freak]

Im syslog (dmesg) kann ich nix ungewöhnliches finden, außer am Ende:
mptctl/usr/src/packages/BUILD/kernel-xen-2.6.31.14/linux-2.6.31/drivers/message/fusion/mptctl.c::mptctl_ioctl() @626 - ioc0 not found!

Dass wiederholt sich dann in festen Abständen.

messages das gleiche.

Ja, ist ein VServer auf Xen Host.

Ich hatte ein paar ioncube verschlüsselte Dateien auf den Webserver gespielt (Ioncube war aber vorher schon installiert), und soweit ich mich erinnere mit SSL etwas rumgespielt, weil ispconfig irgendwie nicht so richtig die SSL Section in die vhost Datei eintragen wollte. Ging dann aber mit "Create request" und Copy/Paste des richtigen Zertifikats.
Aber konfiguriert hab ich eigentlich nix.

 

[Till]

Kommentier bitte mal das aus was Du für SSL eingefügt hast. Wenn irgend was mit SSL nicht stimmt, dann startet der apache nicht mehr und es gibt auch keine Fehlermeldungen. ISPConfig testet das und macht Änderungen rückgängig wenn es nicht geht und schreibt eine Warnung ins Log. Wenn Du das dann manuell einfügst dann kann es zu einem solchen Problem kommen da ISPConfig natürlich nur eigene Änderungen reparieren kann aber nicht manuell durchgeführte.

Also wenn ISPConfig mal was nicht schreibt, gibt es dafür einen guten Grund und Du solltest niemals die vhost Dateien manuell editieren.

 

[bts_freak]

Ah, sorry, dann hab ich mich nicht klar ausgedrückt. Ich hab da nix händisch rumeditiert. Ich hatte nur gesehen, dass wenn ich eine Site auf "SSL aktiv" setzte (checkbox), dass das noch nicht bewirkt, dass die SSL Section in die vhost Datei geschrieben wird. Auch nicht, wenn ich das SSL zertifikat in die Felder kopiere und "Save Certificate" drücke. Wenn ich allerdings "Create Certificate " ausführe (was ich ja eigentlich gar nicht will, da ich das Zertifikat schon habe), wird die Section geschrieben. Ist aber ja auch egal...

Hab die ganze Section jetzt mal händisch rausgeschmissen und Apache startet wieder.

Danach hab ich die Installlation vom SSL Zertifikat wiederholt, wie ich es hier im Forum gefudnen habe:
(1) Dummy Zertifikat in ISPConfig installiert (Create SSL Zertifikat --> Speichern-->Alle drei Felder immernoch leer-->Save Zertifikat-->Speichern-->Request und Zertifikat sind da
(2) die "richtigen Zertifikate" + .csr ins SSL Verzeichnis kopiert
(3) die Zertifikat Inhalte in die 3 Felder kopiert (SSL Aktion "none") und gespeichert.

Ergebnis wieder das alte (Apache startet nicht mehr).

Allerdings hab ich mal ins ispconfig error.log geschaut, und da steht doch was:
[Wed Oct 13 04:58:51 2010] [error] Unable to configure RSA server private key
[Wed Oct 13 04:58:51 2010] [error] SSL Library Error: 185073780 error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch

Problem ist, den Private Key erstellt ja ISPConfig schätz ich. Habe auch gesehen, dass der Certificate Request in ISPConfig auf der einen Maschine anders aussieht als auf der anderen (obwohl die Daten gleich sind). Eventuell wird der Private Key mit dem alten Request erstellt und wenn ich dann den Request mit dem neuen .csr File überbügel passt das nicht mehr...?

 

[Till]

Ok, das erklärt das Problem. Die SSL Verschlüsselung basiert immer uaf einem sog. private Key und einem Zertifikat. Ein Zertifikat ohne oder mit falschem private Key funktioniert nicht.

Du musst also immer erst das zertifikat in ISPConfig erstellen, dann nimmst du den csr und lässt ihn von der ssl authority beglaubigen, kopierst das cert dass du zurück bekommst in das cert feld und wählst speichern als aktion.

Wenn Du bereits ein Zertifiakt hast, dann kannst Du dieses bei allen mir bekannten Anbietern kostenlos neu auf Basis des CSR ausstellen lassen.