SSL-Zertifikate in ISPCONFIG 3

[Paul]

In welche Dateien schreibt ISPCONFIG 3 die SSL-Konfiguration der verschiedenen Vhosts?
Leider hapert es bei mir im Augenblick etwas mit den Zertifikaten. Fehlercode: ssl_error_rx_record_too_long –
SSL-Häkchen ist gesetzt. Der Vhost hat eine eigene IP-Adresse. Key- und Crt-File sind im SSL-Ordner des Vhosts.

In ISPCONFIG 2 war die SSL-Konfiguration auf openSuse-Webservern in etc/apache2/vhosts/Vhosts_ispconfig.conf zu finden. Aber wo macht das ISPConfig 3?
Vermutung?
etc/apache2/sites-available
und/oder:
etc/apache2/sites-enabled
Welche SSL-Statements müssen in den *.vhost-Dateien stehen?
Hat jemand evtl. ein Muster zur Hand?

Schönen Dank schon im Voraus.

 

[Till]

Hat jemand evtl. ein Muster zur Hand?

Würde Dir nichts bringen da jegliche manuelle Änderung automatisch entfernt wird.

Fehlerbehebung:

1) Stell sicher dass Du die korrekte IP und nicht * in den Webseiten Einstellungen ausgewählt hast.
2) Stell sicher, das mod_ssl aktiviert ist wie im perfect setup beschrieben.
3) Benutze keine Umlaute in den Angaben für SSL Zertifikate, erstell das cert ggf. in ispcinfig neu.

 

[Paul]

Jetzt läuft's.
Trotzdem noch eine kurze Nachfrage zum Verständnis. (Beim Experimentieren, habe ich leider den Überblick verloren, was letztlich zum Erfolg geführt hat.)

Das crt-File, dass mir Thawte geschickt hat, und das ich incl. der Subdomain "www." beantragt habe, kopiere ich einfach zusammen mit dem .key und dem .csr-File in den SSL-Ordner des Vhosts?
In ISPConfig muss ich nichts weiter machen?

 

[Till]

Das crt-File, dass mir Thawte geschickt hat, und das ich incl. der Subdomain "www." beantragt habe, kopiere ich einfach zusammen mit dem .key und dem .csr-File in den SSL-Ordner des Vhosts?

Nein. Dies führt dazu dass das Zertifikat bei der nächsten Änderun an dem Web wieder entfernt wird, da es ISPConfig nicht bekannt ist. Der key und das csr File sind ja bereits da, da Du das Zertifikat in ISPConfig erstellt hast. Du kopierst also nur den Inhalt des crt Files in da entsprechende Feld in ISPConfig und wählst save als Aktion aus.

 

[Paul]

Der Inhalt des crt-Files ist im Feld "SSL Bundle" zu sehen.
Das scheint soweit auch zu funktionieren.
Muss ich das noch abändern, so dass das Zertifikat tatsächlich im Feld "SSL-Zertifikat" zu sehen ist?
Schon im Voraus besten Dank. Der Fall wäre damit nämlich erledigt.

 

[Till]

Das SSL bundle feld ist ausschließlich für das SSL bundle und nicht für das Zertifikat. Das Zertifikat gehört in das Zertifikat Feld. Ob Du ein SSL bundle überhaupt brauchst, hängt von der SSL Zertifizierungsstelle ab. Wenn Sie Dir keine Datei mit einem bundle Zertifikat geschickt haben bzw. nichts in der Email schreiben, dann brauchst Du keines und das Feld muss in dem Fall leer sein.

 

[SAVERSERVER]

Hi Till,

habe leider auch noch ein paar Schwirigkeiten bzw. warscheinlich mehr Verständnisprobleme mit SSL.

Habe mir bei ein GEOTRUST_RAPIDSSL_WILDCARD Zertifikat geholt. Dieses habe ich (auch) für den ControlPanel-Zugang installiert. Unter /etc/apache2/ssl/ispserver.crt FUNKTIONIERT einwandfrei.

Nun wollte ich natürlich auch das Zertifikat für die eigentliche HP.
Habe das CRT nach SSL Zertifikat kopiert (inkl. -----BEGIN CERTIFICATE----- bla.bla.bla.-----END CERTIFICATE-----).

