ssl_error_rx_record_too_long

Rush

New Member
Hi,

hab gerade schon n paar minuten das forum durchsucht und gegoogelt aber nichts brauchbares gefunden...

Mein Problem ist das folgende: wenn ich per ssl eine beliebige Domain aufrufen will (https://example.com) bekomme ich im Firefox folgende Fehlermeldung:


Muss ich ein neues SSL-Cert erstellen oder wie?!? SSL ist natürlich in ISPConfig aktiviert...

Ich benutze Debian Etch mit ISPConfig2


Gruß
Rush
 

Rush

New Member
Hi,

danke erstmal für die schnelle antwort.

Wie erstelle ich ein neues SSL-Cert? Hab gerade n bisschen rumgesucht und nix passendes dazu gefunden...?


Gruß
Rush
 

Burge

Member
schaltest in den einstellungen des webs erstmal ssl frei und hast danach einen neuen reiten ssl bei dem web. da wird dann alles abgefragt.

Aber denk dran für ssl webseite brauchst ne extra ip.
 

Rush

New Member
SSL ist natürlich in ISPConfig aktiviert...

Hast du in meinem ersten Post wohl überlesen. SSL ist bereits aktiviert und den reiter gibt es auch, ich habe dort auch die Angaben ausgefüllt außer SSL Request und SSL Zertifikat da wusste ich nicht, was ich da reinschreiben soll. Unten hab ich ausgewählt "Zertifikat erzeugen". Das Problem bestand aber immernoch...

Übrigens will ich kein SSL-Cert von VeriSign oder son kram. Nur ein selbst signiertes, das reicht völlig... Ich habe für meinen Server 2 IP-Adressen. Aber aus welchem grund brauche ich für SSL ne "extra" IP ???


Gruß
Rush
 

Burge

Member
warum du extra ip brauchst keine Ahnung muss mal jemand antworten der sich damit auskennt.

Ich glaub das was du da erstellt hast musst du erst noch signieren. Das musst dann über die console machen wenn dir selbst signiert reicht oder ebend von einen anderen CA signieren lassen.
 

Till

Administrator
Du kannst Das Zertifikat ganz einfach über ISPConfig erstellen, da muss nichts mehr signiert werden. Der obige Fehler tritt dann auf, wenn beim Zertifikat Zeichen eingegeben wurden, die opensl nicht verarbeiten konnte. Stell bitte sicher, dass Du keine Sonderzeichen und deutschen Umlaute verwendest und dann erstelle das Zertifikat in ISPConfig neu. Das dauert übrigens etwas, also warte vor dem erneuten ein paar Minuten.
 

gummel

New Member
Hi,

hab gerade schon n paar minuten das forum durchsucht und gegoogelt aber nichts brauchbares gefunden...

Mein Problem ist das folgende: wenn ich per ssl eine beliebige Domain aufrufen will (https://example.com) bekomme ich im Firefox folgende Fehlermeldung:


Muss ich ein neues SSL-Cert erstellen oder wie?!? SSL ist natürlich in ISPConfig aktiviert...

Ich benutze Debian Etch mit ISPConfig2


Gruß
Rush

Hallo,

geb mal in der Konsole

a2enmod ssl
a2ensite default-ssl

damit müsste der Fehler behoben sein.

Gruß
Gummel
 

Rush

New Member
hi,

danke für die antworten. habs einfach noch ein zweites mal übers ispconfig versucht. hat dann auch geklappt... :eek:

danke für die hilfe ;)


Gruß
Rush
 

JeGr

Member
Ich habe für meinen Server 2 IP-Adressen. Aber aus welchem grund brauche ich für SSL ne "extra" IP ???


Gruß
Rush

Da mögest du bitte mal nachlesen, was SSL und Webserver angeht. Ein SSL Zertifikat kann immer nur auf eine IP Adresse und Webseite gebunden werden. Deshalb ist für jede Domain, auf der SSL laufen soll, eine weitere IP notwendig. Das ist eine Eigenheit von SSL und keine Willkür von ISPConfig o.ä.
Das erste SSL Web kann also auf der gleichen IP wie der Server laufen, alle weiteren benötigen eigene IPs.

