Centos (Elastix): ssl_error_rx_record_too_long - Linux en overige clients

vrijdag 6 maart 2009 16:03

Acties:

Topicstarter

Ik kom even niet uit het volgende. Situatie:

* Asus EEE Box B202 met Elastix geïnstalleerd. (CentOS 5)
* DynDNS hostname toegewezen aan externe IP
* ZyXEL 2602 modemrouter poorten geforward
* Elastixportal via http/https lokaal perfect bereikbaar.

Echter, extern kan ik er niet meer bij. Dit is gebeurd nadat ik Webmin geïnstalleerd had via Yum. Ik had Webmin nog nooit geprobeerd en wilde dit wel eens proberen. Nu veranderde tijdens het instaleren van Webmin ineens de hostname van de server. Sindsdien krijg ik als ik extern probeer in te loggen op de portal de volgende foutmelding in firefox:

code:

Beveiligde verbinding mislukt

Fout tijdens het verbinden met **********

SSL ontving een record die de maximaal toegestane lengte overschreed.

(Foutcode: ssl_error_rx_record_too_long)

Uiteraard eerst met google rondgekeken. Daar kwam ik erachter dat het toch iets met de hostname te maken had. Webmin heeft mijn externe IP (ik heb de server bij mij thuis ingericht) gebruikt om de hostname te bepalen. Via SSH kan ik nog gewoon erbij trouwens. Het is alleen het https verkeer. De hostname terug veranderen werkt niet. Heeft iemand enig idee wat het probleem zou kunnen zijn?

zaterdag 7 maart 2009 00:45

Acties:

gertvdijk

trolleystad schreef op vrijdag 06 maart 2009 @ 16:03:
Heeft iemand enig idee wat het probleem zou kunnen zijn?

Tja, wat heb je voor service achter https zitten? Apache? Elastixportal googlen levert alleen dit topic op dus misschien kan je wat verduidelijken. Indien Apache: even checken of die config nog in orde is. Webmin maakt het misschien wel 'gemakkelijker', maar je raakt de grip op het systeem al snel kwijt als dit soort control panels ineens dingen voor jou gaan doen op de server.

[ Voor 12% gewijzigd door gertvdijk op 07-03-2009 00:46 ]

Kia e-Niro 2021 64kWh DynamicPlusLine. 3x Victron MP-II op 15kWh US5000 3f thuisbatterij met 3x25A→3x40A PowerAssist, Victron EVCS, 3200Wp HoyMiles zp. my GitHub, my blog

zaterdag 7 maart 2009 09:29

Acties:

Dolan

Topicstarter

gertvdijk schreef op zaterdag 07 maart 2009 @ 00:45:
[...]

Tja, wat heb je voor service achter https zitten? Apache? Elastixportal googlen levert alleen dit topic op dus misschien kan je wat verduidelijken. Indien Apache: even checken of die config nog in orde is. Webmin maakt het misschien wel 'gemakkelijker', maar je raakt de grip op het systeem al snel kwijt als dit soort control panels ineens dingen voor jou gaan doen op de server.

Sorry, het is inderdaad Apache. En is had Elastis en portal niet aan elkaar moeten schrijven. Het gaat om Elastix. Ik heb webmin ondertussen verwijderd, vond het inderdaad niet het meest geweldige omdat je niet meer ziet wat er gebeurt. Daarom weet ik ook niet wat er nou mis is. Ik denk dat het met de hostname te maken heeft. Die was eerst "Asterisk", maar is nu veranderd naar mijn DynDNS hostname. De hostname veranderen met het commando hostname werkt wel, maar als ik dan reboot is de hostname weer terug. Apache reloaden na de hostname verandering werkt ook niet. Nog steeds dezelfde foutmelding.

zaterdag 7 maart 2009 11:29

Acties:

gertvdijk

Het gaat mij om dit soort instellingen van de Apache sites:

code:

<VirtualHost *:443>
       ServerName domein
       ServerAlias *.domein

       SSLEngine on
       SSLCertificateFile /etc/apache2/ssl/publiccert.pem
       SSLCertificateKeyFile /etc/apache2/ssl/privatekey.pem
       SSLCipherSuite HIGH
       SSLProtocol all -SSLv2

       DocumentRoot /var/www/domein
       <Directory />
 
       </Directory>
</VirtualHost>

Daarnaast zal er ook vast wat staan in de error logs van Apache.

[ Voor 6% gewijzigd door gertvdijk op 07-03-2009 11:29 ]

Kia e-Niro 2021 64kWh DynamicPlusLine. 3x Victron MP-II op 15kWh US5000 3f thuisbatterij met 3x25A→3x40A PowerAssist, Victron EVCS, 3200Wp HoyMiles zp. my GitHub, my blog

zaterdag 7 maart 2009 13:13

Acties:

Dolan

Topicstarter

Hmm, een hele hoop gegenereerde code:

ssl.conf

code:

##
## SSL Virtual Host Context
##

<VirtualHost _default_:443>

# General setup for the virtual host, inherited from global configuration
#DocumentRoot "/var/www/html"
#ServerName www.example.com:443

