Trotz StartSSL Class 2 unthrusted

redi78

Member
Hallo Leute,

hat jemand eine Ahnung warum Firefox hier noch immer schreit?

xxx.com

Ansich ist alles richtig konfiguriert. Habt ihr das selbe Problem mit diesem Link?

lg redi78
 
Zuletzt bearbeitet:

redi78

Member
Habe nun folgende Antwort von StartSSL erhalten:

Code:
Please see SSL Checker - SSL Certificate Verify

    That’s because the installation of your certificate is not complete.     You should add the intermediate CA certificate to your installation.     This is important, because most browsers will issue an error if this     is not properly done. Please consult the installation instructions     at https://www.startssl.com/?app=21 in particular:

       SSLCertificateFile /usr/local/apache/conf/ssl.crt
       SSLCertificateKeyFile /usr/local/apache/conf/ssl.key
       SSLCertificateChainFile     /usr/local/apache/conf/sub.class2.server.ca.pem
       SSLCACertificateFile /usr/local/apache/conf/ca.pem

    The missing CA certificates can be obtained from     [URL="http://www.startssl.com/certs/"]Index of /certs[/URL]
Mhh was genau ist da nun zu tun?
 
Zuletzt bearbeitet:

redi78

Member
Das müsste dann also reichen wenn ich die "ca-bundle.crt" in das SSL Bundle Feld kopiere und speichere, oder?
 

redi78

Member
Da ist mir noch ein Problem aufgefallen.

Wenn ich über den SSLCHECK meine Subdomain rdssrv1.rds360.at checke, erhalte ich folgendes Ergebnis:

  • xx.xx.xx.xx.at
    Mehr Details
  • www.aaa.com redirect
    aaa.com
  • Mittwoch, 12. Februar 2014 16:40:56
    Zeit: 53 Sekunden
Das kann aber nicht sein. www.aaa.com redirect hat nichts mit xx.xx.xx.xx.at zu tun.

xx.xx.xx.xx.at:8080 = ISPConfig

Wenn ich xx.xx.xx.xx.at aufrufe, öffnet sich eine andere Seite am Server. Irgendwas läuft hier schief. Das sollte doch so nicht sein oder??

lg redi78
 
Zuletzt bearbeitet:

Till

Administrator
Doch, das ist ganz normal. Ich vermute Du verwendest Di selbe IP für die SSL Webseite wie für Deinen Server bzw. die andere Seite die dort erscheint? Denn wenn apache keine passende Seite findet, zeigt er die erste ssl seite im alphabet auf der selben IP an. Daher sollten ssl seiten am Besten eine eigene ip bekommen, oder aber du musst einen ssl default vhost anlgegen, wo solche fehlgeleiteten anfragen dann auflaufen.
 

redi78

Member
Also muss man den ssl-default-vhost manuell erstellen oder über ISPConfig. Wie mach ich das bzw. wie sieht dieser dann aus? Bitte um Hilfe.
 

redi78

Member
mhhh ja aber in meinem Fall verwendet ISPConfig einen falsches SSL Zertifikat (nämlich eines von meinen Websiten).

wenn ich nun rdssrv1.rds360.at aufrufe dann sollte ISPConfig kommen. Tuts aber nicht. Da kommt anscheinend die erste SSL Seite.

Der SSLCHECKER sagt, dass das Zertifikat von rdssrv1.rds360.at einer anderen Seite auf dem Server gehört. Das stimmt aber nicht. Ich habe ein eigenes Zertifikat für den Server selbst gelöst (Securing Your ISPConfig 3 Installation With A Free Class1 SSL Certificate From StartSSL | HowtoForge - Linux Howtos and Tutorials) allerdings mit einem Class2 Zertifikat.

Das Problem stellt sich auch beim Abrufen von E-Mails mit Thunderbird (IMAPS). Hier wird mir auch ständig ein anderes SSL Zertifikat (nämlich anscheindend von der ersten im Alphabet befindlichen SSL Website).

Wie bekomme ich das in den Griff?
 

nowayback

Well-Known Member
hi,

wenn ich nun rdssrv1.rds360.at aufrufe dann sollte ISPConfig kommen. Tuts aber nicht. Da kommt anscheinend die erste SSL Seite.

Beim Aufruf der von dir angegebenen seite per ssl komme ich auf mccormick-ersatzteile inkl. dem dazugehörigen ssl zertifikat.

ich vermute daher mal, dass du bei den Webseiten die IP und * gemischt hast.

Der SSLCHECKER sagt, dass das Zertifikat von rdssrv1.rds360.at einer anderen Seite auf dem Server gehört.
richtig, das sieht man auch ohne sslchecker :)

Ich habe ein eigenes Zertifikat für den Server selbst gelöst (Securing Your ISPConfig 3 Installation With A Free Class1 SSL Certificate From StartSSL | HowtoForge - Linux Howtos and Tutorials) allerdings mit einem Class2 Zertifikat.
Es gibt da kein unterschied zwischen class1 und class2 außer die gültigkeitsdauer. Deshalb macht es auch keinen Unterschied welches der beiden du verwendest.

Das Problem stellt sich auch beim Abrufen von E-Mails mit Thunderbird (IMAPS).
Dieses Problem ist ein ganz anderes.

Hier wird mir auch ständig ein anderes SSL Zertifikat (nämlich anscheindend von der ersten im Alphabet befindlichen SSL Website).
Welches Zertifikat verwendet wird, kannst du in der main.cf angeben
Code:
smtpd_tls_cert_file = /etc/postfix/smtpd.cert
smtpd_tls_key_file = /etc/postfix/smtpd.key
smtpd_use_tls = yes
Achtung: Wenn du dort das Zertifikat von rdssrv1.... reinpackst, dann solltest du als pop3,imap,smtp server auch die serveradresse angeben auch beim abrufen der emails von mccormick-ersatzteile sonst ist das zertifikat nämlich falsch. deshalb habe ich eine extra domain für ispconfig und mail. da können die kunden dann mail.meineextradomain.de als mailserver angeben und es sieht immer neutral aus. außerdem ist das ssl zertifikat dann auch gültig und richtig.

grüße
nwb
 

redi78

Member
hi,

ich vermute daher mal, dass du bei den Webseiten die IP und * gemischt hast.

attachment.php


Nein ich habe bei allen Webs die IP eingetragen. Interne IP da nicht in der DMZ (es wird genattet).

Till meinte etwas von ssl-default-vhost erstellen?
 

Anhänge

  • IP.JPG
    IP.JPG
    13,8 KB · Aufrufe: 380

Werbung

Top