Gruß Grey
 

Rush

New Member
Hi,

soweit, so gut. habe jetzt zwar vorerst das mit den zertifikaten hinbekommen und ich dachte erst, dass das funktioniert. hab den server vor n paar tagen neu gestartet und das selbe problem ist wieder da. aber jetzt ist noch ein neues viel größeres problem aufgekommen... ich komme nichtmehr ins ispconfig übern browser rein. port 81 scheint nicht mehr hören zu wollen...

Firefox sagt Fehler: Verbindung Fehlgeschlagen, kann keine Verbindung zum server ****.info:81 aufbauen.

Code:
 netstat -tap
sagt folgendes:
Code:
tcp        0      0 *:10787                 *:*                     LISTEN     16197/(squid)
tcp        0      0 *:mysql                 *:*                     LISTEN     15448/mysqld
tcp        0      0 *:ftp                   *:*                     LISTEN     17901/proftpd: (acc
tcp        0      0 ns2.************:domain *:*                     LISTEN     17862/named
tcp        0      0 ****************:domain *:*                     LISTEN     17862/named
tcp        0      0 localhost.locald:domain *:*                     LISTEN     17862/named
tcp        0      0 localhost.localdoma:953 *:*                     LISTEN     17862/named
tcp        0      0 *:smtp                  *:*                     LISTEN     17824/master
tcp6       0      0 *:https                 *:*                     LISTEN     28144/apache2
tcp6       0      0 *:imaps                 *:*                     LISTEN     15789/couriertcpd
tcp6       0      0 *:9090                  *:*                     LISTEN     15874/java
tcp6       0      0 *:9091                  *:*                     LISTEN     15874/java
tcp6       0      0 *:pop3s                 *:*                     LISTEN     15828/couriertcpd
tcp6       0      0 *:xmpp-client           *:*                     LISTEN     15874/java
tcp6       0      0 *:5223                  *:*                     LISTEN     15874/java
tcp6       0      0 *:5229                  *:*                     LISTEN     15874/java
tcp6       0      0 *:pop3                  *:*                     LISTEN     15809/couriertcpd
tcp6       0      0 *:imap2                 *:*                     LISTEN     15777/couriertcpd
tcp6       0      0 *:www                   *:*                     LISTEN     28144/apache2
tcp6       0      0 *:domain                *:*                     LISTEN     17862/named
tcp6       0      0 *:xmpp-server           *:*                     LISTEN     15874/java
tcp6       0      0 *:ssh                   *:*                     LISTEN     16098/sshd
tcp6       0      0 ::1:953                 *:*                     LISTEN     17862/named
tcp6       0      0 *:smtp                  *:*                     LISTEN     17824/master
tcp6       0   1328 *******************:ssh *****************:52866 ESTABLISHED20029/0
tcp6       0      0 *****************:https *****************:53371 TIME_WAIT  -
tcp6       0      0 *****************:https *****************:53369 TIME_WAIT  -
Ich hab hier mal meine aktuelle, sowie die Server IP zensiert (****)

und
Code:
netstat -an | grep :81
bleibt ohne Ergebnis...


Irgend eine Idee?


Gruß
Rush
 
Zuletzt bearbeitet:

Rush

New Member
Hi,

danke für die schnelle antwort (wie immer ;))

isp neustart hat nicht geholfen :(

Code:
Shutting down ISPConfig system...
/root/ispconfig/httpd/bin/apachectl stop: httpd (pid 17818?) not running
ISPConfig system stopped!
Starting ISPConfig system...
/root/ispconfig/httpd/bin/apachectl startssl: httpd started
ISPConfig system is now up and running!
ich hab ma in die httpd error log geschaut... hab da scheinbar mit den zertifikaten rumgemurkst. kann es daran liegen?