# Use separate log files for the SSL virtual host; note that LogLevel
# is not inherited from httpd.conf.
ErrorLog logs/ssl_error_log
TransferLog logs/ssl_access_log
LogLevel warn

#   SSL Engine Switch:
#   Enable/Disable SSL for this virtual host.
SSLEngine on

#   SSL Protocol support:
# List the enable protocol levels with which clients will be able to
# connect.  Disable SSLv2 access by default:
SSLProtocol +SSLv3 +TLSv1

#   SSL Cipher Suite:
# List the ciphers that the client is permitted to negotiate.
# See the mod_ssl documentation for a complete list.
SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW

#   Server Certificate:
# Point SSLCertificateFile at a PEM encoded certificate.  If
# the certificate is encrypted, then you will be prompted for a
# pass phrase.  Note that a kill -HUP will prompt again.  A new
# certificate can be generated using the genkey(1) command.
SSLCertificateFile /etc/pki/tls/certs/localhost.crt

#   Server Private Key:
#   If the key is not combined with the certificate, use this
#   directive to point at the key file.  Keep in mind that if
#   you've both a RSA and a DSA private key you can configure
#   both in parallel (to also allow the use of DSA ciphers, etc.)
SSLCertificateKeyFile /etc/pki/tls/private/localhost.key

#   Server Certificate Chain:
#   Point SSLCertificateChainFile at a file containing the
#   concatenation of PEM encoded CA certificates which form the
#   certificate chain for the server certificate. Alternatively
#   the referenced file can be the same as SSLCertificateFile
#   when the CA certificates are directly appended to the server
#   certificate for convinience.
#SSLCertificateChainFile /etc/pki/tls/certs/server-chain.crt

#   Certificate Authority (CA):
#   Set the CA certificate verification path where to find CA
#   certificates for client authentication or alternatively one
#   huge file containing all of them (file must be PEM encoded)
#SSLCACertificateFile /etc/pki/tls/certs/ca-bundle.crt

#   Client Authentication (Type):
#   Client certificate verification type and depth.  Types are
#   none, optional, require and optional_no_ca.  Depth is a
#   number which specifies how deeply to verify the certificate
#   issuer chain before deciding the certificate is not valid.
#SSLVerifyClient require
#SSLVerifyDepth  10

#   Access Control:
#   With SSLRequire you can do per-directory access control based
#   on arbitrary complex boolean expressions containing server
#   variable checks and other lookup directives.  The syntax is a
#   mixture between C and Perl.  See the mod_ssl documentation
#   for more details.
#<Location />
#SSLRequire (    %{SSL_CIPHER} !~ m/^(EXP|NULL)/ \
#            and %{SSL_CLIENT_S_DN_O} eq "Snake Oil, Ltd." \
#            and %{SSL_CLIENT_S_DN_OU} in {"Staff", "CA", "Dev"} \
#            and %{TIME_WDAY} >= 1 and %{TIME_WDAY} <= 5 \
#            and %{TIME_HOUR} >= 8 and %{TIME_HOUR} <= 20       ) \
#           or %{REMOTE_ADDR} =~ m/^192\.76\.162\.[0-9]+$/
#</Location>

#   SSL Engine Options:
#   Set various options for the SSL engine.
#   o FakeBasicAuth:
#     Translate the client X.509 into a Basic Authorisation.  This means that
#     the standard Auth/DBMAuth methods can be used for access control.  The
#     user name is the `one line' version of the client's X.509 certificate.
#     Note that no password is obtained from the user. Every entry in the user
#     file needs this password: `xxj31ZMTZzkVA'.
#   o ExportCertData:
#     This exports two additional environment variables: SSL_CLIENT_CERT and
#     SSL_SERVER_CERT. These contain the PEM-encoded certificates of the
#     server (always existing) and the client (only existing when client
#     authentication is used). This can be used to import the certificates
#     into CGI scripts.
#   o StdEnvVars:
#     This exports the standard SSL/TLS related `SSL_*' environment variables.
#     Per default this exportation is switched off for performance reasons,
#     because the extraction step is an expensive operation and is usually
#     useless for serving static content. So one usually enables the
#     exportation for CGI and SSI requests only.
#   o StrictRequire:
#     This denies access when "SSLRequireSSL" or "SSLRequire" applied even
#     under a "Satisfy any" situation, i.e. when it applies access is denied
#     and no other module can change it.
#   o OptRenegotiate:
#     This enables optimized SSL connection renegotiation handling when SSL
#     directives are used in per-directory context. 
#SSLOptions +FakeBasicAuth +ExportCertData +StrictRequire
<Files ~ "\.(cgi|shtml|phtml|php3?)$">
    SSLOptions +StdEnvVars
</Files>
<Directory "/var/www/cgi-bin">
    SSLOptions +StdEnvVars
</Directory>

