Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2011-05-28 23:15:37

  pio_trek248 - Użytkownik

pio_trek248
Użytkownik
Zarejestrowany: 2011-05-28

apache2 + ssl nie uzyskano połączenia z serwerem

Na wstępie witam wszystkich
Od długiego czasu usiłuję uruchomić szyfrowanie ssl na własnym certyfikacie, przeczytałem chyba wszystkie tutoriale na temat konfigurowania ssl-a, wykonywałem polecenia krok po kroku. wszystko się instaluje i uruchamia, mod_ssl jest uruchomiony ale przy próbie połączenia się przez https pojawia się błąd, "nie uzyskano połączenia z serwerem". Czy ktoś z Was spotkał się z takim błędem? Apacz słucha na 80 i na 443. Bardzo proszę aby ktoś z Was naprowadził mnie trochę. Debian lenny / apache2 / openssl

Offline

 

#2  2011-05-28 23:46:48

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: apache2 + ssl nie uzyskano połączenia z serwerem

Wskazana aktualizacja do Squeeze, Lenny stracił suport z wejściem stabilnego Squeeze.

Spróbuj testu poleceniem

Kod:

openssl s_client -connect host:443

i zobacz, co wywali na konsolę.
Poza tym test konfiguracji apacha:

Kod:

apache2 -t

lub -T nie pamiętam w tej chwili, nie mam pod ręką apacha, w

Kod:

man apache2

znajdziesz sposób.

I napisz, wg jakiego opisu wygenerowałeś certyfikat, i wrzuć na jakiegoś [url=http://wklej.org/]wkleja[/url] lub [url=http://pastebin.com/]pasterbina[/url] konfig hosta ssl.

Poza tym apache przy uruchomieniu zazwyczaj ładnie pisze, co go boli.
Zainteresuj sie też poleceniem

Kod:

make-ssl-cert

do generowania certyfikatów w Debianie.
Ten przepis powinien zadziałać na Lennym: https://help.ubuntu.com/community/forum/server/apache2/SSL
W każdym razie na Ubuntu działał ok.

To by było na tyle
;-)

Ostatnio edytowany przez Jacekalex (2011-05-28 23:50:29)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#3  2011-05-28 23:58:48

  ArnVaker - Kapelusznik

ArnVaker
Kapelusznik
Skąd: Midgard
Zarejestrowany: 2009-05-06

Re: apache2 + ssl nie uzyskano połączenia z serwerem

[quote=Jacekalex]Lenny stracił suport z wejściem stabilnego Squeeze.[/quote]
Niezupełnie — obecnie poprzednia wersja stabilna Debiana wspierana jest jeszcze przez rok od ukazania się nowej. Zatem Lenny będzie oficjalnie wspierany (poprawki bezpieczeństwa itp.) mniej więcej do lutego 2012. Są chyba nawet plany żeby ten okres wydłużyć, ale Lenny i tak się raczej nie załapie.


[img]http://svn.debianart.org/themes/generic/spinner/spinner48px-moreblue.png[/img]

Offline

 

#4  2011-05-29 00:12:33

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: apache2 + ssl nie uzyskano połączenia z serwerem

Co w niczym nie zmienia faktu, że Squeeze jest znacznie szybszy i o wiele bezpieczniejszy od Lennyego.
Przykładowo Apache i spora część programów serwerowych  w Squeeze jest kompilowany z suportem [url=http://en.wikipedia.org/wiki/Address_space_layout_randomization]ASLR[/url] natomiast w Lennym z tego mechanizmu korzysta tylko serwer Ssh.
A to ważna linia obrony przed exploitami korzystającymi z mechanizmu przepełnienia bufora.

