Trotz StartSSL Class 2 unthrusted

[redi78]

Hallo Leute,

hat jemand eine Ahnung warum Firefox hier noch immer schreit?

xxx.com

Ansich ist alles richtig konfiguriert. Habt ihr das selbe Problem mit diesem Link?

lg redi78

 

[Till]

Bei mir ist es ok in chrome. Hast Du denn das bundle / chain zertifikat eingefügt?

 

[redi78]

Habe nun folgende Antwort von StartSSL erhalten:

Please see SSL Checker - SSL Certificate Verify

    That’s because the installation of your certificate is not complete.     You should add the intermediate CA certificate to your installation.     This is important, because most browsers will issue an error if this     is not properly done. Please consult the installation instructions     at https://www.startssl.com/?app=21 in particular:

       SSLCertificateFile /usr/local/apache/conf/ssl.crt
       SSLCertificateKeyFile /usr/local/apache/conf/ssl.key
       SSLCertificateChainFile     /usr/local/apache/conf/sub.class2.server.ca.pem
       SSLCACertificateFile /usr/local/apache/conf/ca.pem

    The missing CA certificates can be obtained from     [URL="http://www.startssl.com/certs/"]Index of /certs[/URL]

Mhh was genau ist da nun zu tun?

 

[redi78]

Das müsste dann also reichen wenn ich die "ca-bundle.crt" in das SSL Bundle Feld kopiere und speichere, oder?

 

[Till]

ja, sollte reichen.

 

[redi78]

Alles klar. Hat geholfen, danke!

 

[redi78]

Da ist mir noch ein Problem aufgefallen.

Wenn ich über den SSLCHECK meine Subdomain rdssrv1.rds360.at checke, erhalte ich folgendes Ergebnis:

• xx.xx.xx.xx.at
  Mehr Details
• www.aaa.com redirect
  aaa.com
• Mittwoch, 12. Februar 2014 16:40:56
  Zeit: 53 Sekunden

Das kann aber nicht sein. www.aaa.com redirect hat nichts mit xx.xx.xx.xx.at zu tun.

xx.xx.xx.xx.at:8080 = ISPConfig

Wenn ich xx.xx.xx.xx.at aufrufe, öffnet sich eine andere Seite am Server. Irgendwas läuft hier schief. Das sollte doch so nicht sein oder??

lg redi78

 

[Till]

Doch, das ist ganz normal. Ich vermute Du verwendest Di selbe IP für die SSL Webseite wie für Deinen Server bzw. die andere Seite die dort erscheint? Denn wenn apache keine passende Seite findet, zeigt er die erste ssl seite im alphabet auf der selben IP an. Daher sollten ssl seiten am Besten eine eigene ip bekommen, oder aber du musst einen ssl default vhost anlgegen, wo solche fehlgeleiteten anfragen dann auflaufen.

 

[redi78]

Oje, jetzt komm ich irgendwie nicht weiter. Wie genau stelle ich das an. Über ISPConfig selbst?

 

[redi78]

Also muss man den ssl-default-vhost manuell erstellen oder über ISPConfig. Wie mach ich das bzw. wie sieht dieser dann aus? Bitte um Hilfe.

 

[ramsys]

http://www.howtoforge.de/forum/inst...t-wird-auf-falschen-seiten-ausgeliefert-7198/

 

[redi78]

mhhh ja aber in meinem Fall verwendet ISPConfig einen falsches SSL Zertifikat (nämlich eines von meinen Websiten).

wenn ich nun rdssrv1.rds360.at aufrufe dann sollte ISPConfig kommen. Tuts aber nicht. Da kommt anscheinend die erste SSL Seite.

Der SSLCHECKER sagt, dass das Zertifikat von rdssrv1.rds360.at einer anderen Seite auf dem Server gehört. Das stimmt aber nicht. Ich habe ein eigenes Zertifikat für den Server selbst gelöst (Securing Your ISPConfig 3 Installation With A Free Class1 SSL Certificate From StartSSL | HowtoForge - Linux Howtos and Tutorials) allerdings mit einem Class2 Zertifikat.

Das Problem stellt sich auch beim Abrufen von E-Mails mit Thunderbird (IMAPS). Hier wird mir auch ständig ein anderes SSL Zertifikat (nämlich anscheindend von der ersten im Alphabet befindlichen SSL Website).

Wie bekomme ich das in den Griff?

 

[nowayback]

hi,

wenn ich nun rdssrv1.rds360.at aufrufe dann sollte ISPConfig kommen. Tuts aber nicht. Da kommt anscheinend die erste SSL Seite.

Beim Aufruf der von dir angegebenen seite per ssl komme ich auf mccormick-ersatzteile inkl. dem dazugehörigen ssl zertifikat.

ich vermute daher mal, dass du bei den Webseiten die IP und * gemischt hast.

Der SSLCHECKER sagt, dass das Zertifikat von rdssrv1.rds360.at einer anderen Seite auf dem Server gehört.

richtig, das sieht man auch ohne sslchecker

Ich habe ein eigenes Zertifikat für den Server selbst gelöst (Securing Your ISPConfig 3 Installation With A Free Class1 SSL Certificate From StartSSL | HowtoForge - Linux Howtos and Tutorials) allerdings mit einem Class2 Zertifikat.

Es gibt da kein unterschied zwischen class1 und class2 außer die gültigkeitsdauer. Deshalb macht es auch keinen Unterschied welches der beiden du verwendest.

Das Problem stellt sich auch beim Abrufen von E-Mails mit Thunderbird (IMAPS).

Dieses Problem ist ein ganz anderes.

Hier wird mir auch ständig ein anderes SSL Zertifikat (nämlich anscheindend von der ersten im Alphabet befindlichen SSL Website).

Welches Zertifikat verwendet wird, kannst du in der main.cf angeben

smtpd_tls_cert_file = /etc/postfix/smtpd.cert
smtpd_tls_key_file = /etc/postfix/smtpd.key
smtpd_use_tls = yes

Achtung: Wenn du dort das Zertifikat von rdssrv1.... reinpackst, dann solltest du als pop3,imap,smtp server auch die serveradresse angeben auch beim abrufen der emails von mccormick-ersatzteile sonst ist das zertifikat nämlich falsch. deshalb habe ich eine extra domain für ispconfig und mail. da können die kunden dann mail.meineextradomain.de als mailserver angeben und es sieht immer neutral aus. außerdem ist das ssl zertifikat dann auch gültig und richtig.

grüße
nwb

 

[redi78]

hi,

ich vermute daher mal, dass du bei den Webseiten die IP und * gemischt hast.

Nein ich habe bei allen Webs die IP eingetragen. Interne IP da nicht in der DMZ (es wird genattet).

Till meinte etwas von ssl-default-vhost erstellen?