#   SSL Protocol Adjustments:
#   The safe and default but still SSL/TLS standard compliant shutdown
#   approach is that mod_ssl sends the close notify alert but doesn't wait for
#   the close notify alert from client. When you need a different shutdown
#   approach you can use one of the following variables:
#   o ssl-unclean-shutdown:
#     This forces an unclean shutdown when the connection is closed, i.e. no
#     SSL close notify alert is send or allowed to received.  This violates
#     the SSL/TLS standard but is needed for some brain-dead browsers. Use
#     this when you receive I/O errors because of the standard approach where
#     mod_ssl sends the close notify alert.
#   o ssl-accurate-shutdown:
#     This forces an accurate shutdown when the connection is closed, i.e. a
#     SSL close notify alert is send and mod_ssl waits for the close notify
#     alert of the client. This is 100% SSL/TLS standard compliant, but in
#     practice often causes hanging connections with brain-dead browsers. Use
#     this only for browsers where you know that their SSL implementation
#     works correctly. 
#   Notice: Most problems of broken clients are also related to the HTTP
#   keep-alive facility, so you usually additionally want to disable
#   keep-alive for those clients, too. Use variable "nokeepalive" for this.
#   Similarly, one has to force some clients to use HTTP/1.0 to workaround
#   their broken HTTP/1.1 implementation. Use variables "downgrade-1.0" and
#   "force-response-1.0" for this.
SetEnvIf User-Agent ".*MSIE.*" \
         nokeepalive ssl-unclean-shutdown \
         downgrade-1.0 force-response-1.0

#   Per-Server Logging:
#   The home of a custom SSL log file. Use this when you want a
#   compact non-error SSL logfile on a virtual host basis.
CustomLog logs/ssl_request_log \
          "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"

</VirtualHost>

Als ik de comments eruit haal wordt het dus:

ssl.conf

code:

<VirtualHost _default_:443>

ErrorLog logs/ssl_error_log
TransferLog logs/ssl_access_log
LogLevel warn

SSLEngine on

SSLProtocol +SSLv3 +TLSv1

SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW

SSLCertificateFile /etc/pki/tls/certs/localhost.crt

SSLCertificateKeyFile /etc/pki/tls/private/localhost.key

<Files ~ "\.(cgi|shtml|phtml|php3?)$">
    SSLOptions +StdEnvVars
</Files>
<Directory "/var/www/cgi-bin">
    SSLOptions +StdEnvVars
</Directory>

SetEnvIf User-Agent ".*MSIE.*" \
         nokeepalive ssl-unclean-shutdown \
         downgrade-1.0 force-response-1.0

CustomLog logs/ssl_request_log \
          "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"

</VirtualHost>

Het gekke is dat er dus totaal geen domein gespecificeerd wordt. Hoort dat? Ik heb helaas weinig ervaring met een niet-werkende apache. Hij deed het gewoonweg altijd...

Als ik nu een paar keer probeer te verbinden vanaf hier krijg ik niks te zien in de ssl_error_log, maar voor de volledigheid hier het laatste stukje uit de ssl_error_log:

code:

[Tue Mar 03 16:19:35 2009] [warn] RSA server certificate CommonName (CN) `localhost.localdomain' does NOT match server name!?
[Tue Mar 03 16:19:36 2009] [warn] RSA server certificate is a CA certificate (BasicConstraints: CA == TRUE !?)
[Tue Mar 03 16:19:36 2009] [warn] RSA server certificate CommonName (CN) `localhost.localdomain' does NOT match server name!?
[Thu Mar 05 20:53:48 2009] [error] [client 192.168.1.36] File does not exist: /var/www/html/0.gif, referer: https://192.168.1.37/
[Thu Mar 05 20:54:00 2009] [error] [client 192.168.1.36] PHP Notice:  Undefined index:  password in /var/www/html/modules/dashboard/index.php on line 107, referer: https://192.168.1.37/
[Thu Mar 05 20:54:43 2009] [error] [client 192.168.1.36] PHP Notice:  Undefined variable: htmlFPBX in /var/www/html/modules/pbxadmin/index.php on line 464, referer: https://192.168.1.37/?menu=sysinfo
[Thu Mar 05 20:54:43 2009] [error] [client 192.168.1.36] File does not exist: /var/www/html/modules/pbxadmin/js/script.legacy.js, referer: https://192.168.1.37/?menu=pbxconfig
[Thu Mar 05 21:01:42 2009] [error] [client 192.168.1.36] File does not exist: /var/www/html/0.gif, referer: https://192.168.1.37/
[Thu Mar 05 21:02:13 2009] [error] [client 192.168.1.36] File does not exist: /var/www/html/0.gif, referer: https://192.168.1.37/
[Thu Mar 05 21:02:16 2009] [error] [client 192.168.1.36] PHP Notice:  Undefined index:  password in /var/www/html/modules/dashboard/index.php on line 107, referer: https://192.168.1.37/
[Thu Mar 05 21:10:25 2009] [error] [client 192.168.1.36] PHP Notice:  Only variable references should be returned by reference in /var/www/html/vtigercrm/log4php/LoggerAppender.php on line 73, referer: https://192.168.1.37/?menu=extras
[Thu Mar 05 21:10:25 2009] [error] [client 192.168.1.36] PHP Notice:  Only variable references should be returned by reference in /var/www/html/vtigercrm/log4php/LoggerPropertyConfigurator.php on line 565, referer: https://192.168.1.37/?menu=extras
[Thu Mar 05 21:10:25 2009] [error] [client 192.168.1.36] PHP Notice:  Only variable references should be returned by reference in /var/www/html/vtigercrm/log4php/LoggerAppender.php on line 73, referer: https://192.168.1.37/?menu=extras
[Thu Mar 05 21:10:25 2009] [error] [client 192.168.1.36] PHP Notice:  Only variable references should be returned by reference in /var/www/html/vtigercrm/log4php/LoggerPropertyConfigurator.php on line 565, referer: https://192.168.1.37/?menu=extras
[Thu Mar 05 21:10:25 2009] [error] [client 192.168.1.36] PHP Notice:  Only variable references should be returned by reference in /var/www/html/vtigercrm/log4php/LoggerAppender.php on line 73, referer: https://192.168.1.37/?menu=extras
[Thu Mar 05 21:10:25 2009] [error] [client 192.168.1.36] PHP Notice:  Only variable references should be returned by reference in /var/www/html/vtigercrm/log4php/LoggerPropertyConfigurator.php on line 565, referer: https://192.168.1.37/?menu=extras
[Thu Mar 05 21:10:25 2009] [error] [client 192.168.1.36] PHP Notice:  Only variable references should be returned by reference in /var/www/html/vtigercrm/log4php/LoggerAppender.php on line 73, referer: https://192.168.1.37/?menu=extras
[Thu Mar 05 21:10:25 2009] [error] [client 192.168.1.36] PHP Notice:  Only variable references should be returned by reference in /var/www/html/vtigercrm/log4php/LoggerPropertyConfigurator.php on line 565, referer: https://192.168.1.37/?menu=extras
[Thu Mar 05 21:10:25 2009] [error] [client 192.168.1.36] PHP Notice:  Only variable references should be returned by reference in /var/www/html/vtigercrm/log4php/LoggerAppender.php on line 73, referer: https://192.168.1.37/?menu=extras
[Thu Mar 05 21:10:25 2009] [error] [client 192.168.1.36] PHP Notice:  Only variable references should be returned by reference in /var/www/html/vtigercrm/log4php/LoggerPropertyConfigurator.php on line 565, referer: https://192.168.1.37/?menu=extras
[Thu Mar 05 21:10:26 2009] [error] [client 192.168.1.36] PHP Notice:  Undefined index:  module in /var/www/html/vtigercrm/index.php on line 78, referer: https://192.168.1.37/?menu=extras
[Thu Mar 05 21:10:26 2009] [error] [client 192.168.1.36] PHP Notice:  Undefined property:  Users::$date_format in /var/www/html/vtigercrm/index.php on line 672, referer: https://192.168.1.37/?menu=extras
[Thu Mar 05 21:13:11 2009] [error] [client 192.168.1.36] PHP Notice:  Undefined variable: htmlFPBX in /var/www/html/modules/pbxadmin/index.php on line 464, referer: https://192.168.1.37/?menu=extras
[Thu Mar 05 21:13:12 2009] [error] [client 192.168.1.36] File does not exist: /var/www/html/modules/pbxadmin/js/script.legacy.js, referer: https://192.168.1.37/?menu=pbxconfig
[Thu Mar 05 21:14:52 2009] [error] [client 192.168.1.36] PHP Notice:  Undefined variable: htmlFPBX in /var/www/html/modules/pbxadmin/index.php on line 464, referer: https://192.168.1.37/?menu=faxnew&action=view&id=1
[Thu Mar 05 21:14:52 2009] [error] [client 192.168.1.36] File does not exist: /var/www/html/modules/pbxadmin/js/script.legacy.js, referer: https://192.168.1.37/?menu=pbxconfig
[Thu Mar 05 21:33:42 2009] [error] [client 192.168.1.36] File does not exist: /var/www/html/0.gif, referer: https://192.168.1.37/