Sznurki:
http://wiki.debian.org/Hardening
Tester:
http://www.trapkit.de/tools/checksec.html - tym testowałem Squeeze
Albo:

Kod:

aptitude install hardening-includes
 hardening-check `which apache2`

Pozdrawiam
;-)

Ostatnio edytowany przez Jacekalex (2011-05-29 00:16:59)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#5  2011-05-29 00:27:31

  ArnVaker - Kapelusznik

ArnVaker
Kapelusznik
Skąd: Midgard
Zarejestrowany: 2009-05-06

Re: apache2 + ssl nie uzyskano połączenia z serwerem

[quote=Jacekalex]Co w niczym nie zmienia faktu, że Squeeze jest znacznie szybszy i o wiele bezpieczniejszy od Lennyego.[/quote]
Nawet jeśli rzeczywiście tak jest, to nie zmienia to faktu, iż twierdzenie jakoby „Lenny stracił suport z wejściem stabilnego Squeeze” jest mijaniem się z prawdą. ;)


[img]http://svn.debianart.org/themes/generic/spinner/spinner48px-moreblue.png[/img]

Offline

 

#6  2011-05-29 10:47:00

  pio_trek248 - Użytkownik

pio_trek248
Użytkownik
Zarejestrowany: 2011-05-28

Re: apache2 + ssl nie uzyskano połączenia z serwerem

Kożystałem z tego tutka: [url]http://www.debian-administration.org/articles/284[/url],

Wynik polecenia

Kod:

openssl s_client -connect host:443 ,
gethostbyname failure
connect:errno=110

,
Czyli już tutaj jest coś na rzeczy.

Kod:

apache2 -t
apache2: Could not reliably determine the server's fully qualified domain name, using 127.0.1.1 for ServerName
Syntax OK

Warn z domain name pokazywał się od początku ale serwer działał, składnia ok,

Kod:

debian:~# /etc/init.d/apache2 restart
Restarting web server: apache2apache2: Could not reliably determine the server's fully qualified domain name, using 127.0.1.1 for ServerName
apache2: Could not reliably determine the server's fully qualified domain name, using 127.0.1.1 for ServerName
(98)Address already in use: make_sock: could not bind to address [::]:80
(98)Address already in use: make_sock: could not bind to address 0.0.0.0:80
no listening sockets available, shutting down
Unable to open logs
 failed!

naprawiłem to za pomocą

Kod:

fuser -k -n tcp 80

,

i teraz jest:

Kod:

 /etc/init.d/apache2 start
Starting web server: apache2apache2: Could not reliably determine the server's fully qualified domain name, using 127.0.1.1 for ServerName
Apache/2.2.9 mod_ssl/2.2.9 (Pass Phrase Dialog)
Some of your private key files are encrypted for security reasons.
In order to read them you have to provide the pass phrases.

Server 127.0.1.1:443 (RSA)
Enter pass phrase:

OK: Pass Phrase Dialog successful.
.

Treść pliku /etc/apache2/sites-available/default

Kod:

<VirtualHost *:80>
    ServerAdmin webmaster@localhost
ServerName www.*******.pl
    Serveralias *****.pl
DocumentRoot /home/magento/public_html/
    <Directory />
        Options FollowSymLinks
        AllowOverride None
    </Directory>
    <Directory /home/magento/public_html/>
        Options Indexes FollowSymLinks MultiViews
        AllowOverride None
        Order allow,deny
        allow from all
    </Directory>

    ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
    <Directory "/usr/lib/cgi-bin">
        AllowOverride None
        Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
        Order allow,deny
        Allow from all
    </Directory>

    ErrorLog /var/log/apache2/error.log

    # Possible values include: debug, info, notice, warn, error, crit,
    # alert, emerg.
    LogLevel warn

    CustomLog /var/log/apache2/access.log combined

    Alias /doc/ "/usr/share/doc/"
    <Directory "/usr/share/doc/">
        Options Indexes MultiViews FollowSymLinks
        AllowOverride None
        Order deny,allow
        Deny from all
        Allow from 127.0.0.0/255.0.0.0 ::1/128
    </Directory>
SSLVerifyClient none
SSLEngine off

</VirtualHost>

NameVirtualHost *:443
<VirtualHost *:443>
    ServerAdmin webmaster@localhost
    ServerName www.******.pl
    Serveralias *****.pl
    
