[Eisfair] Probleme mit apache und den Zertifikaten

Stefan Puschek stefan.puschek at t-online.de
Do Sep 21 13:32:28 CEST 2017


Hallo Marcus,
...
>> im Logfile vom Indianer (wird _NUR_ intern genutzt - von aussen nicht
>> erreichbar) finde ich permanent
>>
>> ...
<snip>
>> ...
> 
> Vielleicht bin ich blind, aber ich finde daran erstmal nichts auffälliges.

das war nachdem ich ALLE at-jobs habe löschen lassen und dann rebootet 
habe.

ich hatte vorher 7964 Anfragen nach crl.pem innerhalb von exakt 10 
Stunden (gezählte Zeilen im log); das finde ich schon auffällig, vor 
allem da mein Indianer gar kein https nutzt...

>> laut certs-update-crl.log
>> ...
>> Sep 20 20:37:00 barbrady certs-update-crl[20071]:
>> /var/install/bin/certs-update-
>> crl --quiet --single http://barbrady.southpark.lan/certs/crl.pem
>> Sep 20 20:37:00 barbrady certs-update-crl[20071]: - downloading
>> 'http://barbrady
>> .southpark.lan/certs/crl.pem' ...
>> Sep 20 20:37:02 barbrady certs-update-crl[20071]: - file
>> 'http://barbrady.southp
>> ark.lan/certs/crl.pem' download failed!
>> Sep 20 20:37:02 barbrady certs-update-crl[20071]: - CRL file 'crl.pem'
>> doesn't e
>> xist, force download!
>> Sep 20 20:37:02 barbrady certs-update-crl[20071]: - job '161542'
>> (2017-09-19 20:
>> 40->2017-09-20 20:40) created.
>> Sep 20 20:37:02 barbrady certs-update-crl[20071]:   url:
>> http://barbrady.southpa
>> rk.lan/certs/crl.pem
>> Sep 20 20:37:02 barbrady certs-update-crl[20071]: finished.
>> ...
> 
> Existiert /var/certs/ssl/crl/barbrady.southpark.lan-crl.pem

barbrady # cd /var/certs/ssl/crl
barbrady # ls -la barb*
-rw-r--r-- 1 root root 482 Sep 12 10:07 barbrady.southpark.lan-crl.der
-rw-r--r-- 1 root root 703 Sep 12 10:07 barbrady.southpark.lan-crl.pem
barbrady #

> Ist das vielleicht abgelaufen?
> 

Certificate generation

Parameters
   1 - change/set certificate type: ca
   = - change/set certificate name: ca

Certificate Authority (CA) (sha384) (2048bits)
   3 - [✓] create a CA key
   4 - [✓] create a self-signed CA certificate (valid until: 24.05.2024)
   5 - [✓] create .pem CA certificate and copy it to /usr/local/ssl/certs
   6 - show CA key and certificate file location
   7 - revoke a certificate
   8 - update revocation list (valid until: 10.09.2027 10:07h)

Please select (1,3-8), change (b)its/(h)ash, (e)mail certs, (q)uit?

die CRL habe ich vor ein paar Tagen nach Deiner Anleitung (wiki) erst 
generiert...

> 
>> barbrady _IST_ die 192.168.6.7 von oben
>>
>> barbrady # pwd
>> /var/www/certs
>> barbrady # ls -la
>> total 16
>> drwxr-xr-x 2 root   root    4096 Sep 20 20:04 .
>> drwxr-xr-x 9 root   root    4096 Sep 20 20:07 ..
>> lrwxrwxrwx 1 root   root      27 Sep  4 19:47 ca.crt ->
>> /var/certs/ssl/certs/ca.pem
>> lrwxrwxrwx 1 root   root      27 Sep  4 19:47 ca.pem ->
>> /var/certs/ssl/certs/ca.pem
>> lrwxrwxrwx 1 root   root      49 Sep 20 20:04 crl.pem ->
>> /var/certs/ssl/crl/barbrady.southpark.lan-crl.pem
>> lrwxrwxrwx 1 root   root      34 Sep  4 19:47 index.html ->
>> /var/certs/ssl/web/x509policy.html
>> -rw-r--r-- 1 wwwrun nogroup 3291 Jan  7  2008 openssl_logo.png
>> -rw-r--r-- 1 wwwrun nogroup 1139 Jan 26  2015 x509policy.html
>> barbrady #
>>
>> also ist die Datei zwar da, aber der Indianer darf wegen root:root wohl
>> nicht drauf zugreifen;
> 
> Ist das Ziel da?

barbrady # ls -la barb*
-rw-r--r-- 1 root root 482 Sep 12 10:07 barbrady.southpark.lan-crl.der
-rw-r--r-- 1 root root 703 Sep 12 10:07 barbrady.southpark.lan-crl.pem
barbrady #

> lrwxrwxrwx 1 root   root      49 Sep 20 20:04 crl.pem ->
> /var/certs/ssl/crl/barbrady.southpark.lan-crl.pem
> 
> Nein root.root ist ok, da Link, der die Rechte 0777 besitzt.

stimmt

Was mich so irritiert: das ganze Zertifikats-"gedöns" brauche ich doch 
eigentlich nur für das Mail-Paket. Warum wird der Indianer nach der CRL 
gefragt? Was wäre, wenn ich gar keinen Indianer am laufen hätte?

Ich stehe hier völlig auf dem Schlauch!

Groetjes
Stefan




Mehr Informationen über die Mailingliste Eisfair