[Thu Mar 05 21:33:45 2009] [error] [client 192.168.1.36] PHP Notice:  Undefined index:  password in /var/www/html/modules/dashboard/index.php on line 107, referer: https://192.168.1.37/
[Thu Mar 05 22:07:55 2009] [error] [client 192.168.1.36] File does not exist: /var/www/html/0.gif, referer: https://192.168.1.37/
[Thu Mar 05 22:08:00 2009] [error] [client 192.168.1.36] PHP Notice:  Undefined index:  password in /var/www/html/modules/dashboard/index.php on line 107, referer: https://192.168.1.37/
[Thu Mar 05 22:08:03 2009] [error] [client 192.168.1.36] PHP Notice:  Undefined variable: htmlFPBX in /var/www/html/modules/pbxadmin/index.php on line 464, referer: https://192.168.1.37/
[Thu Mar 05 22:08:04 2009] [error] [client 192.168.1.36] File does not exist: /var/www/html/modules/pbxadmin/js/script.legacy.js, referer: https://192.168.1.37/?menu=pbxconfig
[Thu Mar 05 22:08:07 2009] [error] [client 192.168.1.36] PHP Notice:  Undefined variable: htmlFPBX in /var/www/html/modules/pbxadmin/index.php on line 464, referer: https://192.168.1.37/?menu=pbxconfig
[Thu Mar 05 22:08:07 2009] [error] [client 192.168.1.36] File does not exist: /var/www/html/modules/pbxadmin/js/script.legacy.js, referer: https://192.168.1.37/config.php?type=setup&display=extensions&extdisplay=102&skip=0
[Thu Mar 05 22:08:10 2009] [error] [client 192.168.1.36] PHP Notice:  Undefined variable: extens in /var/www/html/admin/modules/customappsreg/functions.inc.php on line 8, referer: https://192.168.1.37/config.php?type=setup&display=extensions&extdisplay=102&skip=0
[Thu Mar 05 22:08:10 2009] [error] [client 192.168.1.36] PHP Notice:  Undefined variable: htmlFPBX in /var/www/html/modules/pbxadmin/index.php on line 464, referer: https://192.168.1.37/config.php?type=setup&display=extensions&extdisplay=102&skip=0
[Thu Mar 05 22:08:11 2009] [error] [client 192.168.1.36] File does not exist: /var/www/html/modules/pbxadmin/js/script.legacy.js, referer: https://192.168.1.37/?menu=pbxconfig&display=did
[Thu Mar 05 22:08:13 2009] [error] [client 192.168.1.36] PHP Notice:  Undefined variable: extens in /var/www/html/admin/modules/customappsreg/functions.inc.php on line 8, referer: https://192.168.1.37/?menu=pbxconfig&display=did
[Thu Mar 05 22:08:13 2009] [error] [client 192.168.1.36] PHP Notice:  Undefined variable: htmlFPBX in /var/www/html/modules/pbxadmin/index.php on line 464, referer: https://192.168.1.37/?menu=pbxconfig&display=did
[Thu Mar 05 22:08:13 2009] [error] [client 192.168.1.36] File does not exist: /var/www/html/modules/pbxadmin/js/script.legacy.js, referer: https://192.168.1.37/config.php?display=did&extdisplay=31316280025/
[Thu Mar 05 22:08:25 2009] [error] [client 192.168.1.36] PHP Notice:  Undefined offset:  2 in /var/www/html/admin/modules/cidlookup/functions.inc.php on line 63, referer: https://192.168.1.37/config.php?display=did&extdisplay=31316280025/
[Thu Mar 05 22:08:26 2009] [error] [client 192.168.1.36] PHP Notice:  Undefined index:  channel in /var/www/html/admin/modules/cidlookup/functions.inc.php on line 65, referer: https://192.168.1.37/config.php?display=did&extdisplay=31316280025/
[Thu Mar 05 22:08:26 2009] [error] [client 192.168.1.36] PHP Notice:  Undefined variable: ringing in /var/www/html/admin/modules/core/functions.inc.php on line 1669, referer: https://192.168.1.37/config.php?display=did&extdisplay=31316280025/
[Thu Mar 05 22:08:26 2009] [error] [client 192.168.1.36] PHP Notice:  Undefined variable: extens in /var/www/html/admin/modules/customappsreg/functions.inc.php on line 8, referer: https://192.168.1.37/config.php?display=did&extdisplay=31316280025/
[Thu Mar 05 22:08:26 2009] [error] [client 192.168.1.36] PHP Notice:  Undefined variable: htmlFPBX in /var/www/html/modules/pbxadmin/index.php on line 464, referer: https://192.168.1.37/config.php?display=did&extdisplay=31316280025/
[Thu Mar 05 22:08:27 2009] [error] [client 192.168.1.36] File does not exist: /var/www/html/modules/pbxadmin/js/script.legacy.js, referer: https://192.168.1.37/config.php?display=did&extdisplay=31316280025%2F&extension=31316280025&cidnum=
[Thu Mar 05 22:08:31 2009] [error] [client 192.168.1.36] PHP Notice:  Undefined variable: extens in /var/www/html/admin/modules/customappsreg/functions.inc.php on line 8, referer: https://192.168.1.37/config.php?display=did&extdisplay=31316280025%2F&extension=31316280025&cidnum=
[Thu Mar 05 22:08:31 2009] [error] [client 192.168.1.36] PHP Notice:  Undefined variable: htmlFPBX in /var/www/html/modules/pbxadmin/index.php on line 464, referer: https://192.168.1.37/config.php?display=did&extdisplay=31316280025%2F&extension=31316280025&cidnum=
[Thu Mar 05 22:08:31 2009] [error] [client 192.168.1.36] File does not exist: /var/www/html/modules/pbxadmin/js/script.legacy.js, referer: https://192.168.1.37/config.php?display=did&extdisplay=31316280025%2F&extension=31316280025&cidnum=&handler=reload
[Thu Mar 05 22:50:18 2009] [error] [client 192.168.1.36] File does not exist: /var/www/html/0.gif, referer: https://192.168.1.37/?logout=yes
[Thu Mar 05 23:54:20 2009] [error] [client 192.168.1.36] File does not exist: /var/www/html/0.gif, referer: https://192.168.1.37/