SSLEngine off
    SSLCipherSuite DHE-RSA-AES256-SHA:EDH-RSA-DES-CBC3-SHA:DHE-RSA-AES128-SHA:AES256-SHA:DES-CBC3-SHA:AES128-SHA:RC4-SHA
SSLCertificateFile /etc/apache2/ssl/apache.crt
SSLCertificateKeyFile /etc/apache2/ssl/apache.key

    DocumentRoot /home/magento/public_html/
    <Directory />
        Options FollowSymLinks
        AllowOverride None
    </Directory>
    <Directory /home/magento/public_html/>
        Options Indexes FollowSymLinks MultiViews
        AllowOverride None
        Order allow,deny
        allow from all
    </Directory>

    ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
    <Directory "/usr/lib/cgi-bin">
        AllowOverride None
        Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
        Order allow,deny
        Allow from all
    </Directory>

    ErrorLog /var/log/apache2/error.log

    # Possible values include: debug, info, notice, warn, error, crit,
    # alert, emerg.
    LogLevel warn

    CustomLog /var/log/apache2/access.log combined

    Alias /doc/ "/usr/share/doc/"
    <Directory "/usr/share/doc/">
        Options Indexes MultiViews FollowSymLinks
        AllowOverride None
        Order deny,allow
        Deny from all
        Allow from 127.0.0.0/255.0.0.0 ::1/128
    </Directory>

</VirtualHost>

konfiguracja ssl

Kod:

# 
# OpenSSL configuration file. 
# 

# Establish working directory. 
dir = . 
[ req ] 
default_bits = 1024 # Size of keys 
default_keyfile = key.pem # name of generated keys 
default_md = md5 # message digest algorithm 
string_mask = nombstr # permitted characters 
distinguished_name = req_distinguished_name 

[ req_distinguished_name ] 
# Variable name   Prompt string 
#----------------------   ---------------------------------- 
0.organizationName = Organization Name (company) 
organizationalUnitName = Organizational Unit Name (department, division) 
emailAddress = Email Address 
emailAddress_max = 40 
localityName = Locality Name (city, district) 
stateOrProvinceName = State or Province Name (full name) 
countryName = Country Name (2 letter code) 
countryName_min = 2 
countryName_max = 2 
commonName = Common Name (hostname, IP, or your name) 
commonName_max = 64 

# Default values for the above, for consistency and less typing. 
# Variable name   Value 
#------------------------------   ------------------------------ 
0.organizationName_default = The Sample Company 
localityName_default = Metropolis 
stateOrProvinceName_default = New York 
countryName_default = US 

[ v3_ca ] 
basicConstraints = CA:TRUE 
subjectKeyIdentifier = hash 
authorityKeyIdentifier = keyid:always,issuer:always

Będę wdzięczny za pomoc

P.S. jest w planach upgrade tylko trochę się boję ze względu na to, że dużo jest już zrobione na serwerku ;-)

Offline

 

#7  2011-05-29 12:26:55

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: apache2 + ssl nie uzyskano połączenia z serwerem

Co do [quote=pio_trek248][b]Kożystałem[/b] z tego tutka:[/quote]
To zacznij korzystać ze słownika do przeglądarki:

Wynik polecenia

Kod:

openssl s_client -connect host:443 ,
gethostbyname failure
connect:errno=110

,
Czyli już tutaj jest coś na rzeczy.[/quote]
I powinno krzaczyć: to test połączenia ssl, a czy twój Apache ma adres host?
czy może ma adres domeny, albo localhost? - można też po IP, ale posługiwanie się międzyusznym programem brain nieuniknione. Bez tego się nie da.
składnia

Kod:

<adres_serwera>:<port-ssl>

Kod:

apache2 -t
apache2: Could not reliably determine the server's fully qualified domain name, using 127.0.1.1 for ServerName
Syntax OK

Warn z domain name pokazywał się od początku ale serwer działał, składnia ok,

Kod:

debian:~# /etc/init.d/apache2 restart
Restarting web server: apache2apache2: Could not reliably determine the server's fully qualified domain name, using 127.0.1.1 for ServerName
apache2: Could not reliably determine the server's fully qualified domain name, using 127.0.1.1 for ServerName
(98)Address already in use: make_sock: could not bind to address [::]:80
(98)Address already in use: make_sock: could not bind to address 0.0.0.0:80
no listening sockets available, shutting down
Unable to open logs
 failed!

