[Eisfair] Apache Vhost gehversuche

Stefan Puschek stefan.puschek at t-online.de
So Jul 26 14:35:45 CEST 2015


Hallo Peter,
..
>>mir erschliesst sich nicht, warum Du das gemacht hast. Beim Abspeichern 
>>der config wurde ich informiert, dass jetzt vollautomagisch ein 
>>Zertifikat erstellt werden würde: er hat mich einiges gefragt, dann 
>>brauchte er die passphrase meiner einenen CA - und alles war gut. Ich 
>>habe bei beiden SSL-vhosts ( Nummer 1 und Nummer 2 ) als cert_name die 
>>Vorgabe 'apache' _NICHT_ geändert. Allerdings steht SSL_FORCE auf 'no'
>>
>>ich kann damit meine beiden vhosts 1 und 2 jetzt mit Namen per https 
>>erreichen wie ich es erwartet hatte. 
> Also hab ich das auch mal so versucht und bin dann über folgendes
> gestolpert:
> 
> Beim Erstellen des Certifikats, wie es über die Aktivierung der Apache
> config angeboten wird, bekomme ich 
> 
> Sign the certificate? [y/n]:y
> failed to update database
> TXT_DB error number 2
> 3073599112:error:0E06D06C:configuration file
> routines:NCONF_get_string:no value:conf_lib.c:324:group=Server_CA
> name=email_in_dn
> unable to load certificate
> 3074152072:error:0906D06C:PEM routines:PEM_read_bio:no start
> line:pem_lib.c:701:Expecting: TRUSTED CERTIFICATE
> .... certificate generation unsuccessful!
> The DH parameters file
> /usr/local/ssl/newcerts/Apache2NG.schauder.dom.dh
> does already exist, proceed anyway (y/n) [n]? n
> Press ENTER to continue
> updating hashes '/usr/local/ssl/certs' ...
> Warning: unsupported package name 'apache2ng' given!
> Press ENTER to continue

da muss ich jetzt mal raten:

hast Du einen eigenen MailServer am laufen? Ich musste mir für meinen 
'damals' ein eigenes Zertifikat (exim.pem) erstellen; dafür brauchte ich 
vorher eine eigene CA und die wird genutzt um das Zertifikat vom Apachen zu 
signieren

Falls Du noch keine eigene CA hast, erstelle Dir mit dem certs-Paket mal 
eine - Anleitung gibts im eisfair-wiki. danach nochmal versuchen ein neues 
Apache-Zertifikat zu erstellen

ich vermute, dass hier Dein Problem liegt.

und lass Dir danach mal die certifikate-chain anzeigen - muss bis 'end of 
chain' laufen

Groetjes
Stefan




Mehr Informationen über die Mailingliste Eisfair