zondag 8 maart 2009 13:06

Acties:

gertvdijk

trolleystad schreef op zaterdag 07 maart 2009 @ 13:13:
ssl.conf
code:
1
<VirtualHost _default_:443>
Het gekke is dat er dus totaal geen domein gespecificeerd wordt. Hoort dat?

Met _default_ matcht ie op alle vhosts, zolang het adres maar resolved naar je webserver. Anders komt je browser niet bij jou server uit.

trolleystad schreef op zaterdag 07 maart 2009 @ 13:13:

code:

1
2
3

[Tue Mar 03 16:19:35 2009] [warn] RSA server certificate CommonName (CN) `localhost.localdomain' does NOT match server name!?
[Tue Mar 03 16:19:36 2009] [warn] RSA server certificate is a CA certificate (BasicConstraints: CA == TRUE !?)
[Tue Mar 03 16:19:36 2009] [warn] RSA server certificate CommonName (CN) `localhost.localdomain' does NOT match server name!?

Een self-signed certificaat zonder gespecificeerd domein (CN) geeft dit soort warnings. Op zich geen fouten, maar het waarschuwt je alleen.

trolleystad schreef op zaterdag 07 maart 2009 @ 13:13:

code:

[Thu Mar 05 20:53:48 2009] [error] [client 192.168.1.36] File does not exist: /var/www/html/0.gif, referer: https://192.168.1.37/
[Thu Mar 05 20:54:00 2009] [error] [client 192.168.1.36] PHP Notice:  Undefined index:  password in /var/www/html/modules/dashboard/index.php on line 107, referer: https://192.168.1.37/
[Thu Mar 05 20:54:43 2009] [error] [client 192.168.1.36] PHP Notice:  Undefined variable: htmlFPBX in /var/www/html/modules/pbxadmin/index.php on line 464, referer: https://192.168.1.37/?menu=sysinfo
[Thu Mar 05 20:54:43 2009] [error] [client 192.168.1.36] File does not exist: /var/www/html/modules/pbxadmin/js/script.legacy.js, referer: https://192.168.1.37/?menu=pbxconfig
...

Dit zijn gewoon php fouten, die niets met de SSL laag te maken hebben. Wat ik alleen niet zie is een documentroot in de config. Volgens mij is dat vereist, maar ik kan het mis hebben.

Kia e-Niro 2021 64kWh DynamicPlusLine. 3x Victron MP-II op 15kWh US5000 3f thuisbatterij met 3x25A→3x40A PowerAssist, Victron EVCS, 3200Wp HoyMiles zp. my GitHub, my blog

woensdag 11 maart 2009 10:24

Acties:

Dolan

Topicstarter

gertvdijk schreef op zondag 08 maart 2009 @ 13:06:
[...]

Met _default_ matcht ie op alle vhosts, zolang het adres maar resolved naar je webserver. Anders komt je browser niet bij jou server uit.

[...]

Een self-signed certificaat zonder gespecificeerd domein (CN) geeft dit soort warnings. Op zich geen fouten, maar het waarschuwt je alleen.

[...]

Dit zijn gewoon php fouten, die niets met de SSL laag te maken hebben. Wat ik alleen niet zie is een documentroot in de config. Volgens mij is dat vereist, maar ik kan het mis hebben.

Ik kom er maar niet uit. Ik kwam in /etc/hosts ineens tegen dat mijn dyndns er ineens in staat (zal webmin wel gedaan hebben). Ook na elke reboot van de server staat de hostname weer verkeerd. Maar ook als ik de hostname verander en apache restart blijf ik steeds ssl_error_rx_record_too_long krijgen. Misschien moet ik alles maar herinstaleren. Ik snap dit echt niet meer. Ik kan niks raars vinden in de configs.

woensdag 11 maart 2009 11:07

Acties:

gertvdijk

Dit soort google-oplossingen al geprobeerd?
klik
klik
Kortgezegd: Gebruik je SSL op de standaard poort 443 en heb je geprobeerd de virtualhost te veranderen naar het adres waarnaar je browst in FF?

Kia e-Niro 2021 64kWh DynamicPlusLine. 3x Victron MP-II op 15kWh US5000 3f thuisbatterij met 3x25A→3x40A PowerAssist, Victron EVCS, 3200Wp HoyMiles zp. my GitHub, my blog

woensdag 11 maart 2009 11:29

Acties:

Dolan

Topicstarter

gertvdijk schreef op woensdag 11 maart 2009 @ 11:07:
Dit soort google-oplossingen al geprobeerd?
klik
klik
Kortgezegd: Gebruik je SSL op de standaard poort 443 en heb je geprobeerd de virtualhost te veranderen naar het adres waarnaar je browst in FF?

Die 2 pagina's ben ik inderdaad al tegengekomen en heb ik geprobeerd. Ik gebruik SSL op poort 443 (alhoewel ik de ports.conf file niet kan vinden, maar SSL.conf geeft wel poort 443 aan) en ik heb _default_ ook veranderd in <username>.mine.nu

Daarna apache restart, nog steeds dezelfde error.

Misschien ook handig om te weten, een telnet sessie levert dit op nadat ik GET invul:


<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
                                                  <html><head>
                                                              <title>302 Found</
title>
      </head><body>
                   <h1>Found</h1>
                                 <p>The document has moved <a href="https:///">h
ere</a>.</p>
            <hr>
                <address>Apache/2.2.3 (CentOS) Server at <username>.mine.nu Port
 81</address>
             </body></html>


Connection to host lost.