Nun bekomme ich aber mit
https://www.<doman.tld>

Fehler: Gesicherte Verbindung fehlgeschlagen
Ein Fehler ist während einer Verbindung mit www.<doman.tld> aufgetreten.
SSL hat einen Eintrag erhalten, der die maximal erlaubte Länge überschritten hat.

(Fehlercode: ssl_error_rx_record_too_long)


Kannst Du mir sagen, was ich noch falsch mache?

Vielen lieben Dank
Grüsse loisl

 

[Till]

Ich vermute mal, das Du nur das ssl Cert kopiert hast? Ein SSL Zertifikat hat immer noch einen dazugehörigen Key. Ohne Key funktioniert es nicht. Du must den Key in die .key Datei im ssl Ordner des Webs einfügen bevor Du das zertifikat in ISPConfig einfügst wenn dieses SSL Zertifikat nicht durch ISPConfig für dieses Web rzeugt wurde.

 

[SAVERSERVER]

Würde Dir nichts bringen da jegliche manuelle Änderung automatisch entfernt wird.

Fehlerbehebung:

1) Stell sicher dass Du die korrekte IP und nicht * in den Webseiten Einstellungen ausgewählt hast.
2) Stell sicher, das mod_ssl aktiviert ist wie im perfect setup beschrieben.
3) Benutze keine Umlaute in den Angaben für SSL Zertifikate, erstell das cert ggf. in ispcinfig neu.

Noch mal eine Allgemein Frage!

Also unter
System > Server IP bearbeiten > Neue IP Adresse hinzfügen
wenn möglich für jede Domain eine IP anlegen.

Dann kann ich unter
Sites > Website > Neue Website hinzufügen
die auswählen und der Domain zuordnen.

Das ist dann auch die IP wo der Mailserver läuft.
Also wo der MX hinzeigen soll.

Danke und
lg loisl


Soo habe mal eine weitere (externe)IP für eine Website eingetragen und diese angelegt:
Nun wenn ich auf dem Server ein
# traceroute saverserver.eu
traceroute to <domain.tld> (xx.190.114.xx), 30 hops max, 40 byte packets using UDP
1 * * *
2 * * *
3 * * *
4 * * *
5 * * *
6 <server1.domain.tld> (xx.190.114.x)(H!) 2984.360 ms (H!) 2983.291 ms (H!) 2982.220 ms

# ping <domain.tld>
PING <domain.tld> (xx.190.114.xx) 56(84) bytes of data.
From <server1.domain.tld> (xx.190.114.x): icmp_seq=2 Destination Host Unreachable
From <server1.domain.tld> (xx.190.114.x) icmp_seq=2 Destination Host Unreachable
From <server1.domain.tld> (xx.190.114.x) icmp_seq=3 Destination Host Unreachable
^C


und von extern nicht erreichbar!
$ traceroute <domain.tld>
traceroute to <domain.tld> (xx.190.114.xx), 64 hops max, 52 byte packets
1 fritz.box (192.168.178.1) 1.456 ms 1.690 ms 0.915 ms
2 ppp-default.m-online.net (82.135.16.28) 26.639 ms 27.927 ms 33.702 ms
3 * * *
4 xe-1-3-0.r3.muc2.m-online.net (82.135.16.205) 26.205 ms 26.700 ms 25.321 ms
5 ge5-1.cr3.muc1.content-core.net (80.81.202.1) 26.740 ms 26.894 ms 26.071 ms
6 p2-92.rtr1.colo3.muc1.content-colo.net (212.123.123.178) 26.153 ms 26.791 ms 26.640 ms
7 * * *
8 * * *
9 * * *
10 * * *
11 * * *
12 * * *
13 * * *
14 * * *
15 * * *
16 * * *
17 * * *
18 * * *
19 * * *
20 * * *
21 * * *
22 * * *
23 * * *
24 * * *
25 * * *
26 * * *
27 * * *
28 * * *
29 * * *
30 * * *
31 * * *
32 * * *
33 * * *
34 * * *
35 * * *
36 * * *
37 * * *
38 * * *
39 * * *
40 * * *
41 * * *
42 * * *
43 * * *
44 * * *
45 * * *
^C

?????