naprawiłem to za pomocą

Kod:

fuser -k -n tcp 80

[/quote]
Tu się kłania konfiguracja Apacha: 127.0.1.1 to nie jest normalny adres, można odpalić Apacha na127.0.0.1 (localhost), wtedy będzie miauczał podobnie, ale działał.

i teraz jest:

Kod:

 /etc/init.d/apache2 start
Starting web server: apache2apache2: Could not reliably determine the server's fully qualified domain name, using 127.0.1.1 for ServerName
Apache/2.2.9 mod_ssl/2.2.9 (Pass Phrase Dialog)
Some of your private key files are encrypted for security reasons.
In order to read them you have to provide the pass phrases.

Server 127.0.1.1:443 (RSA)
Enter pass phrase:

OK: Pass Phrase Dialog successful.
.

[/quote]
Zamiast dalszych odpowiedzi małe [b]demo[/b] zrobione u mnie (instalacja Apache2, Mysql i php od zera):

Kod:

apt-get install mysql-server
apt-get install libpapche2-mod-php5 phpmyadmin

zrobione:
test netcatem:

Kod:

 echo GET |nc localhost 80
<html><body><h1>It works!</h1>
<p>This is the default web page for this server.</p>
<p>The web server software is running but no content has been added, yet.</p>
</body></html>

czy Apache działa?
teraz ssl:

Kod:

mkdir -p /etc/apache2/ssl/

Kod:

openssl genrsa -out /etc/apache2/ssl/apache.key 2048
openssl req -new -x509 -days 365 -key /etc/apache2/ssl/apache.key -out /etc/apache2/ssl/apache.crt

Certyfikat gotowy?:

Kod:

ls -l  /etc/apache2/ssl/apache*
-rw-r--r-- 1 root root 1326 05-29 12:27 /etc/apache2/ssl/apache.crt
-rw-r--r-- 1 root root 1679 05-29 12:26 /etc/apache2/ssl/apache.key

Kod:

cp /etc/apache2/sites-available/default /etc/apache2/sites-available/ssl

Kod:

nano /etc/apache2/sites-available/ssl

zmieniam nagłówek:

Kod:

<virtualhost *:443>
       ServerAdmin webmaster@localhost

       SSLEngine On
       SSLCertificateFile /etc/apache2/ssl/apache.crt
       SSLCertificateKeyFile /etc/apache2/ssl/apache.key

........

Kod:

a2enmod ssl
Enabling module ssl.
See /usr/share/doc/apache2.2-common/README.Debian.gz on how to configure SSL and create self-signed certificates.
Run '/etc/init.d/apache2 restart' to activate new configuration!

Kod:

/etc/init.d/apache2 restart
Restarting web server: apache2 ... waiting .

Kod:

lsof -i :443 | grep apache
apache2 30174     root    4u  IPv4 109628      0t0  TCP *:https (LISTEN)
apache2 30184 www-data    4u  IPv4 109628      0t0  TCP *:https (LISTEN)
apache2 30185 www-data    4u  IPv4 109628      0t0  TCP *:https (LISTEN)
apache2 30186 www-data    4u  IPv4 109628      0t0  TCP *:https (LISTEN)
apache2 30187 www-data    4u  IPv4 109628      0t0  TCP *:https (LISTEN)
apache2 30188 www-data    4u  IPv4 109628      0t0  TCP *:https (LISTEN)

Spróbuj - czy u Ciebie to pójdzie wg przepisu z https://help.ubuntu.com/community/forum/server/apache2/SSL, u mnie [b]wywala  błąd certyfikatu[/b] przy próbie połączenia. (Debian testing).
Za to ten przepis działa bez problemu:
[url][b]http://ubuntu.pl/forum/viewtopic.php?t=40547[/b][/url] - według niego robiłem powyższą próbę.