Poort 81 dat hoort, wordt door de router vertaald naar poort 80 daar.

woensdag 11 maart 2009 12:09

Acties:

gertvdijk

trolleystad schreef op woensdag 11 maart 2009 @ 11:29:
Die 2 pagina's ben ik inderdaad al tegengekomen en heb ik geprobeerd. Ik gebruik SSL op poort 443 (alhoewel ik de ports.conf file niet kan vinden, maar SSL.conf geeft wel poort 443 aan) en ik heb _default_ ook veranderd in <username>.mine.nu

Het gaat niet om waar dat distro-specifiek in de config moet (lees de docs bij de CentOS versie van Apache), maar om de Listen directive.
Wat ik nu zie: Waarom heb je je ServerName gecomment? Als je die niet gespecificeerd hebt in je main config is ie er niet en dan gaat er wel wat mis, ja. Kijk ook hier:

A ServerName should be specified inside each <VirtualHost> block. If it is absent, the ServerName from the "main" server configuration will be inherited.

Zie ook daar (link) hoe je een VirtualHost moet opgeven. Een asterisk (*) hoort daar, geen hostname.

trolleystad schreef op woensdag 11 maart 2009 @ 11:29:
Misschien ook handig om te weten, een telnet sessie levert dit op nadat ik GET invul:
<a href="https:///">
Poort 81 dat hoort, wordt door de router vertaald naar poort 80 daar.

Prima respons, behalve de link die Apache terug geeft. Dat deed mij vermoeden dat je geen ServerName hebt gespecificeerd.

Kia e-Niro 2021 64kWh DynamicPlusLine. 3x Victron MP-II op 15kWh US5000 3f thuisbatterij met 3x25A→3x40A PowerAssist, Victron EVCS, 3200Wp HoyMiles zp. my GitHub, my blog

woensdag 11 maart 2009 13:10

Acties:

Dolan

Topicstarter

Dat was 'ie in eerste instantie al. Goed, ik heb nu de volgende config in ssl.conf staan: (minus comments)

code:

Listen 443

AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl    .crl

SSLPassPhraseDialog  builtin

SSLSessionCache         shmcb:/var/cache/mod_ssl/scache(512000)
SSLSessionCacheTimeout  300

SSLMutex default

SSLRandomSeed startup file:/dev/urandom  256
SSLRandomSeed connect builtin

SSLCryptoDevice builtin
#SSLCryptoDevice ubsec

<VirtualHost *:443>
DocumentRoot "/var/www/html"
ServerName <username>.mine.nu
ErrorLog logs/ssl_error_log
TransferLog logs/ssl_access_log
LogLevel warn

SSLEngine on

SSLProtocol +SSLv3 +TLSv1

SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW

SSLCertificateFile /etc/pki/tls/certs/localhost.crt

SSLCertificateKeyFile /etc/pki/tls/private/localhost.key

<Files ~ "\.(cgi|shtml|phtml|php3?)$">
    SSLOptions +StdEnvVars
</Files>
<Directory "/var/www/cgi-bin">
    SSLOptions +StdEnvVars
</Directory>

SetEnvIf User-Agent ".*MSIE.*" \
         nokeepalive ssl-unclean-shutdown \
         downgrade-1.0 force-response-1.0

CustomLog logs/ssl_request_log \
          "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"

</VirtualHost>

Of het sterretje nu de volledige domeinnaam is of _default_ of gewoon het sterretje maakt niet uit. Telnetten levert nog steeds dezelfde output (lege link) en de SSL error in firefox. Het lijkt bijna alsof de ssl.conf niet gelezen wordt?

Edit: Ik heb even getest door express een syntax fout erin te gooien in ssl.conf. Apache begint bij herstarten dan te zeuren, dus ssl.conf wordt wel gelezen.

Enige fout die in de ssl_error_log staat is:

code:

1
2

[Wed Mar 11 14:20:22 2009] [warn] RSA server certificate is a CA certificate (BasicConstraints: CA == TRUE !?)
[Wed Mar 11 14:20:22 2009] [warn] RSA server certificate CommonName (CN) `localhost.localdomain' does NOT match server name!?

[ Voor 13% gewijzigd door Dolan op 11-03-2009 14:30 ]

vrijdag 13 maart 2009 10:21

Acties:

Dolan

Topicstarter

Subtiel kickje, iemand die zit wat er fout is in m'n ssl.conf? Ik weet het echt niet meer.

vrijdag 13 maart 2009 10:55

Acties:

gertvdijk

trolleystad schreef op vrijdag 13 maart 2009 @ 10:21:
Subtiel kickje, iemand die zit wat er fout is in m'n ssl.conf? Ik weet het echt niet meer.

Weet je zeker dat je certificaat en key in orde is? Dat kan je checken met openssl op de server. Zie daarvoor de manpage.