/root/ispconfig/httpd/logs/error_log
Code:
[Wed Sep 23 12:20:13 2009] [warn] pid file /root/ispconfig/httpd/logs/httpd.pid overwritten -- Unclean shutdown of previous Apache run?
[Wed Sep 23 12:20:13 2009] [error] mod_ssl: Init: (ispcfg.*********.info:81) Unable to configure RSA server private key (OpenSSL library error follows)
[Wed Sep 23 12:20:13 2009] [error] OpenSSL: error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch
[Thu Sep 24 05:45:02 2009] [warn] pid file /root/ispconfig/httpd/logs/httpd.pid overwritten -- Unclean shutdown of previous Apache run?
[Thu Sep 24 05:45:02 2009] [error] mod_ssl: Init: (ispcfg.*********.info:81) Unable to configure RSA server private key (OpenSSL library error follows)
[Thu Sep 24 05:45:02 2009] [error] OpenSSL: error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch
Gruß
Rush
 

Quest

Member
Ich hab nach dem Howto einen CSR-Key generiert und mir diesen von startssl.com signieren lassen.
Den signierten Key versuche ich jetzt im CRT File zu benutzen und bekomme den ssl_error_rx_record_too_long Fehler.
Mit einem selbstsignierten CRT funktioniert es bestens, nur mit dem von startssl nicht.
Ich versuche nach dem HowTo auf FAQForge das ISP3 Panel über HTTPS laufen zu lassen.
 

pee

New Member
Da scheint das SSL Cert defekt zu sein oder Du hast ein neues cert installiert, das aber auf einem anderen key basiert. Hier ist die Anleitung um ein neues self signed SSL cert zu erstellen:

http://www.faqforge.com/linux/contr...icate-for-the-ispconfig-webserver-on-port-81/

Ich wollte mir soeben laut deiner Anleitung ein neues self signed SSL cert erstellen, doch dann bekomme ich die Meldung »no such file or directory«. Bist du vielleicht so nett und gibst eine kurze Beschreibung zu den Befehlen die da eingegeben werden sollen?

Geht übrigens grundsätzlich die Zertifikatsanforderung mit (hier beschrieben: http://support.psw.net/questions/26/Wie-wird-eine-Zertifizierungsanforderung-%28CSR%29-erstellt-%28Apache%29%3F)
Code:
openssl req -new -nodes -keyout dateiname.key -out dateiname.csr
oder braucht ISPC die Extra-Vorgehensweise, zu welcher bei mir Dateien und Ordner nicht vorhanden sind?
 

Till

Administrator
Die exakten Befehle stehen in dem FAQForge Artikel, deshalb habe ich Ihn ja auch verlinkt ;) Du hast auch darauf geachtet, dass es hier um ISPConfig 2 geht und nicht 3!
 

pee

New Member
Also bei mir geht es um den aktuellen ISPC 3.0.1.6. Muss ich bei ihm ebenso vorgehen wie im FAQ beschrieben oder kann ich zum Erstellen eines CSR auch

openssl req -new -nodes -keyout dateiname.key -out dateiname.csr -newkey rsa:2048
ins Root-Terminal eingeben? So sollte der Key-Request immerhin bei allen Apache2-Servern funktionieren. Weil wenn ich wie im FAQ vorgehe, werden die Dateien und Ordner nicht gefunden.

Zudem habe ich die nötigen 3 Dateien unter /var/www/clients/clientNUMMER/webNUMMER/ssl mit gEdit komplett neu erstellt und deren Inhalt im ISPC-Adminpanel innerhalb des entsprechenden SSL-Reiters geprüft und die Speicherung bestätigt. Sie enthalten auch keine Sonderzeichen bzw. Umlaute.

Nur kann ich dann leider nicht den Apache2 neustarten. Ich muss in der DOMAIN.vhost unter /etc/apache2/sites-enabled

Code:
SSLEngine on
SSLCertificateFile /var/www/clients/clientNUMMER/webNUMMER/ssl/DATEINAME.cr
die beiden genannten Zeilen auskommentieren. Folglich geht das SSL natürlich nicht. Mein Betriebssystem ist Debian 5 mit 64 Bit.

Wäre super von dir Till, wenn du mir hierbei bitte noch einen Wissensschubser schenken könntest. Ich hänge seit gestern verzweifelt an dieser SSL-Geschichte. Hab mich auch schon durchs Forum gewühlt. Eine extra IP für die Domain ist eingestellt. CSR-, CRT- und Key-Datei definiert. Habe keine Ahnung was ich sonst noch machen soll..
 
Zuletzt bearbeitet:

Werbung

Top