Czy działa:

[b]openssl s_client -connect localhost:443[/b]
CONNECTED(00000003)
depth=0 C = PL, ST = Some-State, O = Internet Widgits Pty Ltd, emailAddress = webmaster@localhost
verify error:num=18:self signed certificate
verify return:1
depth=0 C = PL, ST = Some-State, O = Internet Widgits Pty Ltd, emailAddress = webmaster@localhost
verify return:1
---
Certificate chain
0 s:/C=PL/ST=Some-State/O=Internet Widgits Pty Ltd/emailAddress=webmaster@localhost
   i:/C=PL/ST=Some-State/O=Internet Widgits Pty Ltd/emailAddress=webmaster@localhost
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=/C=PL/ST=Some-State/O=Internet Widgits Pty Ltd/emailAddress=webmaster@localhost
issuer=/C=PL/ST=Some-State/O=Internet Widgits Pty Ltd/emailAddress=webmaster@localhost
---
No client certificate CA names sent
---
SSL handshake has read 1668 bytes and written 369 bytes
---
New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: zlib compression
Expansion: zlib compression
SSL-Session:
    Protocol  : SSLv3
    Cipher    : DHE-RSA-AES256-SHA
    Session-ID: A1B8DF4A06BCF459E6B23FF3515073E27107F77D30D95B4D27E93CF904B6F258
    Session-ID-ctx:
    Master-Key: F1E0D766111EC7329E5EEDE2947AC4A742F76175C9D39C82D624E7B753EB48CEE1A2640D5F41D99B4C708AF497FC39B2
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    Compression: 1 (zlib compression)
    Start Time: 1306665297
    Timeout   : 7200 (sec)
    Verify return code: 18 (self signed certificate)
---
[b]GET [/b]
<html><body><h1>[b]It works![/b]</h1>
<p>[b]This is the default web page for this server[/b].</p>
<p>The web server software is running but no content has been added, yet.</p>
</body></html>
closed[/quote]
[url=http://www.debian-administration.org/articles/284]Tutek[/url], z którego robiłeś  jest o openssl - i bardziej zaciemnia obraz, niż pokazuje, jak się włącza ssl w Apachu.

W rolach głównych udział wzięli (i dziękują za uwagę):
    Debian Wheezy (testing).
    Apache/2.2.17 (Debian)
    Openssl  1.0.0d-2
    Netcat

To by było na tyle
;-)

Ostatnio edytowany przez Jacekalex (2011-05-29 13:34:14)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#8  2011-05-29 14:10:51

  pio_trek248 - Użytkownik

pio_trek248
Użytkownik
Zarejestrowany: 2011-05-28

Re: apache2 + ssl nie uzyskano połączenia z serwerem

Dzięki za pomoc i cierpliwość, zrobiłem zgodnie z [url]http://ubuntu.pl/forum/viewtopic.php?t=40547[/url]

przy poleceniu jest takie coś:

Kod:

openssl s_client -connect 192.168.1.4:443
CONNECTED(00000003)
9827:error:140790E5:SSL routines:SSL23_WRITE:ssl handshake failure:s23_lib.c:188:

natomiast przy

Kod:

openssl s_client -connect cds.gsfc.nasa.gov:443 -cipher 'DEFAULT:!DHE-RSA-AES256-SHA:!DHE-DSS-AES256-SHA:!AES256-SHA'

Kod:

CONNECTED(00000003)
depth=1 /C=US/O=GeoTrust, Inc./CN=GeoTrust SSL CA
verify error:num=20:unable to get local issuer certificate
verify return:0
---
Certificate chain
 0 s:/serialNumber=KwzeF9S0v8nuC3JNQzzDxYQHscbqKO7Q/C=US/ST=Maryland/L=Greenbelt/O=Honeywell Technology Solutions, Inc./OU=CDS / Code 450/CN=*.gsfc.nasa.gov
   i:/C=US/O=GeoTrust, Inc./CN=GeoTrust SSL CA
 1 s:/C=US/O=GeoTrust, Inc./CN=GeoTrust SSL CA
   i:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
---
Server certificate
-----BEGIN CERTIFICATE-----
MIIEoTCCA4m*********tx1tIcVuhnxEQtq6nmp
YmqH+GCrKr1fxND56IYPpmvHMUdY92263yUpJO0u54LFAj4iNQ==
-----END CERTIFICATE-----
subject=/serialNumber=KwzeF9S0v8nuC3JNQzzDxYQHscbqKO7Q/C=US/ST=Maryland/L=Greenbelt/O=Honeywell Technology Solutions, Inc./OU=CDS / Code 450/CN=*.gsfc.nasa.gov
issuer=/C=US/O=GeoTrust, Inc./CN=GeoTrust SSL CA
---
No client certificate CA names sent
---
SSL handshake has read 2340 bytes and written 438 bytes
---
New, TLSv1/SSLv3, Cipher is AES128-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1
    Cipher    : AES128-SHA
    Session-ID: A51******2048
    Session-ID-ctx:
    Master-Key: 7F9******D28D17615
    Key-Arg   : None
    Start Time: 1306669654
    Timeout   : 300 (sec)
    Verify return code: 20 (unable to get local issuer certificate)
---
read:errno=0

Dopiero się uczę więc proszę o wyrozumiałość.

Offline

 

#9  2011-05-29 15:30:29

  hello_world - Członek DUG

hello_world
Członek DUG
Skąd: Rymanów Zdrój
Zarejestrowany: 2010-06-03
Serwis

Re: apache2 + ssl nie uzyskano połączenia z serwerem

Fakt jest taki, że ja też niedawno uruchamiałem Apache z ssl i również krzaczyło mi się. Z kolei jak podpiałem certyfikat pod lighttpd to bez problemu poszło. W lighttpd nie ma takich fikołów[s] jak w Apache[/s].
@Jacekalex
Również robiłem tak jak Ty i mi z kolei krzaczy tak:

Kod:

root@devel:/etc/apache2/ssl# openssl s_client -connect localhost:443
CONNECTED(00000003)
3074709656:error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number:s3_pkt.c:338:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 5 bytes and written 7 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : SSLv3
    Cipher    : 0000
    Session-ID: 
    Session-ID-ctx: 
    Master-Key: 
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    Start Time: 1306682367
    Timeout   : 7200 (sec)
    Verify return code: 0 (ok)

---
root@devel:/etc/apache2/ssl# lsof -i :443

Kod:

COMMAND   PID     USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
apache2 29430     root    6u  IPv6 571521      0t0  TCP *:https (LISTEN)
apache2 29438 www-data    6u  IPv6 571521      0t0  TCP *:https (LISTEN)
apache2 29439 www-data    6u  IPv6 571521      0t0  TCP *:https (LISTEN)
apache2 29440 www-data    6u  IPv6 571521      0t0  TCP *:https (LISTEN)
apache2 29441 www-data    6u  IPv6 571521      0t0  TCP *:https (LISTEN)
apache2 29442 www-data    6u  IPv6 571521      0t0  TCP *:https (LISTEN)

Jak widać nasłuchuje na ipv6 - nie rozumiem dlaczego?

komenda apache2 -t pokazuje :

Kod:

apache2: bad user name ${APACHE_RUN_USER}

Sam sobie zaprzecza?

Oczywiście lokalnie mogę przeglądać po 80 porcie

Ostatnio edytowany przez hello_world (2011-05-29 15:59:23)

Offline

 

#10  2011-05-29 15:44:48

  hello_world - Członek DUG

hello_world
Członek DUG
Skąd: Rymanów Zdrój
Zarejestrowany: 2010-06-03
Serwis

Re: apache2 + ssl nie uzyskano połączenia z serwerem

Ok znalzałem u siebie bład (nie wygenerowałem pliku). Po prostu nie wykonałem a2ensite. Wiec komunikat teraz openssl s_client pokazuje ok.
Teraz tylko dlaczego ipv6  i dlaczego teb bad user?