Kia e-Niro 2021 64kWh DynamicPlusLine. 3x Victron MP-II op 15kWh US5000 3f thuisbatterij met 3x25A→3x40A PowerAssist, Victron EVCS, 3200Wp HoyMiles zp. my GitHub, my blog

vrijdag 13 maart 2009 11:38

Acties:

berties

gokje; verander je Servername is een normale naam;

code:

1	ServerName trolleystad.mine.nu

daarna waarschijnlijk ook je ssl certificaat even opnieuw aanmaken

vrijdag 13 maart 2009 21:11

Acties:

Dolan

Topicstarter

gertvdijk schreef op vrijdag 13 maart 2009 @ 10:55:
[...]

Weet je zeker dat je certificaat en key in orde is? Dat kan je checken met openssl op de server. Zie daarvoor de manpage.

Ik heb geen idee of die in orde is. Ik ga die man page eens doorspitten. Ff kijken of ik SSL onder de knie kan krijgen.

Maar even een gek vraagje: Als ik nu met RPM gewoon httpd verwijder, vervolgens controleer of de map /etc/httpd/ ook echt weg is en dan httpd weer opnieuw installeer, dan staat alles toch weer correct ingesteld en zou 'in principe' alles weer normaal moeten werken? Of denk ik nu te simpel?

berties schreef op vrijdag 13 maart 2009 @ 11:38:
gokje; verander je Servername is een normale naam;
code:
1
ServerName trolleystad.mine.nu
daarna waarschijnlijk ook je ssl certificaat even opnieuw aanmaken

Het <username> gedeelte is om ervoor te zorgen dat mensen die toevallig dit topic tegenkomen niet gaan lopen klooien/DDOSEN/Whatever....

zaterdag 14 maart 2009 09:04

Acties:

gertvdijk

trolleystad schreef op vrijdag 13 maart 2009 @ 21:11:
[...]

Ik heb geen idee of die in orde is. Ik ga die man page eens doorspitten. Ff kijken of ik SSL onder de knie kan krijgen.

Maar even een gek vraagje: Als ik nu met RPM gewoon httpd verwijder, vervolgens controleer of de map /etc/httpd/ ook echt weg is en dan httpd weer opnieuw installeer, dan staat alles toch weer correct ingesteld en zou 'in principe' alles weer normaal moeten werken? Of denk ik nu te simpel?

Als je Apache purged zijn de configuratiebestanden ook weg. Alleen verwijderen doet dat niet. Nou moet ik wel zeggen dat ik niet zoveel ervaring heb met RPM-based systemen, dus of de terminologie klopt weet ik niet.

Kia e-Niro 2021 64kWh DynamicPlusLine. 3x Victron MP-II op 15kWh US5000 3f thuisbatterij met 3x25A→3x40A PowerAssist, Victron EVCS, 3200Wp HoyMiles zp. my GitHub, my blog

maandag 16 maart 2009 15:13

Acties:

Dolan

Topicstarter

gertvdijk schreef op zaterdag 14 maart 2009 @ 09:04:
[...]

Als je Apache purged zijn de configuratiebestanden ook weg. Alleen verwijderen doet dat niet. Nou moet ik wel zeggen dat ik niet zoveel ervaring heb met RPM-based systemen, dus of de terminologie klopt weet ik niet.

Dan waag ik me daar nu nog niet aan. FreePBX e.d. zijn afhankelijk van Apache. Ik blijf nog steeds deze SSL foutmelding krijgen. Zelfs lokaal nu. Ik denk dat ik die server maar opnieuw ga instaleren. Heb het er een beetje mee gehad.

dinsdag 17 maart 2009 09:11

Acties:

berties

trolleystad schreef op maandag 16 maart 2009 @ 15:13:
[...]

Dan waag ik me daar nu nog niet aan.

En als je de configfiles dan even copieert naar een andere locatie, dan purged, vervolgens opnieuw installeren, kijken of het werkt en diff-en met de oude configfiles?

donderdag 26 maart 2009 17:42

Acties:

Roel Broersma

Ik zie dat je Apache 2.2.3 gebruikt, is het mogelijk om deze te upgraden naar 2.2.11 ?
(met yum update, of apt-get ? )

Ik heb in een aantal gevallen (heel specifiek, gaat te ver om hier te melden) ook de melding: "ssl_error_rx_record_too_long" in Firefox gekregen met SSL, ook met versie 2.2.3. Ik ben helaas niet in staat om te uprgaden (gezien RedHat support).

Wel viel het me op dat de melding WEG is, als je de <VirtualHost" directives gewoon uitcommentarieerd!! (dus even een hekje # ervoor zetten). Ik denk dat het mis gaat wanneer Apache de SSL verbinding aan een 'juiste' VirtualHost wil matchen.. (wellicht duurt dat te lang.. moeten er packets re-assembled worden, of wat dan ook.. )

Let me know...

...don't know what should be here...

donderdag 26 maart 2009 22:03

Acties:

Dolan

Topicstarter

Ik heb het gisteren op een andere manier opgelost. Ik heb de vmware-image van Elastix gedownload, deze gestart, met WinSCP de inhoud van httpd.conf en ssl.conf gekopieerd en geplakt in de 'echte' elastix-doos. Sindsdien doet ie het weer perfect. Ik ga de verschillen nog een keertje vergelijken.

Soort van resetten

Beetje smerig en niet tweaker waardig. Maarja, het werkt nu in ieder geval weer.