Debian Sid
apache 2.2.19
openssl OpenSSL 1.0.0d

Offline

 

#11  2011-05-29 16:36:45

  pio_trek248 - Użytkownik

pio_trek248
Użytkownik
Zarejestrowany: 2011-05-28

Re: apache2 + ssl nie uzyskano połączenia z serwerem

U mnie po wykonaniu a2ensite jest ten sam problem...

Offline

 

#12  2011-05-29 17:03:53

  hello_world - Członek DUG

hello_world
Członek DUG
Skąd: Rymanów Zdrój
Zarejestrowany: 2010-06-03
Serwis

Re: apache2 + ssl nie uzyskano połączenia z serwerem

Ale nie zrobiłeś tak jak podawał Jacekalex.
Masz wszystko wpisane w jednym pliku - default

Offline

 

#13  2011-05-29 17:15:06

  urug - Członek DUG

urug
Członek DUG
Skąd: Częstochowa
Zarejestrowany: 2008-04-22
Serwis

Re: apache2 + ssl nie uzyskano połączenia z serwerem

Tym błędem ostatnim się nie przejmuj. Jak sobie zerkniesz do apache2.conf to zobaczysz zmienną środowiskową która jest dopiero później rozwijana przez apache2ctl


Pozdrawiam, Tomek

Offline

 

#14  2011-05-29 17:48:08

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: apache2 + ssl nie uzyskano połączenia z serwerem

[quote=hello_world].....
@Jacekalex
Również robiłem tak jak Ty i mi z kolei krzaczy tak:...[/quote]
A u mnie świezą instalacja Debiana Squeeze, aktualizacja do Wheezy, świeża instalacja Apacha, Mysql i PHP, certyfikat zrobiłem i podpiąłem bezpośrednio po instalacji i chodzi.

W Lennym powinien pójść sposób z make-ssl-cert, w Sidzie poszło [url=http://ubuntu.pl/forum/viewtopic.php?t=40547]sposobem nr 2[/url].

W Ubuntu 8.04 i 8.10 był kłopot z Apachem, dlatego generowało się cert przez make-ssl-cert.
Lenny jest rówieśnikiem Ubuntu 8.04, i prawdopodobnie zadziała ten [url=https://help.ubuntu.com/community/forum/server/apache2/SSL,]sposób[/url].

W każdym razie jak nie jeden, to drugi.
Ewentualnie można się pobawić z dokumentacją:
http://httpd.apache.org/docs/2.2/ssl/ssl_faq.html
http://www.modssl.org/docs/2.8/ssl_faq.html
A tutaj jest trzeci sposób  (najtrudniejszy), działa na Gentoo (Apache to Apache, konfiguruje się tak samo):
http://en.gentoo-wiki.com/wiki/Apache2/SSL_Certificates

To by było na tyle
;-)

Ostatnio edytowany przez Jacekalex (2011-06-19 06:57:25)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#15  2011-06-04 16:27:25

  pio_trek248 - Użytkownik

pio_trek248
Użytkownik
Zarejestrowany: 2011-05-28

Re: apache2 + ssl nie uzyskano połączenia z serwerem

Witam ponownie wszystko działa, wymieniłem system na squeeze i po 15 minutach ssl działa bez problemu. Temat zamknięty, dziękuję za pomoc w  szczególności Jacekalex.

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
To nie jest tylko forum, to nasza mała ojczyzna ;-)

[ Generated in 0.012 seconds, 11 queries executed ]

Informacje debugowania

Time (s) Query
0.00012 SET CHARSET latin2
0.00007 SET NAMES latin2
0.00081 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='44.200.210.43' WHERE u.id=1
0.00133 REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '44.200.210.43', 1711628976)
0.00053 SELECT * FROM punbb_online WHERE logged<1711628676
0.00101 SELECT topic_id FROM punbb_posts WHERE id=174545
0.00125 SELECT id FROM punbb_posts WHERE topic_id=19043 ORDER BY posted
0.00079 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=19043 AND t.moved_to IS NULL
0.00012 SELECT search_for, replace_with FROM punbb_censoring
0.00123 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=19043 ORDER BY p.id LIMIT 0,25
0.00136 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=19043
Total query time: 0.00862 s